職業(yè)技術(shù)學(xué)院系統(tǒng)安全風(fēng)險(xiǎn)管理制度

XXXX職業(yè)技術(shù)學(xué)院系統(tǒng)安全風(fēng)險(xiǎn)管理制度第一章總則第一條為規(guī)范XXXX職業(yè)技術(shù)學(xué)院信息系統(tǒng)安全的風(fēng)險(xiǎn)管理，建立規(guī)范、有效的風(fēng)險(xiǎn)控制體系，提高風(fēng)險(xiǎn)防范能力，保證信息系統(tǒng)的安全、穩(wěn)健運(yùn)行，提高經(jīng)營管理水平，根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施》、《XXXX職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全管理規(guī)定》等等法律法規(guī)規(guī)章，結(jié)合管理實(shí)際，制定本制度。第二條本制度旨在實(shí)現(xiàn)以下目標(biāo)提供合理保證：1、將風(fēng)險(xiǎn)控制在與總體目標(biāo)相適應(yīng)并可承受的范圍內(nèi)。2、實(shí)現(xiàn)信息溝通的真實(shí)、可靠。3、確保法律法規(guī)的遵循。4、提高信息系統(tǒng)的效益及效率。5、確保建立針對各項(xiàng)重大風(fēng)險(xiǎn)發(fā)生后的危機(jī)處理計(jì)劃，使其不因?yàn)?zāi)害性風(fēng)險(xiǎn)或人為失誤而遭受重大損失。第三條在系統(tǒng)工程過程中，風(fēng)險(xiǎn)是對達(dá)到屬于技術(shù)性能，成本和進(jìn)度方面的目的和目標(biāo)的不確定性的一種量度。風(fēng)險(xiǎn)等級(jí)用事件和事件結(jié)果的概率來分類。對獲取程序，系統(tǒng)在產(chǎn)品和過程方面進(jìn)行風(fēng)險(xiǎn)評價(jià)。風(fēng)險(xiǎn)源包括技術(shù)的（可行性，可操作性，生產(chǎn)性，測試性和系統(tǒng)的有效性）；成本（預(yù)算，目標(biāo)），計(jì)劃表（即技術(shù)資料的可用性，技術(shù)成就，里程碑）；和規(guī)劃（即資源、合同）。第四條信息系統(tǒng)安全風(fēng)險(xiǎn)分為：（1）、信息安全風(fēng)險(xiǎn)（2）、業(yè)務(wù)流程安全風(fēng)險(xiǎn)（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（4）、通信安全風(fēng)險(xiǎn)（5）、無線安全風(fēng)險(xiǎn)（6）、物理安全風(fēng)險(xiǎn)第五條本制度適用于XXXX職業(yè)技術(shù)學(xué)院的所有信息系統(tǒng)。第二章風(fēng)險(xiǎn)管理及職責(zé)分工第六條學(xué)校各部門為本部門信息系統(tǒng)安全風(fēng)險(xiǎn)管理第一道防線；網(wǎng)絡(luò)管理部門和校園網(wǎng)絡(luò)安全小組下設(shè)的辦公室為信息系統(tǒng)安全風(fēng)險(xiǎn)管理第二道防線；校園網(wǎng)絡(luò)安全小組為信息系統(tǒng)安全風(fēng)險(xiǎn)管理第三道防線。第七條各部門在本部門信息系統(tǒng)安全風(fēng)險(xiǎn)、控制管理方面的主要職責(zé)：1、各部門按照信息系統(tǒng)安全風(fēng)險(xiǎn)評估的總體方案，根據(jù)業(yè)務(wù)分工，分析相關(guān)業(yè)務(wù)流程的風(fēng)險(xiǎn)，確定網(wǎng)絡(luò)應(yīng)急預(yù)案。2、根據(jù)網(wǎng)絡(luò)應(yīng)急預(yù)案和風(fēng)險(xiǎn)管理的要求，組織實(shí)施，發(fā)現(xiàn)、收集、分析過程中的缺陷，提出改進(jìn)意見并予以實(shí)施。對于重大缺陷和實(shí)質(zhì)性漏洞，除向部門分管領(lǐng)導(dǎo)匯報(bào)情況外，還應(yīng)向網(wǎng)絡(luò)管理部門和校園網(wǎng)絡(luò)安全小組下設(shè)的辦公室反饋情況，以便網(wǎng)絡(luò)管理部門監(jiān)控其運(yùn)行情況。3、配合網(wǎng)絡(luò)管理部門等對網(wǎng)絡(luò)安全事故造成重大損失或不良影響的事件進(jìn)行調(diào)查、處理。第三章風(fēng)險(xiǎn)評估第八條信息系統(tǒng)安全風(fēng)險(xiǎn)評估主要在信息系統(tǒng)的設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)和最終銷毀這四個(gè)主要階段組成的生命周期中進(jìn)行。第九條確立信息系統(tǒng)安全風(fēng)險(xiǎn)管理理念和信息安全等級(jí)保護(hù)是進(jìn)行風(fēng)險(xiǎn)評估的基礎(chǔ)。第十條信息系統(tǒng)安全風(fēng)險(xiǎn)分析和對策。定期請有資質(zhì)的安全風(fēng)險(xiǎn)單位對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析后，應(yīng)該根據(jù)風(fēng)險(xiǎn)分析結(jié)果，結(jié)合風(fēng)險(xiǎn)發(fā)生的原因選擇風(fēng)險(xiǎn)應(yīng)對方案：規(guī)避風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)或分擔(dān)風(fēng)險(xiǎn)。第四章信息系統(tǒng)應(yīng)急預(yù)案第十一條防止突發(fā)事件，保證敏感時(shí)期的信息安全問題及時(shí)響應(yīng)。第十二條防范和消除信息系統(tǒng)破壞，特別是以下危害情況的出現(xiàn)：1、校園網(wǎng)主頁被惡意篡改。2、交互式欄目發(fā)表反政府、分裂國家和色情內(nèi)容。3、校園網(wǎng)用戶發(fā)布或閱讀反政府、分裂國家、色情言論。第十二條防范立足于技術(shù)，以相應(yīng)的技術(shù)設(shè)施及安全的設(shè)置確保信息系統(tǒng)安全，同時(shí)實(shí)行專人定時(shí)巡查和監(jiān)督信息傳輸。第十三條信息系統(tǒng)被惡意更改，應(yīng)立即停止其服務(wù)并恢復(fù)正確內(nèi)容，同時(shí)檢查分析被更改的原因，在被更改的原因找到并排除之前，不得重新開放服務(wù)。第十四條信息系統(tǒng)中涉及交互式欄目內(nèi)容發(fā)布實(shí)行先審后發(fā)制度，未經(jīng)審核不得發(fā)布；實(shí)行版塊負(fù)責(zé)制，由版主負(fù)責(zé)本版塊的信息安全，以預(yù)防信息繞過審核被發(fā)布。若出現(xiàn)未經(jīng)審核發(fā)布信息的情況，應(yīng)先做好記錄，再刪除未經(jīng)審核的信息，并暫時(shí)關(guān)閉信息發(fā)布功能，直至找到原因并排除為止。第十五條對用戶上網(wǎng)實(shí)行實(shí)時(shí)監(jiān)控，若發(fā)現(xiàn)有異常行為應(yīng)立即關(guān)閉該用戶的網(wǎng)絡(luò)連接，并及時(shí)警告之并記錄在案，嚴(yán)重行為應(yīng)立即上報(bào)有