第一条 本制度的目的是建立江西服装学院的信息安全组织架构， 明确相关部门和人员的职责。

第二条 本制度适用于江西服装学院信息系统安全管理体系中安 全组织的规划、安全管理职能部门的职能定义以及安全相关人员的职责分工。

第二章 信息安全组织架构

第三条 信息安全组织架构构成

信息安全是协作性的安全，即信息安全是通过各种角色责任集成而实现的。江西服装学院信息安全组织体系定义为一个三层的组织，组织架构如图所示：

图 1 江西服装学院信息安全组织结构

江西服装学院网络安全与信息化领导小组组成如下：

组长：薛家宝、陈付龙

副组长：唐新强、李沛武

成员：党政办公室、党委宣传部、教务处、党委学生工作部(处)、计划财务处、人事处、保卫处 (综治办) 、网络与信息化管理中心等相关部门负责人，各二级学院党政负责人。

领导小组下设网络安全办公室和信息化工作办公室，分别负责全校网络安全和信息化推进工作，网络安全工作办公室主任由党委宣传部部长兼任，信息化办公室主任由网络与信息化中心主任兼任。

第四条 江西服装学院成立网络安全与信息化领导小组，由薛家宝、陈付龙担任网络安全与信息化领导小组组长，网络安全与信息化领导小组是江西服装学院信息安全的最高决策机构。网络安全与信息化领导小组会下设网络安全办公室和信息化工作办公室，办公室负责网络安全与信息化领导小组的日常工作。

第五条 江西服装学院信息系统安全管理实行统一领导、分级管 理。江西服装学院网络安全与信息化领导小组为江西服装学院信息系统安全领导机构，负责江西服装学院信息系统安全重大事项决策和协 调工作。各单位 (部门)主要负责人是本单位信息系统安全第一责任人。

第六条 网络安全与信息化领导小组职能

(1) 根据国家和行业有关信息安全的政策、法律和法规，批准江西服装学院信息系统的安全策略和发展规划；

(2) 确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施；

(3) 监督安全措施的执行，并对重要安全事件的处理进行决策；

(4) 指导和检查信息化办公室及应急处理小组的各项工作；

(5) 建设和完善信息系统安全的集中控管的组织体系和管理机制；

(6) 每年组织信息安全各相关部门开展针对信息安全管理制度体系的合理性和适用性的评审和修订工作；

(7) 进行有关信息系统安全保密监督管理方面的指导和检查。

第七条 网络安全办公室及信息化办公室在网络安全与信息化领导小组领导下，负责江西服装学院信息系统安全的具体工作，至少应行使以下管理职能之一：

(1) 根据国家和行业有关信息安全的政策法规，起草组织江西服装学院信息系统的安全策略和发展规划；

(2) 管理江西服装学院信息系统安全日常事务，检查和指导下级单位信息系统安全工作；

(3) 负责安全措施的实施或组织实施，组织并参加对安全重要事件的处理；

(4) 监控信息系统安全总体状况，提出安全分析报告；

(5) 指导和检查各部门和下级单位信息系统安全人员及要害岗位人员的信息系统安全工作；

(6) 应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作；

(7) 作为江西服装学院信息系统的集中管理部门，实现信息系统安全的集中控制管理；

(8) 完成网络安全与信息化领导小组交办的工作，并向领导小组报告江西服装学院信息系统安全工作情况。

第八条 信息系统安全纳入安全管理体系，按照“谁主管、谁负责，谁运行、谁负责”的原则，实行专业管理、归口监督，信息化办公室是信息系统安全的集中管理机构。

第九条 集中管理机构应配备必要的领导和技术管理人员，应选用熟悉安全技术、网络技术、系统应用等方面技术人员，明确责任协 同工作，统一管理信息系统的安全运行，进行安全机制的配置与管理，对与安全有关的信息进行汇集与分析，对与安全有关的事件进行响应与处置；应对分布在信息系统中有关的安全机制进行集中管理。

第十条 集中管理机构职能：

(1) 建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制，构成系统有机整体安全控制机制；

(2) 统一进行信息系统安全机制的配置与管理，确保各个安全机制按照设计要求运行；

(3) 对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息 (包括有害内容)的监控和检查；

(4) 汇集各种安全机制所获取的与系统安全运行有关的信息，对所获取的信息进行综合分析，及时发现系统运行中的安全问题和隐患，提出解决的对策和方法；

(5) 事件发现、响应、处置、应急恢复，根据应急处理预案，作出快速处理；

(6) 应对各种事件和处理结果有详细的记载并进行档案化管理，作为对后续事件分析的参考和可查性的依据；

(7) 安全机制集中管理控制，完善管理信息系统安全运行的技术手段，进行信息系统安全的集中控制管理；

(8) 负责接受和配合政府有关部门的信息安全监管工作；

(9) 对关键区域的安全运行进行管理，控制知晓范围，对获取的有关信息进行相应安全等级的保护；

(10) 对核心系统安全运行管理，应与有关业务应用的主管部门协调，定制更高安全级别的管理方式。

第十一条 业务应用部门主要职责：

(1) 配合开展业务应用系统安全等级定级工作；

(2) 配合开展业务应用系统安全测评、安全检查和风险评估等工作；

(3) 负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作；

(4) 协助开展业务应用人员办公计算机安全管理。 

第十二条 各使用单位主要职责：

(1) 负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范，贯彻落实单位信息系统安全相关规章制度和技术标准，建立健全本单位信息系统安全标准制度和规范体系；

(2) 负责落实本单位范围内信息系统安全工作责任制；

(3) 落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作；

(4) 按单位信息系统应急体系要求建立本单位信息系统应急体系，组织本单位信息系统安全突发事件的应急处理；

(5) 负责明确本单位信息系统安全运行维护部门或机构，落实 信息系统安全运行维护日常工作，具体落实信息系统安全等级保护和安全策略；

(6) 组织本单位信息系统安全的宣传和培训。

第三章 相关安全人员职责定义

第十三条 信息及安全相关岗位主要包括安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员、应用管理员、开发管理员和终端人员。

第十四条 安全管理员是负责江西服装学院信息安全实施具体的 安全措施、落实安全管理制度，维护信息系统安全的专职人员，不能兼任其他技术管理角色，如安全审计员、网络管理员、系统管理员、数据库管理员等。

第十五条 除安全管理员之外，禁止其他人员使用口令破解程序、网络监听软件和端口扫描软件等网络安全软件，执行用户口令破解、网络流量监听、网络安全漏洞扫描等操作。但在必要时安全管理员可授权其他管理员(部门安全员/网络管理员/系统管理员/应用管理员/开发管理员)执行上述操作。

第十六条 安全管理员职责：

(1) 负责信息安全工作的具体实施和有关信息安全问题的处理，根据信息安全事件的处理情况和对网络系统安全检测的结果，提交事件处理报告；

(2) 根据网络系统安全需求，定期提出网络系统安全整改意见，上报本单位网络安全与信息化领导小组；

(3) 组织并参加定期 (月度或季度)的信息安全巡检，并在其他管理员的协助下建立完整的安全巡检报告，报告内容包含但不限于安全产品相关日志和报表信息及相应的分析结果，及时向领导提交报告，汇报网络的信息安全现状；

(4) 指导和监督其他管理员和普通员工与安全相关的工作；

(5) 监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全管理体系修订；

(6) 根据所涉及的岗位职责，处理网络安全与信息化领导小组核准的其它事务。

第十七条 网络管理员职责

(1) 负责网络设备的日常运行、管理和维护，保持系统处于良好的运行状态；

(2) 负责对所管理的网络设备进行日常维护和检查，并将安全设置的情况报部门安全员或安全管理员备案；

(3) 参加信息化办公室定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给部门安全员或安全管理员；

(4) 在每个网络系统工程验收后，对工程所涉及的网络设备、网络服务作相应的安全设置，删除设备的测试账号，对需要保留的账号口令重新进行设置，并且在口令的设置上要符合保密性要求；

(5) 编制网络设备的维修、报损、报废计划，报江西服装学院 相关部门审核；

(6) 监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见。

第十八条 系统管理员职责

(1) 负责主机系统的日常运行、管理和维护，保持系统处于良好的运行状态；

(2) 负责对所管理的主机系统进行日常维护和检查，并将相关安全设置的情况报部门安全员或安全管理员备案；

(3) 参加信息化办公室定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给部门安全员或安全管理员；

(4) 在每个信息系统工程验收后，对工程所涉及的主机系统作相应的安全设置，删除系统的测试账号，对需要保留的账号口令重新 进行设置，并且在口令的设置上要符合保密性要求；

(5) 编制计算机设备的维修、报损、报废计划，报江西服装学院相关部门审核；

(6) 监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见。

第十九条 数据库管理员岗位职责：

(1) 认真贯彻执行国家有关计算机方面的方针、政策以及上级下达的有关文件规定。熟练掌握计算机专业知识，积极了解国内外计算机技术的最新发展；

(2) 熟悉并积极宣传保密法、知识产权保护法、专利法等有关法律、法规知识；

(3) 熟悉数据库的有关知识，及时发现并独立解决数据库运行 中出现的各类技术问题，确保数据库正常运行；

(4) 规划数据库的物理分布、空间分配，负责数据库文件的增删；

(5) 负责维护信息系统内部数据库及与之紧密相关的应用软件；

(6) 负责检测、调整数据库的各种参数，保证数据库良好性能，填报网络数据库的运行维护文档；

(7) 负责制定对数据库备份和恢复策略，对过期或无用的数据 库进行整理、删除。每当数据库变更后，都应生成变更文档，通知与此变更有关的使用人员，并针对需调整的应用软件形成详细变更文档；

(8) 分配操纵数据库人员的权限，负责数据库的安全保密工作；

(9) 开发过程中，根据系统分析员所提供的技术文档，独立完成有关网络数据库的设计，编写详细设计文档。透彻解答网络数据库 的各种技术问题，完成设计后与其他有关人员配合，进行软件测试，最后形成有关的管理文档；

(10) 负责数据库的培训工作。

第二十条 机房管理员岗位职责：

(1) 负责机房的日常管理，做好机房的环境监控；

(2) 负责机房的卫生工作，定期对设备进行擦拭、除尘，确保室内整洁有序；

(3) 严格遵守机房安全管理制度，对违规行为予以坚决制止，并及时向相关领导汇报；

(4) 机房门钥匙或门禁卡须本人亲自保管，不得擅自交付别人代开机房；

(5) 不得擅自将机房仪器设备外借给其他人使用；

(6) 禁止一切进入机房人员在机房内吸烟及用明火式电热设备；

(7) 每天进行一次巡检，发现问题及时报告，并做好巡检记录；

(8) 协助资产管理员建立仪器设备标识、档案，定期清理器材、设备，登记造册，列出清单，并注明其完好程度，做到帐物相符；

(9) 承担上级临时安排的其它工作。 

第二十一条 应用管理员职责：

(1) 负责业务应用系统的日常运行、管理和维护，保持系统处于良好的运行状态；

(2) 负责对所管理的业务应用系统进行日常维护和检查，并将安全设置的情况报部门安全员或安全管理员备案；

(3) 参加信息化办公室定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给部门安全员或安全管理员；

(4) 在每个业务应用系统工程验收后，对工程所涉及的业务应用系统作相应的安全设置，删除系统的测试账号，对需要保留的账号 口令重新进行设置，并且在口令的设置上要符合保密性要求；

(5) 监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见。

第二十二条 开发管理员职责：

(1) 参加信息化办公室定期的信息安全巡检，并记录巡检结果，在巡检结束后提交给部门安全员或安全管理员；

(2) 负责应用层系统的系统安全规划、安全开发和安全建设及推广工作；监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见。

第二十三条 终端人员职责：

(1) 配合部门安全员或安全管理员做好终端的安全检查和安全加固工作；

(2) 严格遵循江西服装学院的各项安全管理制度；

(3) 参加和配合信息化办公室的信息安全巡检组完成信息安全检查工作。

第四章 安全组织管理

第二十四条 授权与审批

网络安全与信息化领导小组应对信息系统中的关键活动如信息安全项目及安全产品的采购等进行审批，并对具体安全项目进行相应的授权。

第二十五条 沟通与合作

(1) 网络安全与信息化领导小组应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题。

(2) 网络安全与信息化领导小组应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施。

(3) 江西服装学院还应加强与安全服务机构、兄弟单位、公安 机关、运营商的合作与沟通，以便在发生安全事件时能够得到及时的支持。

第二十六条 组织调整

信息安全相关人员人事变动后，应授权安全管理员或部门安全员进行相应的处理。在分析该人员在离开原岗位所涉及的用户账号和权 限的变换后，通知相关管理员(网络管理员/系统管理员/应用管理员) 进行相应的设置，并由安全管理员或部门安全员对相关管理员设置的结果进行检查。

第二十七条 组织审核

(1) 本制度中所称的信息安全相关角色由江西服装学院内相关 人员担任，现有岗位的员工在不同时期担任的角色可能有所不同，甚至身兼多种角色，在这种情况下该员工应该履行所兼每种角色的安全职责。

(2) 信息化办公室应每年一次根据关键岗位员工 (安全管理员、安全审计员、网络管理员、系统管理员、开发管理员等) 的职责范围 对其在信息系统中的实际访问和使用权限进行审阅、核对，对于因职责范围变化引起的用户权限变化，应及时通知相关信息系统维护人员及时进行更新，以保持信息系统内用户权限与职责的一致性。

(3) 一般情况下，除安全管理员之外，禁止其他人员使用口令破解程序、网络监听软件和端口扫描软件等网络安全软件，执行用户 口令破解、网络流量监听、网络安全漏洞扫描等危及信息安全的操作。在必要时安全管理员可授权其他管理员 (节点安全员/网络管理员/ 系统管理员/应用管理员/开发管理员)执行上述操作。

(4) 信息系统安全的集中管理机构应定期组织信息安全巡检工作和评审，在江西服装学院范围内对所有员工的信息安全管理制度执行情况进行检查，以及时了解信息安全的状况，督促、提高员工的信息安全意识。

第五章 附则