第一章 范围
第一条 计算机信息系统是指由计算机及其相关的配套设备、设施(含网络、主机、应用)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。本“安全岗位职责”适用于单位内所有的计算机信息系统以及单位内参与信息系统安全服务商选择的所有部门和所有人员。
第二章 规范性引用文件
第二条 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准。
《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1-2006)
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 网络安全等级保护基本要求》(GBT 22239-2019)
第三章 机构安全管理制度内容
第三条 网络安全和信息化办公室作为天津医科大学的网络安全单位,设置安全主管、系统管理员、网络管理员、安全管理员四个网络工作岗位及相应职责,由各个岗位责任制来确定各个岗位负责人,不再另设负责人。安全主管由单位领导担任。
第四条 各个岗位至少有一名人员专门负责相应的工作,对于重要岗位,可根据实际情况增加一名人员。
第五条 针对信息系统的各项活动,需要按照严格的审批流程进行,并将结果存档记录。
第六条 定期对名种事项的审批活动进行审核,若人员或单位发生变动,需及时更新审批单位或审批人等事项,必要时可招开专门的审批会议。
第七条 安全主管应与网络管理员、系统管理员与安全管理员之间的沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
第八条 安全单位同时应与第三方安全服务商、公安单位及兄弟单位进行合作与交流,及时解决工作是遇到的问题,随时学习最新的安全技术及安全认识知识。保证整个信息系统的安全、高效、平稳运行。
第九条 安全单位应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等信息系统活动。
第十条 安全单位应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息并及时更新,保证信息的有效性。
第十一条 安全单位同时也要与电信运营商、安全产品供应商、安全组织保证良好的合作与沟通,及时获取最新的安全资讯与攻击防御手段。
第十二条 安全单位各项制度的执行结果应全部存档及详细记录。
第十三条 实施及修改。本办法经主管领导及网络安全领导小组通过实施,修改时亦同。
第四章 安全主管岗位职责
第十四条 安全主管需要对整个网络进行全面规划,包括以下几个方面基础设施管理、操作系统管理、安全保密管理、应用系统管理、机房管理、信息存储备份管理、用户服务管理进行规划性管理
第十五条 基础设施管理方面:
(一)确保网络通信传输畅通;
(二)优化整个网络通讯过程,保证高效、稳定运行。
(三)评估网络基础设施中存在的潜在隐患,并及时解决。
第十六条 信息存储备份管理:
(一)对信息存储备份管理进行日常检查,保证备份流程正确执行。
(二)检查对备份的数据与信息,确认手工操作备份是否正常执行。
(三)评估信息存储备份设施中存在的潜在隐患,并及时解决。
第十七条 机房管理:
(一)规划机房数据通信电缆布线情况,在增减设备时确保布线合理,管理维护方便。
(二)规划机房设备供电线路安排,在增减设备时注意负载的合理配置。
(三)评估机房管理中存在的潜在隐患,并及时解决。
第十八条 操作系统管理:
(一)规划服务器整体安全策略,制定相应的操作规程。
(二)对操作系统管理员进行监督与检查。
(三)评估操作系统管理中可能存在的安全隐患,及时解决。
第十九条 应用系统管理:
(一)规划信息系统中应用系统的安全部署,制定相应的安全策略,保证应用系统正常、稳定工作。
(二)对于用户访问频率高、系统负荷的应用服务,必要时安全主管与网络管理员可采取负载均衡设备或其它设备降低系统负载。
(三)评估应用系统潜在的安全风险(含正在运行及新应用系统),及时解决安全隐患。
第二十条 安全保密管理:
(一)根据国家相关的安全保密条例,制定相应的安全保密规程,并严格监督信息系统中敏感信息,保证信息系统的安全。
(二)评估整个安全保密过程中存在的安全隐患,及时解决安全保密问题。
第二十一条 用户服务管理:
规划整个信息系统中的用户服务管理框架,保证用户权限、服务最小化,重点关注用户服务中权限分配,保证安全性。
第二十二条 评估用户服务管理中存在的风险,及时消除安全隐患。
第五章 安全管理员岗位职责
第二十三条 依据国家有关法规政策,从事本单位的信息网络安全保护工作,确保网络安全运行。
第二十四条 定期进行网络安全检查,对隐患及时报告,并督促相关部门进行整改。
第二十五条 开展安全培训活动,总结推广安全管理先进经验。
第二十六条 监督各部门做好安全管理工作。
第二十七条 负责各类事故的调查、处理、汇总、统计上报工作。
第二十八条 建立健全安全管理网络体系,指导安全工作,加强网络基础设施建设。
第二十九条 熟悉掌握设备的性能、使用方法及排除一般故障的能力,要定期对设备安全检查。
第三十条 做好安全档案资料管理工作,负责填报各种安全报表。
第三十一条 根据网信办有关计算机和网络运行的条例及岗位责任对学校计算机和网络系统的使用进行规范化的管理,及时制止违规现象发生。
第三十二条 对计算机和学校网络系统进行日常维护,做好网络设备的巡检工作和安全防范工作,确保网络畅通无阻。
第三十三条 认真做好计算机和网络系统的数据记录、安全备份和用户管理工作,保证各类运行数据记录的正确性和实时性。
第三十四条 为学校应用信息网络的工作提供技术支持,保证学校计算机和网络设备安全运行的环境要求。
第三十五条 做好学校内网和Internet接入情况的监测工作,及时向网信办网络管理员提供信息。
第三十六条 负责学校信息系统的安全防护和运行监控,做好信息系统运行数据的记录和安全备份,及时向有关信息中心提供信息。
第三十七条 完成上级交办的其他工作任务。
第六章 网络管理员岗位职责
第三十八条 基础设施管理
(一)确保网络通信传输畅通;
(二)掌控主干设备的配置情况及配置参数变更情况,备份各个设备的配置文档;
(三)对运行关键业务网络的主干设备配备相应的备份设备,并配置为热后备设备;
(四)负责网络布线配线架的管理,确保配线的合理有序;
(五)掌控用户端设备接入网络的情况,以便发现问题时可迅速定位;
(六)采取技术措施,对网络内经常出现的用户需要变更位置和部门的情况进行管;
(七)掌控和外部网络的连接配置,监督网络通信状况,发现问题后和有关机构及时联系;
(八)实时监控整个局域网的运转和网络通信流量情况;
(九)定制、发布网络基础设施使用管理办法并监督执行情况。
第三十九条 信息存储备份管理
(一)采取一切可能的技术手段和管理措施,保护网络中的信息安全。
(二)对于实时工作级别需要不高的系统和数据,最低限度网络管理员也应该进行定期手工操作备份。
(三)对于关键业务服务系统和实时性需要高的数据和信息,网络管理员应该建立存储备份系统,进行集中式的备份管理。
(四)最后将备份数据随时保存在安全地点更是很重要。
第四十条 机房管理
(一)掌控机房数据通信电缆布线情况,在增减设备时确保布线合理,管理维护方便;
(二)掌管机房设备供电线路安排,在增减设备时注意负载的合理配置;
(三)管理网络机房的温度、湿度和通风状况,提供适合的工作环境;
(四)确保网络机房内各种设备的正常运转;
(五)确保网络机房符合防火安全需要,火警监测系统工作正常,灭火措施有效;
(六)采取措施,在外部供电意外中断和恢复时,实现在无人值守情况下确保网络设备安全运行;
(七)无关人员不得进入机房,更不得接触系统设备。
(八)保持机房整洁有序,按时记录网络机房运行日志,定制网络机房管理制度并监督执行。
第七章 系统管理员岗位职责
第四十一条 操作系统管理:
(一)确保网络通信传输畅通.
(二)在网络操作系统配置完成并投入正常运行后,为了确保网络操作系统工作正常,系统管理员首先应该能够熟练的利用系统提供的各种管理工具软件,实时监督系统的运转情况,及时发现故障征兆并进行处理。
(三)在网络运行过程中,系统管理员应随时掌控网络系统配置情况及配置参数变更情况,对配置参数进行备份。系统管理员还应该做到随着系统环境的变化、业务发展需要和用户需求,动态调整系统配置参数,优化系统性能。
(四)系统管理员应为关键的网络操作系统服务器建立热备份系统,做好防灾准备。
第四十二条 服务器系统的管理。服务器系统的管理采用A、B角制度,A管理员负责服务器日常的的管理工作,B管理员应掌握服务器的知识,当A管理员外出的时候担负管理服务器的职责。主要包括以下工作:
(一)做好服务器配置、安装和改动记录,编写内部网络和系统运行日志,内容要详尽、科学。和服务器的配置的每次改动都要做记录,包括时间、原因、配置记录文件等。如果发生故障,就必须记录故障发生的时间、故障情况、处理方法,及预防措施等。
(二)系统管理员要定期对硬盘进行整理,清除缓存或垃圾文件。
(三)定期保存系统日志。
(四)做好系统的硬件维护,对设备定期检查,定期清洁、除尘,保持设备正常运行。
(五)网络设备或服务器的性能测试或系统软件的升级。
第四十三条 用户的管理。
服务器超级用户的密码要定期更换,密码设定要有一定的规定,不能少于八位,系统管理员不得对任何无关人员泄露。知道超级用户和密码的人员不得超过两人。
对服务器用户的权限进行严格、详细的审核,对废弃的用户要及时进行删除。用户要记录进数据库,以便查询,用户密码的设定不得少于六位字母或数字。系统管理员要严守保密制度,不得泄漏用户密码。
第四十四条 应用系统管理:
(一)确保各种网络应用服务运行的不间断性和工作性能的良好性,出现故障时应将故障造成的损失和影响控制在最小范围内。
(二)对于需要不可中断的关键型网络应用系统,除了在软件手段上要掌控、备份系统参数和定期备份系统业务数据外,必要时在硬件手段上还要建立和配置系统的热备份。
(三)对于用户访问频率高、系统负荷的网络应用服务,必要时系统管理员还应该采取分担的技术措施。
第四十五条 用户服务和管理
(一)用户的开户和撤销;
(二)用户组的配置和管理;
(三)用户可用服务和资源的的权限管理和配额管理;
(四)用户计费管理;
(五)包括用户桌面连网电脑的技术支持服务和用户技术培训服务的用户端支持服务。
第四十六条 为了保证应用系统的正常运转,单一服务器上原则上提供单一应用服务,不得在单一服务器上同时提供两种应用服务(系统相互备份例外)。
第四十七条 为了保证系统的正常运转,系统管理员不得在应用服务器上做软件或系统功能试验,不得在应用服务器上随意安装与应用无关的软件,不得在服务器上安装盗版软件。基本保证单服务器单应用。
第四十八条 防病毒:网络内所有的服务器必须安装网络防病毒软件,并及时升级病毒定义文件。定期对服务器进行全面的病毒检测。对检测出的病毒要做病毒记录。
第四十九条 备份。
(一)系统备份,对重要的应用服务器,要做双机备份(有条件的话),必须保证一旦一台服务器出现故障,另一台服务器能在最短的时间内切换使用。主要包括:邮件服务、Internet服务、DNS服务。
(二)数据备份,做好网络内所有系统数据和应用数据的定期自动备份,定期做人工备份,确保数据的安全,要采用多种备份形式。
第五十条 数据保密工作,对在Intranet或Internet上发布的信息,需要做保密处理的,必须进行密码或用户验证服务等处理,并对密码进行严格的管理。
第五十一条 系统管理员应努力学习、积极进取,不断学习新的网络和服务器系统技术,不断提高自我。
第八章其他管理员岗位职责
第五十二条 应用开发管理员主要职责有:
(一)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,完整移交系统相关的安全策略等资料;
(三)不得对系统设置“后门”;
(四)对系统核心技术保密等。
第五十三条 安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:
(一)按操作员证书号进行审计;
(二)按操作时间审计;
(三)按操作类型审计;
(四)事件类型进行审计;
(五)日志管理等。
第五十四条 安全保密管理员负责日常安全保密管理活动,主要职责有:
(一)监视全网运行和安全告警信息;
(二)网络审计信息的常规分析;
(三)安全设备的常规设置和维护;
(四)执行应急中心制定的具体安全策略;
(五)向应急管理机构和领导机构报告重大的网络安全事件。
天津医科大学网络安全和信息化办公室
2021年 9 月 22 日
附件
网络安全岗位人员 |
| A角 | B角 |
安全主管 | | |
安全管理员 | | |
系统管理员 | | |
数据库管理员 | | |
网络管理员 | | |
备注:安全管理员为专职,不可兼任系统管理员、数据库管理员、网络管理员等岗位。