第一章  总   则

第一条     为了加强吉林财经大学信息安全组织及职责的统一管理，确定信息安全管理的组织机构和职责，特制定本规定。

第二条     本规定适用于吉林财经大学信息安全组织机构和相关岗位安全职责。

第二章    信息安全组织机构

第三条            信息安全是XXX所有工作人员必须共同承担的责任，应建立由信息安全领导小组和信息安全工作组共同构建的安全管理机构。

第四条     为确保信息安全，建立信息安全领导小组，信息安全领导小组由主管信息安全的领导担任组长，小组成员包括：

(一)    信息中心主管领导，担任信息安全领导小组副组长；

(二)    相关部门主管领导。

第五条     信息安全工作组是信息安全工作的执行机构，由信息管理中心主任担任信息安全工作主管，小组成员由信息中心各部门工作人员组成，负责执行安全主管交办的各项工作。

第六条     为做好突发信息系统安全事故的处置工作，提高对信息系统安全突发事件的处置能力，设立信息安全事件应急响应工作小组，小组成员由相关部门领导、责任人及信息安全工作组成员共同组成。

第三章    信息安全组织职责

第七条     信息安全是所有工作人员必须共同承担的责任，信息安全领导小组是信息安全工作的最高领导决策机构，负责信息安全工作的宏观管理。

第八条     信息安全领导小组的职责是：

(一)    贯彻执行国家、教育部关于信息安全工作的方针、政策，组织落实信息安全体系建设工作的目标、方针、政策；

(二)    审定信息安全相关策略、规范及管理规定；

(三)    监督、检查信息安全相关制度的落实与执行情况；

(四)    协调指挥信息安全重大突发事件的应急处理；

(五)    完成上级交办的有关工作。

第九条     信息安全工作组直接负责各信息系统安全建设、运行、维护等安全管理工作。信息安全工作组的职责是：

(一)    负责制定中心信息安全相关策略、规范及管理规定。

(二)    负责中心信息安全管理工作及日常工作的落实。

(三)    督促信息安全重大突发事件应急预案的落实。

第十条     信息安全应急响应工作组负责处理信息系统发生的重大事故或突发事件。职责是：

(一)    负责编制应急响应预案、信息安全事件应急处置流程和措施；

(二)    负责组织协调、处置和上报信息安全事件；

(三)    负责总结汇报信息安全事件处置情况和结果。

第四章    相关岗位信息安全职责

第十一条  安全管理员不能兼任网络管理员、系统管理员、数据管理员，信息安全组织中建立设置信息安全岗位，并明确各岗位安全职责。

第十二条  信息安全工作主管的岗位职责如下：

(一)组织、协调落实各项信息安全工作；

(二)组织评审信息安全总体策略、规划方案、管理制度和技术规范；

(三)组织监督、检查信息安全工作的落实情况。

第十三条  ，安全管理员的职责如下：

(一)定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；

(二)组织信息系统的安全风险评估工作，形成安全现状评估报告，并向安全主管报告信息安全整体情况；

(三)负责制定总体网络访问控制策略和规则，并对其进行监控和审计工作，定期发布策略执行情况；

(四)负责制定全员的安全培训计划，组织开展安全培训工作；

(五)负责沟通、协调和组织处理信息安全事件，确保信息安全事件能够及时处置和响应。

第十四条  网络管理员的安全职责如下：

(一)负责中心网络及安全设备的配置、部署、运行维护和日常管理工作；

(二)负责编制网络及安全设备的安全配置标准；

(三)能够及时发现、处理网络及安全设备的故障和相关安全事件，并能及时上报，减少信息安全事件的扩大和影响。

第十五条  数据管理员的安全职责如下：

(一)负责数据的备份、恢复、测试及安全存储；

(二)负责数据存储、备份以及存储备份设备的日常安全运行管理工作；

(三)能够及时发现、处理数据存储和备份的相关安全事件，并能根据流程及时上报，减少信息安全事件的扩大和影响。

第十六条  系统管理员的安全职责如下：

(一)负责服务器和终端的日常安全管理工作，确保操作系统的漏洞最小化，保障主机设备安全稳定运行；

(二)负责编制操作系统的安全配置标准；

(三)能够及时发现、处理主机和操作系统相关安全事件，并能根据流程及时上报，减少信息安全事件的扩大和影响。

第十七条  应用管理员的安全职责如下：

(一)负责支持和协助所管辖应用系统中涉及信息安全的相关标准、规范与管理制度建设；

(二)负责对所管辖业务应用系统进行安全配置，负责应用系统设计、实施和运维的信息安全管理工作；

(三)负责对所管辖业务应用系统的用户权限分配和管理，对登录用户进行监测和分析；

(四)负责实施系统软件版本管理，应用软件备份和恢复管理；

(五)负责监督和管理第三方应用系统开发时的安全管理工作；

(六)能够及时发现、处理应用系统相关的安全事件，并能根据流程及时上报，减少信息安全事件的扩大和影响。

第十八条  安全审计员不能兼任网络管理员、系统管理员、数据管理员和安全管理员，安全审计员的职责如下：

(一)定期审计中心信息安全制度执行情况，收集和分析信息系统日志和审计记录，及时报告可能存在的问题；

(二)对安全、网络、系统、应用、数据库管理员的操作行为进行监督，对安全职责落实情况进行检查。

第十九条  机房管理员的主要安全职责包括：

(一)负责XXX机房内的配电设备、UPS、空调机等基础设施的维护与管理 ，并负责对机房设备的相关介质、文档资料等随机物品进行归档管理。

(二)负责机房相关设备的日常维护管理与操作 ；

(三)负责非技术性的、常规的安全工作，如机房的保卫，验证出入手续和规章制度的落实等。

第二十条  资产管理员的安全职责如下：

负责物理资产的采购、登记、分发、回收、废弃等安全管理工作。

第二十一条   其他员工安全职责如下：

(一)落实执行中心各类信息安全管理要求，加强信息安全知识的学习，提高信息安全意识；

(二)确保使用中心各类信息资产的保密性、可用性和完整性安全。

第五章    授权和审批

第二十二条     各部门需要明确各自的岗位和职责，部门内实行逐级审批制度。

第二十三条     审批流程要按照如下几个流程进行：提出申请、相关负责人审批、审批通过、登记记录、备案归档。

第二十四条     针对系统的变更或重要操作，需要向信息中心提出申请，要明确变更内容或操作过程，以及分析可能的影响，待审批通过后，方可进行变更或操作，具体参考《信息系统变更管理规定》。

第二十五条     出入机房等，需要填写机房出入登记表，并经允许后方可出入，具体参考《机房环境安全管理规定》。

第二十六条     机房新增设备或系统，要在信息中心报备并经许可后方可实施。

第二十七条     应对审批过程进行记录并保存审批的文档。

第六章    沟通和协作

第二十八条     为更高效的处理信息安全问题，应加强中心内部部门、人员之间的合作与沟通，共同参与安全规划和评审，对信息安全重要问题的决策提供咨询和建议。

第二十九条     中心应加强与兄弟单位、公安机关的合作与沟通。

第三十条  中心应能够与网络链路提供机构、信息系统运维机构、信息系统的硬件设备、软件设备提供商保持合作，确保在出现各类安全问题时能够沟通顺畅。

第七章    附 则

第三十一条   本规定由信息安全工作组负责解释和修订。

第三十二条   本规定自发布之日起执行。