宁波职业技术学院信息安全工作的总体方针、政策性文件和安全策略文件

第一章  总则

第一条  为保障宁波职业技术学院业务的正常持续运行，保护信息资产的安全，制定本方针。

第二条  本方针旨在为宁波职业技术学院的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为宁波职业技术学院的信息安全管理工作提供指引与支持。

第三条  除非特别说明，本方针的管理对象包括宁波职业技术学院拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的宁波职业技术学院的所有部门，以及与宁波职业技术学院有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他第三方机构或人员。

第二章  信息安全方针

第四条  信息安全管理委员会是宁波职业技术学院最高信息安全管理机构，下设信息安全管理领导小组和信息安全管理工作小组。

第五条  信息安全管理领导小组组长由**担任，小组成员由宁波职业技术学院信息中心和院领导组成。信息安全管理领导小组定期召开会议，对有关信息安全重大问题做出决策。

第六条  信息安全管理工作小组组长由**兼任，小组成员由宁波职业技术学院专职人员和各部门信息安全管理员组成。信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和督促检查，并针对信息安全事件建立完善的响应、报告和调查机制。

第七条  本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求，以及宁波职业技术学院的有关规定。

第八条  宁波职业技术学院建立有效的信息安全管理体系，定义信息资产的安全需求，持续进行信息资产的风险评估，建立并完善信息安全保护策略和程序，使宁波职业技术学院拥有可控的风险管理架构、方法和保障落实机制，确保宁波职业技术学院在不断变化的信息安全风险环境中，始终能够通过科学的方法和持续的改进来增强宁波职业技术学院抵抗风险的能力。

第九条  宁波职业技术学院全体干部职工必须接受必要的信息安全教育与培训，充分理解宁波职业技术学院制订的信息安全管理规定，明确在保护宁波职业技术学院信息资产安全过程中所应担当的角色和责任。

第十条  根据“谁主管，谁负责；谁运行，谁负责”的原则，建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人，将按有关规定进行处理。

第三章  信息安全管理原则

第十一条  宁波职业技术学院的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan：规划”—“Do：实施”—“Check：检查”—“Act：处置”)动态循环管理原则。

治理原则：信息安全管理要符合宁波职业技术学院的治理原则。在战略层面上，

信息安全决策必须由最了解宁波职业技术学院整体目标与价值的权威部门来决定，使信息安全问题得到最高管理层的关注，并进入宁波职业技术学院战略层的日常议题；在战术层面上，信息安全实践由国际和国内得到普遍实践与认可的治理标准（如ISO27001、ITIL、COBIT等）来指导。

(二) 管理与技术并重原则：信息安全不是单纯的技术问题，在采用安

全技术和产品的同时，重视采取有效的管理措施，不断积累完善针对实际情况的各类安全管理策略、规章制度，全面提高信息安全管理水平，达到成本效益最优目标。

(三) PDCA动态循环管理原则：对信息与信息系统的建设、运行、维护、

废止的全过程进行信息安全管理；在对信息资产的管理上遵循PDCA动态循环管理原则，针对宁波职业技术学院内外部业务环境及技术条件的变化情况，进行周期性的风险评估，根据风险状况及时调整信息安全管理策略和方法。

第四章  信息安全方针的评审

第十二条  信息安全方针需要根据经营环境、业务内容和技术状况的变化情况，进行定期评审（一年一次）或不定期评审（当发生了较大的安全事故或宁波职业技术学院经历较大的变革时），并根据实际情况进行修订，以适应当前最新的信息安全需要。

第十三条  信息安全方针的变更由信息安全管理委员会、宁波职业技术学院各部门提出，由信息安全管理工作小组进行汇总、分析研讨，并负责起草工作，由信息安全管理领导小组审批后发布。

第十四条  宁波职业技术学院将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。

第五章  信息安全方针的执行

第十五条  各部门及下属机构负责向所属的干部职工、相关承包方和第三方人员宣传、贯彻和落实执行本方针，信息安全管理工作小组负责督促检查。

第十六条  从本单位机房管理的实际情况出发，需将覆盖物理机房，介质管理，网络设备运维，流程审批，培训记录等相关记录表单按照年份存储归档以方便日后查询记录。

  信息资源中心

二0一七年四月