上(superior)海大(big)學信息安全方針

第一(one)章總則

第一(one)條爲(for)落實"監管、創新、培育、服務"的(of)企業宗旨，推進信息基礎設施、應用(use)系統和(and)業務信息的(of)使用(use)、開發和(and)維護已成爲(for)核心業務活動的(of)重要(want)組成部分，信息技術已深入到(arrive)上(superior)海大(big)學（以(by)下稱爲(for)「本校」）日常業務運行與管理工作(do)的(of)各個(indivual)層面。爲(for)保障本校業務的(of)正常持續運行，保護信息資産的(of)安全，制定本方針。

第二條本方針旨在(exist)爲(for)本校的(of)信息安全管理實踐提供清晰的(of)策略方向，闡明信息安全建設和(and)管理的(of)重要(want)原則，爲(for)本校的(of)信息安全管理工作(do)提供指引與支持，并達到(arrive)"系統、科學、連貫、主動"的(of)風險駕馭狀态。

第三條除非特别說明，本方針的(of)管理對象包括本校擁有、控制、管理和(and)使用(use)的(of)所有硬件、軟件、信息、服務、人(people)員和(and)無形資産等信息資産。本方針的(of)适用(use)對象主要(want)包括與以(by)上(superior)信息資産相關的(of)本校所有部門，以(by)及與本校有關的(of)集成商、軟件開發商、産品提供商、商業合作(do)夥伴和(and)其他(he)第三方機構或人(people)員。

第二章管理層承諾

第四條信息化工作(do)辦公室（以(by)下稱爲(for)「信息辦」）分管領導認識到(arrive)信息安全是(yes)本校日常業務與管理工作(do)中的(of)重要(want)内容，通過制定與批準本方針，承諾對本校的(of)信息安全工作(do)提供一(one)切必要(want)支持，以(by)保護本校信息資産的(of)安全。

第三章信息安全方針

第五條信息辦是(yes)本校信息安全管理機構，由信息辦分管領導擔任組長，信息辦安全員及各系統管理員爲(for)組員。信息辦主要(want)職責爲(for)：

1) 制定并批準本校信息安全方針，爲(for)安全管理工作(do)的(of)啓動和(and)維持提供明确目标，并根據本校發展需要(want)，及時(hour)對信息安全方針和(and)目标進行調整，保證與信息安全管理體系的(of)适宜性，以(by)及與運維中心IT服務管理體系的(of)相容性。

2) 定期評審信息安全方針執行的(of)有效性，檢查體系運行的(of)充分性和(and)有效性。

3) 審議并批準信息安全管理的(of)總體策略，以(by)及适用(use)于(At)本校的(of)安全規範制度。

4) 審議信息安全風險管理總體規劃，明确風險接受準則。

5) 審議重大(big)信息安全事件處置措施。

6) 協調各部門、各流程中信息安全控制措施的(of)實施，消除争議。

7) 評審外部安全專家提出(out)的(of)安全改進建議。

第六條本方針的(of)适用(use)對象必須遵守國(country)家有關信息安全的(of)法律、法規、上(superior)級主管部門及行業内的(of)相關規定和(and)要(want)求，以(by)及本校的(of)有關規定。

第七條本校建立有效的(of)信息安全管理體系，定義信息資産的(of)安全需求，持續進行信息資産的(of)風險評估，建立并完善信息安全保護策略和(and)程序，使本校擁有可控的(of)風險管理架構、方法和(and)保障落實機制，确保本校在(exist)不(No)斷變化的(of)信息安全風險環境中，始終能夠通過科學的(of)方法和(and)持續的(of)改進來(Come)增強本校抵抗風險的(of)能力。

第八條本校員工、承包方和(and)第三方人(people)員必須接受必要(want)的(of)信息安全教育與培訓，充分理解本校制訂的(of)信息安全管理規定，明确在(exist)保護本校信息資産安全過程中所應擔當的(of)角色和(and)責任。

第九條根據"誰主管，誰負責；誰運行，誰負責"的(of)原則，建立信息安全績效考核體系。對于(At)違反信息安全規定人(people)員，将按有關規定進行處理。

第十條本校信息安全方針可概括爲(for)"保護信息資産安全，保障業務持續運行"，"信息安全，人(people)人(people)有責"。

第四章信息安全管理原則

第十一(one)條本校的(of)信息安全管理推行治理原則、管理與技術并重原則和(and)PDCA("Plan：規劃"—"Do：實施"—"Check：檢查"—"Act：處置")動态循環管理原則。

(一(one))治理原則：信息安全管理要(want)符合本校的(of)治理原則。信息安全決策及日常管理措施必須由信息辦分管領導來(Come)決定。

(二)管理與技術并重原則：信息安全不(No)是(yes)單純的(of)技術問題，在(exist)采用(use)安全技術和(and)産品的(of)同時(hour)，重視采取有效的(of)管理措施，不(No)斷積累完善針對實際情況的(of)各類安全管理策略、規章制度，全面提高信息安全管理水平，達到(arrive)成本效益最優目标。

(三) PDCA動态循環管理原則：對信息與信息系統的(of)建設、運行、維護、廢止的(of)全過程進行信息安全管理；在(exist)對信息資産的(of)管理上(superior)遵循PDCA動态循環管理原則，針對本校内外部業務環境及技術條件的(of)變化情況，進行周期性的(of)風險評估，根據風險狀況及時(hour)調整信息安全管理策略和(and)方法。

第五章信息安全方針的(of)評審

第十二條信息安全方針需要(want)根據經營環境、業務内容和(and)技術狀況的(of)變化情況，進行定期評審（一(one)年一(one)次）或不(No)定期評審（當發生(born)了(Got it)較大(big)的(of)安全事故或經曆較大(big)的(of)變革時(hour)），并根據實際情況進行修訂，以(by)适應當前最新的(of)信息安全需要(want)。

第十三條信息安全方針的(of)變更由信息辦提出(out)，經信息辦分管領導審批後發布。

第十四條本校将通過紙質文件或電子文件方式向本校工作(do)人(people)員發布本方針的(of)最新版本及相關信息。

第六章信息安全方針的(of)執行

第十五條信息辦分管領導負責向本校的(of)員工、相關供應商宣傳、貫徹和(and)落實執行本方針。

第七章附則

第十六條本方針由信息辦負責解釋。

第十七條本方針自發布之日起施行。