形成文件化的信息安全整体策略

　　早在2008年，学校就着手组织制定《上海财经大学信息系统安全管理办法》、《上海财经大学信息系统建设管理办法》和《上海财经大学信息系统运行维护管理办法》，从场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理7 个方面详细制定安全管理规定，并明确系统建设和系统运维过程中相关人员的工作流程和操作规范，为全校的信息系统安全管理提供依据。

　　2009年至2010年，针对信息安全问题突发性强的特点，为建立健全应急工作机制，提高信息系统安全突发事件的组织指挥和应急处置能力，最大限度地减轻突发事件造成的损失，学校完成《上海财经大学信息系统安全应急预案》的制定，并在IT部门建立起突发事件应急响应工作机制。与此同时，为加强日常防控来减少突发事件的发生，学校IT部门制定《运行维护工作条例》对硬件维护、操作系统维护、数据库维护和应用系统维护的各个环节的工作流程和操作规程进行更加详细的规定，并在工作中增加安全监控、安全检测、安全策略优化、安全审计等环节加强对信息系统的安全防护。

　　2010年初，为明确和建立学校的信息安全策略，为各部门制定操作规范和开展安全工作提供指导，学校制定《上海财经大学网络信息系统安全管理整体方案》，从信息安全组织体系、管理体系和技术体系3个层次，详细描述管理策略以及技术手段。该方案的出台极大地推动IT部门管理制度的完善和技术改进，同时也促进各院系、部门内部安全管理的强化和人员安全意识的提高。

　　强化安全管理

　　信息安全是一项长期的工作，必须将其纳入信息系统的日常管理中常抓不懈，防患于未然。信息系统质量的内涵，除了系统功能和性能满足业务要求外，与信息系统安全有关的系统安全性、可靠性、可用性也是系统质量控制的范畴。主要采取的管理措施如下：

　　1. 增加建设过程中的评审环节

　　在项目设计、开发阶段成果接近完成时，由项目组会同相关业务部门共同组织技术评审，包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据，对该阶段形成的方案、技术文档及系统进行审查、确认等工作，并形成评审结论。

　　2. 进行内部测试和第三方测试

　　在项目验收前，除了由项目内部和业务部门参与的集成测试外，聘请专业的第三方测试机构进行测试。

　　3. 安全检测与审计双管齐下，全方位监控安全事件

　　对应用系统和服务器进行每三个月一次的定期安全检测，有效消除潜在的安全隐患；定期进行应用系统的安全审计、数据库的安全审计、服务器的安全审计、配置管理的安全审计等，避免越权操作及数据泄漏事件的发生。

　　4. 建立突发事件应急响应机制

　　基于《上海财经大学信息安全应急预案》，建立突发事件的应急响应机制，落实信息系统的服务级别管理，实行应急预案演练制度，建立预案库，在突发事件发生后形成处置报告，分析原因，改进工作。

　　5. 加强安全意识宣传与教育

　　我们可以面向全校师生员工组织一系列的信息安全宣传和教育活动，包括组织面向学生和教师的信息安全知识竞赛活动，开展信息安全意识培训等，提高人员的安全防范意识，发挥人在信息安全对策中的主体作用。