第一章 总则
第一条 为提升学校信息化建设水平,提高信息系统使用效率、信息共享能力,规范学校信息系统的建设、应用和管理,使 信息系统更好地服务于教学、科研和管理,特制定本办法。
第二条 本办法所称的信息系统涵盖学校已建、筹建的用于教学、科研、管理等方面的通过网络由计算机处理信息数据的应 用系统和软件(包括物联网在内的通过网络传输数据的设备)。
第三条 信息系统是学校信息化建设的组成部分,必须保证系统的规范性,以便实现信息交换和资源共享,保证数据的一致 性和完整性。
第二章 管理体制
第四条 学校网络安全与信息化领导小组统一领导、统一谋划、统一部署网络安全和信息化工作。
第五条 网络与信息建设管理办公室(网络信息中心)是学校信息系统管理部门,在网络安全与信息化领导小组领导下,负 责学校信息系统的整合、建设、管理工作。
第六条 信息系统建设和使用部门负责人是第一责任人,要担负起信息系统管理和安全之责。负责本部门信息系统的建设、 管理、应用、推广及系统管理人员和普通操作人员管理。
第七条 信息系统的操作人员分为系统管理员和普通操作员两类。原则上,系统管理员由信息系统建设部门正式员工担任, 主要负责信息系统日常管理与维护,开展业务、应用推广及用户 操作指导;普通操作员使用信息系统的一个或多个业务模块功能 开展业务。原则上,系统管理员、普通操作员应权限分离,不能
由同一人担任。
第三章 建设与部署
第八条 信息系统建设原则上采用通过公安部安全检测、有销售许可证的或具有一定开发实力厂商的成熟产品。实施单位(公 司)应具备一定的软件研发资质、系统集成资质,在本行业内处 于领先地位并具有成熟的产品,具备相关的实施经验,具经验丰 富的技术团队并提供良好的技术服务和后期服务。
第九条 信息系统建设部门根据学校信息化建设要求及本部门业务实际进行充分调研,提出信息系统建设需求。所有信息 系统项目立项和建设前,须由网络与信息化建设管理办公室组织 专家对信息系统建设合理性、技术方案可行性、数据共享要求和 系统安全等方面进行论证和前置审批。通过前置审批的项目才能 按照相应程序进行立项审批、采购、建设等。信息系统项目验收 时要符合本管理办法相关要求才能进行验收。
第十条 信息系统的建设与部署必须符合学校信息化建设标准,新部署的信息系统要按照学校数据标准及接口技术标准进行 建设。为保证数据的权威性、准确性和及时性,除国家法律法规 规定的涉密数据外,学校所有信息系统均须向学校公共数据库提 供必要数据,以便实现“一数一源,数据共享”。校内共享数据 只能通过公共数据平台获得,不得从业务系统直接采集或重复采 集。
第十一条 为加强信息系统管理,校内各业务部门原则上应将信息系统服务器安放在学校数据中心机房进行有效防护。信息 系统建设部门要签署服务器服务器(虚拟机)托管申请表、安全 责任书。各单位(部门)建设与管理信息系统安放在本部门机房 要有符合网络安全等保要求。
第十二条 通过购买服务或云端部署信息系统,要严格按照国家法律法规执行,要符合网络安全等级保护 2.0 相关要求,做好数据和信息系统安全防护。不使用未经安全监测和备案的移动 应用(APP)。
第四章 运行与维护
第十三条 网络信息中心作为技术支撑部门,负责为存放在学校数据中心的信息系统提供运行环境(动环系统、虚拟服务器、 存储空间、IP 地址及端口分配等)和网络安全防护。支持和指导各单位信息系统运行和维护。
第十四条 信息系统建设单位应建立系统运行维护机制和值守制度。确保信息系统硬件和软件运行正常,做好数据维护工作。 更新和升级必要的服务器软件,及时安装补丁,包括操作系统、
web 服务器、应用中间件、数据库等,经常检查信息系统运行状态。确保信息系统按照既定的程序、操作规范稳定运行。
第十五条 信息系统建设单位应做好系统运行记录,服务器和系统运行日志至少保留半年以上。对于系统运行不正常或无法 运行的情况,需将异常现象、发生时间和可能的原因由专人负责 记录并及时处理。
第十六条 信息系统建设部门会同信息系统管理部门做好备份策略和恢复计划,保障系统故障时能快速恢复系统,避免数据 丢失。数据备份原则上采用异机、异地备份,并经常检查备份数 据的完整性,备份数据应包括信息系统软件、业务数据、操作日 志,至少保存 180 天,重要数据要永久保存。未经授权,任何人不得转发、打印或复制学校各信息系统中内部信息数据。
第十七条 为降低学校信息系统安全风险,除面向社会提供 公共服务的应用系统,原则上所有校内系统仅限校园网内运行,
师生在校外可通过校园网远程访问接入服务(VPN)访问校内资源。第十八条 面向全校师生使用的校内信息系统必须采用学校
统一的身份认证系统。
第十九条 系统管理员和普通操作员必须对自行录入或系统运行时生成的数据进行严格的质量控制,确保信息系统的数据质 量符合数据共享标准和业务要求。未经批准,任何人员严禁直接 对信息系统数据库进行增加、修改、删除等操作
第二十条 信息系统变更包括更换软件厂商、硬件扩容或搬迁、系统升级或模块更改、软件升级、数据维护等工作以及安全 策略、部署的改变等。应制定实施方案和故障预案,避免影响业 务正常开展,涉及数据字段、接口等变化时要及时与信息系统管 理部门和使用部门沟通,保证数据共享使用。
第二十一条 学校信息系统管理部门和建设部门应加强技术档案管理,与系统研发机构建立后期维护及服务机制,建立健全 技术资料档案,确保信息系统持续可用。
第五章 系统安全
第二十二条 根据《中华人民共和国网络安全法》等国家相关法律法规,按照“谁主管谁负责、谁运维谁负责、谁使用谁负 责”的原则和网络安全“同步规划、同步建设、同步运行”的原 则,切实落实各单位网络与信息安全责任。各单位负责人是本部 门信息系统运维与管理的安全责任人。
第二十三条 信息系统建设部门部署信息系统应满足国家法律法规和有关制度对信息系统安全部署和运行要求。信息系统安装部署完成后,应有系统安全相关检测报告并且有相应防范措施。 信息系统上线前须上报网络信息中心进行安全检测,未通过安全检测的系统一律不得上线。
第二十四条 为了保障学校信息系统安全稳定运行,系统建设单位应在项目完成后、上线运行前做好信息系统安全等级保护 的定级、备案及测评工作。网络信息中心做好技术支撑和配合工 作。
第二十五条 系统建设单位根据操作人员的职责权限编发账号,不得使用弱口令,初始密码不能用于业务实现。操作人员只 允许使用自己的账号,不得将账号借于他人使用,不得利用他人 的账号进入信息系统,否则造成的后果由使用者和账号泄露者共 同承担。系统建设单位应定期对系统中的账号进行审核,避免授 权不当或冗余账号存在。信息系统相关人员发生岗位变化或离岗 时,应当及时调整其在系统中的访问权限或者关闭账号。
第二十六条 信息安全管理责任的追究。信息系统责任人未履行职责开展信息安全工作,如出现信息安全问题的,立即停止 该信息系统的网络接入,待整顿并通过安全审核后再予恢复。按 照相关规定追究相关人员责任。如多次发生安全问题或因工作失 职导致出现重大网络信息安全后果的,按照学校有关规定追究相 关责任人的责任,并取消该单位和责任人的评优、评先资格。构 成违法的应当依法追究相关人员的法律责任。
第六章 附则
第二十七条 本办法由学校网络安全与信息化领导小组负责解释。
第二十八条 本办法自发布之日起施行。
附件一:
辽宁工业大学信息化建设项目
前置审批申请书
项目名称:
项目类别:
承担单位:
项目负责人:
填写日期:
辽宁工业大学网络与信息化建设管理办公室 制
填表说明:
1.项目类别应根据情况填为“新建立项”、“阶段建设”、“二次开发” 或“临时增补”。
2.立项依据中,项目总体目标和设计方案应尽量详细。
3.在调研报告中需根据调研情况提供建设资金估算。
4.申请书及附件一式二份,在项目评审前由申请单位在封面加盖单位公章后送网络与信息化建设管理办公室(网络信息中心)。
一、基本信息 |
项目名称 |
|
起止时间 |
|
年 |
月 |
至 |
年 |
月 |
建设单位 |
|
负 责 人 |
|
电话 |
|
邮箱 |
|
执 行 人 |
|
电话 |
|
邮箱 |
|
联 络 员 |
|
电话 |
|
邮箱 |
|
二、立项依据 |
1. 项目申请背景及应用前景 2.项目总体目标、设计方案和具体内容 2. 相关调研报告(以附件形式提供) 3. 其他支撑材料(可选,以附件形式提供) |
|
|
|
|
|
|
|
|
三、建设方案 |
1. 与学校数据平台的集成方案(集成要求、技术途径、编码标准) 2.项目实施计划(含预期进度安排) |
五、评审意见 |
专家评审意见 |
签字: 年 月 |
日 |
技术部门审批意见 |
年 月 |
日 |
校领导意 见 |
年 月 |
日 |
附件二:
技术文档内容及要求
应用系统建设部门在验收之前,对完整产品的运行进行确认,证实系统已满足合同规定的条件及需求说明书中对系统功能和性能的要求,并应准备好以下需要的文档:
一、硬件设备和系统集成
1.项目概况及系统建设需求说明书;
2.系统设计方案;
3.施工方案(包含施工图纸、竣工图纸、施工规程等);
4.设备到货清单;
5.设备配置文档、设备的口令等;
6.测试报告(含公司自测、用户与公司联测,需签字);
7.技术文档、接口文档、培训文档(需用户方签字认可);
8.用户操作手册和维护手册; 二、软件系统
1.软件需求分析(项目概述、软件的预期使用者,软件开发的约束条件及开发期限等);
2.概要设计说明书;
3.详细设计说明书(必须包含角色管理方案、业务流设计方案、数据流设计方案、数据库视图、数据接口方案、数据备份和恢复方案等);
4.需求变更说明书(需求方与开发方均需确认签字);
5.测试文档(测试计划、测试用例、测试结果分析、bug 修改意见等);
6.接口规格说明书(接口名、调用方式、接口输入/输出参数以及各参数的数据类型);
7.软件试运行测试报告(试运行周期、环境、使用用户、出现的问题及解决办法并填写系统运行测试报告);
8.用户操作手册和维护手册;
上述材料一式三份,需装订成册。
附件三:
辽宁工业大学服务器托管、虚拟机使用协议书
甲方: 网络信息中心
乙方:
为充分发挥校园网络资源优势,提高资源利用率,满足教学、科研和管理工作需要,同时规范服务器及相关设备的管理和维护,明确责任,甲方向乙方免费提供网络服务器托管、虚拟机使用服务。甲乙双方协议如下:
一、甲方权责:
1. 甲方负责为存放在学校数据中心的应用系统提供运行环境(动环系统、IP 地址及端口分配、接入网络畅通、防火、防盗、防破坏等), 满足乙方对虚拟服务器配置及存储空间要求并保证稳定运行。
2. 甲方负责校园网及服务器(虚拟机)外部安全、安全体系建立和策略优化。统一部署虚拟化服务器杀毒软件。甲方有义务协助乙方对托管服务器、虚拟机进行系统维护和安全策略设置。提供必要的校园内远程服务,原则上不提供厂家对服务器直接远程操作。
3. 上级部门或第三方安全公司通报或发现托管服务器、虚拟机存在安全漏洞,有权先行关闭乙方的托管服务器、虚拟机或暂停服务器、虚拟机的外网访问权限,待整改到位且通过再次安全检测后方可恢复访问服务。
4. 甲方因网络调整、改造等原因,有权变更乙方托管服务器、虚拟机的网络设置和服务,但须提前通知乙方。配合乙方工作做好等级保护备案、测评工作。
5. 甲方不掌握乙方服务器、虚拟机的登录密码、系统后台管理权限等, 但有义务协助乙方进行维护。
二、乙方权责:
6. 乙方须遵守《中华人民共和国网络安全法》等有关法律法规及辽宁工业大学网络管理相关规定。乙方不得利用托管服务器或虚拟机进行国家法律法规和学校禁止的及其它危害网络信息安全的一切活动。乙方使用的软件系统或发布的信息内容不当所引起的各种政治责任、法律责任、经济纠纷,应自行承担全部责任。
7. 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,乙方须建立完善的网络安全应急响应机制,乙方须指定专人担任系统管理员,负责服务器或虚拟机的安全管理和维护工作。乙方有责任和义务接受与配合国家信息安全管理相关职能部门和学校网络安全与信息化机构和部门的网络信息安全监督和检查。
8. 系统管理员须做好日常维护工作和服务器内部安全防控,重要数据
异地备份;服务器、虚拟机的安全升级(包括及时升级系统和补丁更新,安装杀毒软件并及时更新),妥善保管相关密码并不定期修改密码(密码应由数字、字母和特殊字符组成且长度应大于 10 位), 防止服务器、虚拟机被人为攻击、利用。如因此引发网络安全事件, 乙方承担全部责任。
9. 申请或托管服务器仅为教学管理、科研管理、业务管理等提供服务, 乙方不得随意改变托管服务器的用途和配置。
三、托管服务器(虚拟机)清单
基本配置 |
|
开放端口 |
|
IP 地址 |
|
域 名 |
|
服务范围 |
|
应用软件 |
|
主要用途 |
|
管理员姓名 |
|
联系方式 |
|
四、其他未尽事宜,协商解决。
五、本协议一式二份,双方各执一份。
甲方:网络信息中心(签字盖章): 乙方: (签字盖章): 年 月 日 年 月 日
