信息系统管理办法
(待发文)
第一章 总则
第条 为加强信息系统管理,规范信息系统服务,保障信息系统安全,促进治理能力现代化和教学科研能力提升,现根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网络管理暂行规定》《信息安全等级保护管理办法》及国家其他相关法律、法规对互联网安全管理的要求,结合学校实际,制定本办法。
第条 信息系统是指运行于校园网的,由相关硬件、软件、信息资源、信息用户、规章制度和其它外围设备组成的,以处理业务信息流为目的的应用系统。学校信息系统包括但不限于校务管理类、教学科研类、招生就业类和综合服务类信息化应用系统。
第二章 信息系统的管理机构
第条 学校网络安全和信息化领导小组统一领导、统一谋划、统一部署网络安全和信息化。其中,党委宣传部负责网络的内容安全和舆情管控,协调推进网络空间治理;信息技术中心提供技术保障,定期开展信息系统安全培训,强化全员网络安全意识。学校各单位应成立本单位网络安全和信息化领导机构,统筹负责本单位网络安全和信息化工作。
第条 网络安全与信息化领导小组办公室(简称网信办),设在信息技术中心,负责信息系统的规划建设及规范制定工作,是信息系统的归口管理部门,并提供技术支持和服务。
第三章 信息系统的开发立项
第条 为增强信息系统建设的针对性、实效性、计划性和规范性,学校定期征集各单位的信息系统建设需求,并组织专家论证和前置审批。通过前置审批的项目,可纳入学校年度信息化建设项目库,作为下一年度信息化建设的立项备选。列入项目库的建设任务,方可进入学校相关的立项和招采流程。
第条 信息系统的前置审批将对是否存在重复建设、数据共享要求和系统安全等方面进行全面评估。对危及校园网络和信息系统安全的建设项目实行一票否决,停止项目建设。前置审批通过的信息系统建设项目按照学校相关规定进入立项审批流程。
第条 项目立项后,应由系统建设单位成立项目管理组织,明确责任人和管理实施人员,并提出建设目标、分阶段建设方案和进度安排等。校方与承建方均需配备相关人员,全程负责业务系统的实施和支持。
第条 信息系统建设项目可根据实际情况选择开发方式,开发方式包括自行开发、外购调试或业务外包等。
第四章 信息系统建设的过程控制
第条 信息系统建设全过程必须遵循数字(智慧)校园信息标准和编码规范的相关要求,使用学校的域名和IP地址。
第条 依据信息系统需求设计解决方案。解决方案包括系统总体架构设计、功能模块设计、数据库设计、输入输出设计、处理流程及硬件选择等。
第条 信息系统建设规划应充分考虑系统建成后的控制环节,建立设计评审和设计变更控制流程,将业务流程、关键控制点和处理规程嵌入系统程序,实现手工环境下难以实现的控制功能。
第条 系统研发过程中,应实行系统编程环节的控制。严格进行代码复查评审,建立执行统一的编程规范,在标识符命名、程序注释等方面统一风格,使用版本控制软件系统,保证所有开发人员基于相同的组建环境开展项目工作。
第条 系统测试运行时,应根据系统测试工作流程做好相应的记录。同时加强测试分析,将测试结果与预期结果进行对比说明,分析解决测试中发现的系统问题。
第条 全校性信息系统必须与学校公共数据平台对接,便于共享数据的抽取,对接以接口方式为主要途径;校内共享数据只能通过公共数据平台获得,不得从业务系统直接采集或重复采集。各部门有权利根据履职需要向学校公共数据平台提出信息化数据需求,同时也有义务提供共享数据。
第条 在使用学校公共数据平台的数据资源时应保护个人隐私,严格遵循申请的授权用途。必要时,网络安全与信息化领导小组办公室在提供数据时,需进行数据脱敏处理,并报经校领导同意。
第条 面向全校师生使用的校内信息系统必须采用学校统一的身份认证系统。
第条 项目执行期限结束时,项目负责人应及时向实验室与资产管理处提出验收申请,由实验室与资产管理处、系统使用单位与网络安全与信息化领导小组办公室共同组织验收。全部验收材料报网络安全与信息化领导小组办公室留档。
第条 为了保障信息系统安全稳定运行,系统建设单位应在项目完成后、上线运行前做好信息系统安全等级保护(以下简称“等保”)的定级、备案及测评工作。
(一)定级责任主体
项目建设单位是信息系统等级保护工作的责任主体,并接受网络安全与信息化领导小组办公室的业务指导。
(二)自主定级审批
信息系统的定级标准详见附件一。责任主体对信息系统进行梳理分析后,参考建议等级进行自主定级。实际定级过程中,信息系统所定等级原则上不应低于建议等级。未能涵盖的信息系统,可根据面向对象的范围、承载业务的重要性及受到破坏后造成的侵害程度等因素进行综合分析,确定安全等级。信息系统完成自主定级后,需聘请有关专家对系统定级情况进行评审,并将评审意见报上级主管部门审批。
(三)公安机关备案
经审核批准的二级(含)以上信息系统,信息系统建设单位需到公安机关办理备案手续。
(四)完成等保测评
信息系统完成等保定级备案后,应按照等级保护标准由具有等保测评资质的第三方对系统进行一次全面测评,以便发现差距,及时整改。
第条 系统上线运行前,需完成校内备案审批工作。系统建设单位应向网络安全与信息化领导小组办公室提交《信息系统上线审批表》(附件二),并提供项目验收资料和由第三方出具的等保测评报告副本留档。网络安全与信息化领导小组办公室经安全评估,确认系统满足上线条件后,予以开通。
第五章 信息系统的运行和维护
第条 信息系统建设使用单位应根据系统使用操作程序、各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照既定的程序、操作规范稳定运行。
第条 信息系统建设使用单位应做好系统运行记录,服务器和系统运行日志至少保留半年以上。对于系统运行不正常或无法运行的情况,需将异常现象、发生时间和可能的原因由专人负责记录。
第条 信息系统建设使用单位应重视系统运行的日常维护。在硬件日常维护方面,应重视各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等。
第条 信息系统建设使用单位应配备专业人员负责处理信息系统运行中的突发事件,必要时应会同系统开发人员或软硬件供应商共同解决。
第条 为降低学校信息系统安全风险,除面向社会提供公共服务的应用系统,原则上所有校内系统仅限校园网内运行,师生在校外可通过校园网远程访问接入服务(VPN)访问校内资源。信息系统如需开放外网直接访问,需在确保安全的前提下,向网络安全与信息化领导小组办公室申请例外处理。
第六章 信息系统的安全
第条 学校信息系统安全管理工作实行责任制和责任追究制,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则落实各单位网络信息系统安全责任。
第条 设有自建自管服务器及信息系统的校内单位,须严格执行信息系统的分级安全保护措施,与网络安全与信息化领导小组办公室签订《湖北工业大学自建自管信息系统安全保障承诺书》(附件三),切实落实主体责任,规范建设、运维和使用等各个环节,做好相关系统日志半年以上的留存工作。
第条 信息系统数据需定期进行备份,明确备份范围、频度、方法、责任人、存放地点和有效性检查等内容。系统首次上线运行时应当完全备份,根据业务频率和数据重要性程度,定期做好增量备份。数据正本与备份应分别存放于不同地点,防止因火灾、水灾、地震等事故产生不利影响。
第条 系统建设单位应编制完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。灾难恢复计划应定期进行检测,以便及时修正。
第条 系统建设单位根据操作人员的职责权限编发账号,操作人员只允许使用自己的账号,不得将账号借于他人使用,不得利用他人的账号进入信息系统,否则造成的后果由使用者和账号泄露者共同承担。系统建设单位应定期对系统中的账号进行审核,避免授权不当或冗余账号存在。
第条 信息系统相关人员发生岗位变化或离岗时,应当及时调整其在系统中的访问权限或者关闭账号。
第条 信息安全管理责任的追究。信息系统责任人未履行职责开展信息安全工作,如在国家、省级重大事件时期出现信息安全问题的,由上级部门直接追究相关责任;如在非国家、省级重大事件时期出现信息安全问题的,由学校网络安全与信息化领导小组办公室停止该单位信息系统的网络接入,待整顿并通过安全审核后再予恢复。如多次发生安全问题或因工作失职导致出现重大网络信息安全后果的,按照学校有关规定追究相关责任人的责任,并取消该单位和责任人的评优、评先资格。构成违法的应当依法追究相关人员的法律责任。
第七章 附 则
第条 本管理制度由网络安全与信息化领导小组办公室负责解释。
第条 本管理制度自公布之日起施行。
附件:
1.信息系统安全保护等级表
2.信息系统上线审批表
3.信息系统安全承诺书
附件3
信息系统安全承诺书
作为信息系统的业务主管单位,承诺严格遵循《中华人民共和国网络安全法》、《计算机信息网络国际互联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规和学校的规章制度,切实履行以下责任和义务:
一、本单位作为 系统安全主体责任单位,严格按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,落实信息系统安全保护责任。
二、单位主要负责人是信息系统安全工作第一责任人,负责按照国家的法律法规和学校的规章制度,落实校园网安全工作职责。
三、指定专人担任系统管理员,严格履行系统管理员职责,承担系统数据安全保护责任。
四、加强信息系统日常安全管理。
1.严格执行学校信息发布审核制度。
2.做好系统安全管理,定期进行数据备份,重要数据实时备份。
3.加强系统用户口令(密码)的安全管理,从管理和技术层面建立口令(密码)安全机制。
4.定期进行操作系统及相关软件版本升级、安全漏洞补丁更新及软件漏洞修复,在服务器内部启用防火墙和防病毒等安全措施等。
5.做好相关系统日志记录,留存不少于六个月。
五、系统退出使用须向网络安全与信息化领导小组办公室提交系统注销退出申请。
六、接受因信息系统安全问题造成的处罚并承担法律责任。
系统管理员(签字): 单位负责人(签字):
日期: 日期:
