第一条 为加强学校信息系统管理,规范校园网络信息服务,促进学校信息化建设的健康发展,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网络管理暂行规定》《信息安全等级保护管理办法》及国家其他相关法律、法规对互联网安全管理的要求,结合学校实际,制定本办法。
第二条 学校信息系统是指运行于校园网内的,由相关硬件、软件、信息资源、信息用户、规章制度和其它外围设备组成的,以处理信息流为目的的应用系统。学校信息系统包括但不限于校务管理类、教学科研类、招生就业类和综合服务类信息化应用系统。
第三条 信息系统建设项目纵向分为两级:一级项目是指面向全校师生提供服务,由学校信息化管理部门统筹实施的项目;二级项目是指由我校各单位建设实施的项目。信息系统建设项目横向分为校内项目、校外项目,校内项目是指由学校全部投资或部分投资建设实施的项目;校外项目是指由校外实体投资,在我校建设并接入我校校园网的信息化建设项目。
第二章 信息系统的管理机构
第四条 学校网络安全和信息化领导小组统一领导、统一谋划、统一部署全校网络意识形态工作、网络安全和信息化发展工作。领导小组办公室由党委宣传部和信息化办公室组成。宣传部负责网络信息安全管理和网络舆情管控,协调推进网络空间法治建设。信息化办公室为网络安全提供技术保障,定期对重要岗位员工进行信息系统安全培训,强化全体员工的安全意识。学校各单位应成立本单位网络安全和信息化领导机构,统筹负责本单位网络安全和信息化工作。
第五条 信息化办公室作为学校信息化工作主管单位,负责全校信息化规划、建设及管理规范的制定工作,并为网络安全提供技术保障。信息化办公室是我校信息系统的归口管理部门。
第三章 信息系统的开发立项
第六条 为增强我校信息系统建设的针对性、实效性、计划性和规范性,信息化办公室定期面向全校各单位征集信息化建设需求、组织专家论证并前置审批。通过前置审批的项目,可纳入学校年度信息化建设项目库,作为我校下一年度信息化建设的立项备选。列入项目库的建设任务,方可进入学校相关的立项和招采流程。
第七条 信息化办公室前置审批环节将对是否存在重复建设、数据共享要求和系统安全等方面进行审核。对危及校园网络和信息系统运行安全的建设项目实行一票否决,停止项目建设。
第八条 信息系统建设项目按照天津市和学校相关规定进行立项审批。
第九条 项目立项后,应由系统建设单位成立项目管理组织,明确责任人和管理实施人员,并提出建设目标、分阶段建设方案和进度安排等。校方与承建方均需配配备负责人,全程负责业务系统的实施和支持。
第十条 信息系统建设项目可根据实际情况选择开发方式,开发方式包括自行开发、外购调试或业务外包等。
第四章 信息系统建设的过程控制
第十一条 信息系统建设全过程必须遵循《天津师范大学数字化(智慧)校园信息标准》《天津师范大学自定义编码规范》的相关要求,使用学校的域名和IP地址。
第十二条 依据信息系统需求设计解决方案。解决方案包括系统总体架构设计、功能模块设计、数据库设计、输入输出设计、处理流程及硬件选择等。
第十三条 信息系统建设规划应充分考虑系统建成后的控制环节,建立设计评审和设计变更控制流程,将学校经济活动业务流程、关键控制点和处理规程嵌入系统程序,实现手工环境下难以实现的控制功能。
第十四条 系统研发过程中,应实行系统编程环节的控制。严格进行代码复查评审,建立执行统一的编程规范,在标识符命名、程序注释等方面统一风格,使用版本控制软件系统,保证所有开发人员基于相同的组建环境开展项目工作。
第十五条 系统测试运行时,应根据系统测试工作流程做好相应的记录。同时加强测试分析,将测试结果与预期结果进行对比说明,分析解决测试中发现的系统问题。
第十六条 全校性信息系统必须与学校公共数据平台对接,便于共享数据的抽取,对接以接口方式为主要途径;校内共享数据只能通过公共数据平台获得,不得从业务系统直接采集或重复采集。各部门有权利根据履职需要向学校公共数据平台提出信息化数据需求,同时也有义务提供共享数据。
第十七条 在使用学校公共数据平台的数据资源时应保护个人隐私,严格遵循申请的授权用途。必要时,信息化办公室在提供数据时,需进行数据脱敏处理。
第十八条面向全校师生使用的校内信息系统必须采用学校统一的身份认证系统。
第十九条 项目验收环节应实行分类管理。在项目执行期限结束时,项目负责人应及时向国有资产管理处提出验收申请。校内一级项目由国有资产管理处、系统使用单位与信息化办公室共同组织验收。校内二级项目由国有资产管理处、系统建设单位组织验收。校外项目由国有资产管理处、系统建设单位与投资方组织验收。校内二级项目与校外项目须将全部验收材料报信息化办公室留档。
第二十条 为了保障我校信息系统安全稳定运行,系统建设单位应在项目完成后、上线运行前做好信息系统安全等级保护(以下简称“等保”)的定级、备案及测评工作。
(一)定级责任主体
校内一级项目的等保相关工作由信息化办公室统一负责;其它各级各类信息系统建设项目的等保相关工作由信息化办公室指导、各建设单位具体负责。
(二)自主定级审批
学校在信息系统分类的基础上,参照教育部《教育行业信息系统安全等级保护定级工作指南(试行)》的规定,制定我校信息系统安全等级建议表(附件1)。定级责任主体对信息系统进行梳理分析后,参考建议等级进行自主定级。实际定级过程中,信息系统所定等级原则上不应低于建议等级。如遇未能涵盖的信息系统,可根据面向对象的范围、承载业务的重要性及受到破坏后造成的侵害程度等因素进行综合分析,确定安全等级。信息系统完成自主定级后,需聘请有关专家对系统定级情况进行评审,并将评审意见报上级主管部门审批。
(三)公安机关备案
经审核批准的二级(含)以上信息系统,信息系统建设单位需到公安机关办理备案手续。
(四)完成等保测评
信息系统完成等保定级备案后,应按照等级保护标准由具有等保测评资质的第三方对系统进行一次全面测评,以便发现差距,及时整改。
第二十一条 系统上线运行前,需完成校内备案审批工作。系统建设单位应向信息化办公室提交《信息系统上线审批表》(附件2),并提供项目验收资料和由第三方出具的等保测评报告副本留档。信息化办公室经安全评估,确认系统满足上线条件后,予以开通。
第五章 信息系统的运行和维护
第二十二条信息系统建设使用单位应根据系统使用操作程序、各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照既定的程序、操作规范稳定运行。
第二十三条 信息系统建设使用单位应做好系统运行记录,服务器和系统运行日志至少保留半年以上。对于系统运行不正常或无法运行的情况,需将异常现象、发生时间和可能的原因由专人负责记录。
第二十四条信息系统建设使用单位应重视系统运行的日常维护。在硬件日常维护方面,应重视各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等。
第二十五条信息系统建设使用单位应配备专业人员负责处理信息系统运行中的突发事件,必要时应会同系统开发人员或软硬件供应商共同解决。
第二十六条 为降低学校信息系统安全风险,除面向社会提供公共服务的应用系统,原则上所有校内系统仅限校园网内运行,师生在校外可通过校园网远程访问接入服务(VPN)访问校内资源。信息系统如需开放外网直接访问,需在确保安全的前提下,向信息化办公室申请例外处理。
第六章 信息系统的安全
第二十七条 学校信息系统安全管理工作实行责任制和责任追究制,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则落实各单位网络信息系统安全责任。
第二十八条 设有自建自管服务器及信息系统的校内单位,须严格执行信息系统的分级安全保护措施,与信息化办公室签订《天津师范大学自建自管信息系统安全保障承诺书》(附件3),切实落实主体责任,规范建设、运维和使用等各个环节,做好相关系统日志半年以上的留存工作。
第二十九条 信息系统数据需定期进行备份,明确备份范围、频度、方法、责任人、存放地点和有效性检查等内容。系统首次上线运行时应当完全备份,根据业务频率和数据重要性程度,定期做好增量备份。数据正本与备份应分别存放于不同地点,防止因火灾、水灾、地震等事故产生不利影响。
第三十条 系统建设单位应编制完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。灾难恢复计划应定期进行检测,以便及时修正。
第三十一条 系统建设单位根据操作人员的职责权限编发账号,操作人员只允许使用自己的账号,不得将账号借于他人使用,不得利用他人的账号进入信息系统,否则造成的后果由使用者和账号泄露者共同承担。系统建设单位应定期对系统中的账号进行审核,避免授权不当或冗余账号存在。
第三十二条 信息系统相关人员发生岗位变化或离岗时,应当及时调整其在系统中的访问权限或者关闭账号。
第三十三条 信息安全管理责任的追究。信息系统责任人未履行职责开展信息安全工作,如在国家、市级重大事件时期出现信息安全问题的,由上级部门直接追究相关责任;如在非国家、市级重大事件时期出现信息安全问题的,由学校信息化办公室停止该单位信息系统的网络接入,待整顿并通过安全审核后再予恢复。如多次发生安全问题或因工作失职导致出现重大网络信息安全后果的,按照学校有关规定追究相关责任人的责任,并取消该单位和责任人的评优、评先资格。构成违法的应当依法追究相关人员的法律责任。
第七章 附 则
第三十四条 本管理制度由信息化办公室负责解释。
第三十五条本管理制度自公布之日起施行。《天津师范大学信息系统管理制度(试行)》(师大政发〔2017〕180号)废
目的地搜索