第一章 总 则
第一条 为规范学校信息系统建设与运行维护工作,加强信息系统管理,根据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》等法律法规,结合学校工作实际,制定本办法。
第二条本办法所称信息系统是指为满足学校教学、科研、管理和服务而建设的信息收集、传递、存储、加工、维护和使用的人机交互系统。
第三条信息系统建设管理应遵循“统一规划、资源共享、安全高效、管理有序”的原则。
第二章 职责与分工
第四条信息系统建设涉及到的单位主要包括信息中心、建设单位、开发单位和对接单位。建设单位是指负责建设信息系统的学校中层单位;开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的供应商;对接单位是指信息系统需要对接集成的系统所属单位。
第五条信息中心主要职责:
(一)制定信息系统管理制度;
(二)协调解决信息系统建设与运行维护过程中出现的重大问题;
(三)监督检查信息系统建设与运行维护各阶段工作落实情况;
(四)组织信息系统安全等级保护测评与备案。
第六条建设单位的主要职责:
(一)成立信息系统建设项目组,项目组组长一般由建设单位主要负责人担任,成员主要包括建设单位相关科室负责人、开发单位项目经理、技术人员等;
(二)审核开发单位在信息系统建设各阶段形成的文档,协调相关单位进行需求调研、系统设计及系统开发工作,负责系统测试、验收及上线试运行工作;
(三)负责信息系统以及操作系统、中间件、数据库系统等运行环境的管理与安全;
(四)负责信息系统用户咨询、故障处理;
(五)配合信息中心、开发单位完成信息系统安全等级保护测评及备案工作。
(六)监督开发单位遵守以下规定:
1.遵守《中华人民共和国网络安全法》等相关法律法规及相关国家标准的要求,保障所提供信息系统的自身安全和稳定运行,能够有效应对网络攻击,通过备份、加密、敏感数据脱敏等措施保护数据的完整性、保密性和可用性。因息系统自身安全问题造成的一切后果(包括法律、经济等方面责任)由开发单位承担全部责任;
2.信息系统不得设置后门、木马等功能和恶意程序;产品存在安全缺陷、漏洞等风险时,应当及时告知建设单位,并立即采取补救措施;
3.开发单位应当为其软件产品运行所依赖的操作系统、数据库系统、中间件、开发框架、第三方组件、容器等持续提供安全维护,并承担相应的安全责任;
4.信息系统具有收集用户信息功能,须向建设单位明示并取得同意;涉及用户个人敏感信息的,还应当遵守《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规有关个人信息保护的规定。
第七条对接单位的主要职责:
(一)配合建设单位和开发单位完成系统对接方案编制及开发工作;
(二)配合建设单位完成系统对接测试工作;
(三)配合建设单位、开发单位进行系统对接部分的故障处理。
第三章 需求管理
第八条每年4月底前各中层单位向信息中心申报下一年度的建设项目。项目建设方案中应明确项目建设的必要性、系统架构、数据结构、功能模块、集成接口、安全设计等内容,主要生产厂家、数量、单价、预算(表1),产品的质保期限、售后服务内容,服务器资源、操作系统、数据库以及网络安全等级保护等网络安全方面需求。
表1 建设项目采购产品一览表
产品 名称 |
符合要求的主要厂家 (至少3家) |
数量 |
单位 |
单价 |
小计 |
|
|
|
|
|
|
|
|
|
|
|
|
预算合计 |
|
第九条信息中心对项目资料进行审核,会同建设单位优化建设方案后报学校审批。审批结果由信息中心向建设单位反馈。
第十条项目审批通过后,建设单位项目组开展需求调研工作,制定项目技术方案报信息中心。
第十一条信息中心组织业内专家对项目技术方案进行论证、修改后,按照学校招标采购相关规定进行采购。
第四章 系统开发
第十二条 开发单位在系统开发前应签订《系统开发、运维服务承诺书》(附件1)报建设单位存档。
第十三条 开发单位在系统开发前制定详细、合理的项目开发计划,项目组负责审核并由组长签字确认。
第十四条 开发单位按照开发计划规定的进度进行信息系统开发。项目组按照开发计划中的时间节点要求,对开发单位的工作进行督促检查,并协调对接单位完成对接集成开发。
第十五条 开发单位在系统开发过程中应结合国家、行业及学校相关规范和标准制定系统开发规范并严格遵守。开发规范至少应包括软件开发安全规范、命名规范、数据库规范、代码及注释格式规范等。
第十六条 在系统开发过程中,建设单位和开发单位均可根据实际情况及合同约定提出需求变更。系统变更应符合学校相关规定。
第十七条 原则上系统上线前应出具我校认可的具有资质的第三方安全测试报告,测试标准至少应依据等保测评应用安全检测标准、CNAS软件安全测试标准,并根据测试报告完成安全漏洞修复。
第五章 系统测试
第十八条 系统测试前由开发单位提交测试文档,至少应包括测试用例、测试报告(含单元测试、集成测试、性能测试等)、系统安装部署文档及系统安装文件。项目组对测试文档进行审核并由组长签字确认后方可进行系统测试。
第十九条 在学校信息化基础平台上运行的信息系统由建设单位向信息中心申请测试服务器,其他信息系统由建设单位自行提供测试服务器。测试环境的操作系统及数据库等基础系统版本应与生产环境保持一致。测试环境的管理与维护由建设单位指定专人负责。
第二十条 建设单位负责为开发单位提供与信息系统数据格式一致的测试数据;信息系统使用学校基础数据的,由信息中心提供测试数据。
第二十一条 测试步骤。开发单位在测试服务器上根据系统安装部署文档部署测试环境;建设单位、开发单位依据需求、设计文档、采购时的技术参数要求,结合测试用例完成系统测试,形成功能测试报告、性能测试报告、对接测试报告。
第二十二条 对于测试中发现的问题,开发单位须积极进行整改,直至测试通过。
第六章 初步验收
第二十三条 系统完成测试并由开发单位完成系统维护培训后,方可进行初步验收。
第二十四条 建设单位负责组织初步验收。验收小组由项目组成员、信息中心等单位专家组成。
第二十五条 初步验收小组应听取开发单位工作报告及系统演示并对各阶段文档进行审阅,依照合同及招标材料内容,对信息系统完成情况及质量进行评价并提出意见和建议。开发单位对存在的问题进行整改。
第二十六条 初步验收通过后,应形成信息系统初步验收报告,并由项目组长签字确认。
第七章 上线试运行
第二十七条 建设单位向信息中心提交信息系统上线试运行申请、初步验收报告和《河北农业大学信息系统登记表》(附件2),经审核批准后方可上线试运行。
第二十八条 建设单位可向信息中心申请学校信息化基础平台资源用于信息系统的运行。建设单位自行提供的生产环境,须严格按照项目论证时确定的网络安全保护等级要求进行配置,并负责信息系统安全。
第二十九条 信息系统建设单位应做好系统资料存档工作。资料主要包括系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告、系统最终版本的安装文件等。
第三十条 信息中心根据建设单位需求及学校信息化基础平台相关规定进行生产环境配置,由开发单位进行信息系统的安装部署。
第三十一条 建设单位应指定专人负责信息系统及其运行环境中的各类用户账号管理及权限配置。系统正式上线前,所有测试账号或开发单位使用的账号应由建设单位删除或收回。
第三十二条 信息系统账号口令应遵循以下要求:
1.须使用安全口令,严禁使用弱口令。口令长度至少8位, 且必须同时包含大小写字母、数字、特殊字符,尽量避开有规律、易破译的数字或字符组合,不得用姓名、电话号码以及出生日期等作为口令或者口令的组成部分。
2. 口令须定期更换,更换周期不得超过90天;
3. 由于员工离职等原因,不再使用的账号应及时清理。原账号不能删除或者需要重新赋予另一个人时,应修改相应账号的口令;
4.信息系统应采用双因子认证机制等安全措施,提高身份认证的安全性。
第三十三条 系统试运行期一般1至3个月。试运行期满且状况良好的,可进行竣工验收。竣工验收的内容及形式按照学校相关规定执行。
第八章 运行维护
第三十四条建设单位负责信息系统的维护与管理,并制定相关管理制度,确保系统稳定运行。
第三十五条建设单位负责信息系统数据备份工作。备份频率依据业务需求确定。
第三十六条信息系统至少保存6个月的日志。
第三十七条建设单位根据业务特点制定信息系统故障处理应急预案。出现故障时,由建设单位牵头,协调有关单位按照“分级负责、协同处理、快速反应、有力保障”的原则进行处置。
第三十八条建设单位应通过服务电话、电子邮箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议,并根据用户反馈信息及时对系统进行调整与更新。
第九章 附 则
第三十九条本办法由信息中心负责解释。
第四十条本办法自公布之日起施行。
附件:1.系统开发、运维服务承诺书
2.河北农业大学信息系统登记表
附件1:
系统开发、运维服务承诺书
本单位在对河北农业大学 开发、维护期间,对校方的工作成果、知识产权归属、保密责任、网络安全等事项承诺如下:
一、 定 义
1.职务/委托作品:是指在维护期间,本公司主要利用校方的物质技术条件创作,并由校方承担责任的所有研究、开发成果(含阶段性成果),包括但不限于工程设计成果、产品设计图纸、计算机软件(含源代码、算法、文档)、技术方案、商标或企业标志等。
2.商业秘密:是指不为公众所知悉,能为校方带来经济利益、具有实用性并经校方采取保密措施的经营、决策等信息。其范围包括但不限于:
(1)校方的人事资料、管理决策、营销策略、运营机制、财务状况、招投标中的标的及标书内容、客户资料、生产基地、试验基地、工程师名录、货源情报等信息。
(2)校方未公开的销售网络、财务资料及校方的开发经营计划等。
3.科学技术秘密:是指不为公众所知悉,校方已采取一定保密措施、能为校方带来经济效益或具有潜在经济利益的技术信息,包括校方已采取保密措施的其他合作方的技术信息。其范围包括但不限于:
(1)校方或第三方已获国家批准的发明或专利技术,且该发明或专利技术已在国家知识产权局备案为保密技术。
(2)校方或第三方正在研究试制可能成为发明或专利的新技术或阶段性成果。
(3)属于校方或第三方所有的,国外没有或国外虽有但也属于保密范围内的重要科学技术研究成果。
(4)校方或第三方特有的技术诀窍及传统工艺技术,包括产品的设计图纸、制造工艺等。
(5)校方或第三方的计算机系统配置、系统安全、所开放用户等机密数据或参数等。
(6)校方或第三方的机密图纸、机密文件、技术档案、发展规划、网络组织结构、各种设计文本等内部文件(书面和电子版)。
(7)其他校方已采取相应措施、需要保密的科学技术。
二、 本公司义务
1.只要校方提出了保密要求,本公司应该知道存在商业秘密、应采取合理的保密措施、应承担保密义务。
2.本公司应就与校方提供本承诺书之前,本公司已按照法律规定或与第三方协议约定所应承担的保密义务状况向校方作出书面说明。
3.本公司应就与校方提供本承诺书之前,本公司已按照法律规定或与第三方协议约定所负的、在一定时期和领域内禁止的行为的基本情况向校方做出书面说明。
4.本公司承诺,非因完成校方的工作或任务之需,本公司不得使用校方的信息、资料,不得通过不正当手段获得、使用校方及客户的商业秘密和科学技术秘密,不得为个人牟利或其他目的散布、传播、出版、发表信息。
5.本公司承诺,未经校方书面许可,不得将由校方提供的或因工作需要而获知的校方商业秘密、科学技术秘密随意携带、泄露、提供、转让给任何第三方。
6.本公司承诺,不得泄露校方的人事资料、管理诀窍、产销策略、运营机制、财务状况、招投标中的标底及标书内容、客户资料、生产基地、试验基地、工程师名录、货源情报等信息。
7.本公司承诺,若本公司员工在工作期间接触或掌握校方所拥有的科学技术秘密和商业秘密等信息不得泄露。保守工作秘密应当与行政管理工作相结合,实行业务工作谁主管、保密工作谁负责的原则。在商业秘密和科学技术秘密等信息保护期限内,劳动合同终止的,当事人仍负有保护技术秘密的义务。若本公司员工向外泄露校方秘密,无论其是否离职,均由本公司承担相应责任。
8.本公司不得引诱他人窃取、泄露、攻击、破坏校方及校方客户的商业秘密、科学技术秘密。
9.本公司员工因任何原因离开校方的,均应将领用的所有属于校方的款项、物资、与业务有关资料等清还校方;关于业务资料的归还,不论业务资料是否包含校方的信息,也不论该资料是由本公司收集整理所得或任何他人提供,均应归还校方,并且本公司不得对该资料进行复制、传播。
10.本公司员工在任职期间,参加学术交流、派出执行任务或者参与技术鉴定等活动的,凡涉及校方商业秘密、科学技术秘密、管理秘密的,应当事先征得校方书面同意方可对外交流,并将得到的相应资料交校方存档。
三、 权利归属与责任限定
1.职务作品的署名权归校方,与作品的其他相关知识产权权利均归校方。如属于校方委托作品的,委托作品的知识产权均归校方。
2.本公司对已有权利状况、受限情况的书面说明,是校方安排本公司的工作岗位及工作任务的基础。本公司未对已有权利状况、受限情况做出书面说明的,视为本公司没有在先权利,不受任何限制。
3.因本公司未能对已有权利状况、受限情况做出明确的书面说明,导致第三方对校方追诉的,本公司应独立承担相应的责任。本公司还应赔偿校方因此遭受的损失。赔偿范围为:校方提供证明实际损失发生的证据及数额。
4.因本公司未能办妥交接手续,造成校方损失的,本公司应承担相应损失及责任。赔偿范围为:校方提供证明实际损失发生的证据及数额。
5.双方在履行义务过程中如有争议,应尽量通过友好协商解决。若经双方协商不能达成协议时,任何一方有权向校方所在地人民法院诉讼解决。
四、 保密期限
保密期限自本协议签订之日起,至校方将上述商业秘密和科学技术秘密对外公开之日止。
五、 网络安全事项
遵守《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》以及有关法律、法规和规章制度。
1.明确该项目的负责人、技术人员。负责人和项目主要成员发生变更,及时向学校报备,确保联系信息的准确性、实时性。
2.遵守学校有关网络安全规定,服从学校管理。
3.不断改进优化系统,保证系统的可升级性和可维护性。
4.对已知漏洞和安全隐患及时进行修补,发布升级补丁。
5.未得到学校授权的情况下,不在系统上发布任何信息,不创建账号,不修改、删除系统数据,不传播系统数据,不做数据分析;不修改本系统及计算机的参数和配置文件,不修改、传播计算机文件,不打印或者使用各类存储介质转存系统数据、程序。不对外扩散IP、端口、账号等系统信息。
6.计算机如需送校外维修,维修方应将硬盘交校方保存,不得将硬盘带出。
7.不从事危害学校网络和信息安全的行为,如窃取或者破坏系统信息、损害他人合法权益;故意制作、复制、传播计算机病毒或者以其他方式攻击他人网络或网络设施等。
8.当系统发生故障时,能迅速进行响应与处置,将损失和影响降到最小范围。
9.不经授权,不得以任何形式发布或向第三方提供本系统数据。
10.若违反上述网络安全事项有关条款和国家相关法律法规,由本公司承担责任。
单位名称:
(盖章)
授权代表签字:
签订日期: 年 月 日
附件2:
河北农业大学信息系统登记表
单位名称:
系统名称 |
|
管理 人员 信息 |
人员类别 |
姓名 |
办公电话 |
手机号码 |
电子邮件 |
分管领导 |
|
|
|
|
系统负责人 |
|
|
|
|
系统管理员 |
|
|
|
|
系统 基本 情况 |
域名 |
|
校内IP地址 |
|
校外IP地址 |
|
服务器 操作系统 |
|
数据库系统 |
|
主要 功能 描述 |
|
服务器 位置 |
□ 学校中心机房 □ 校内:_________校区 _________楼 _________ 室 □ 校外托管(托管单位):___________________________ |
开发 方式 |
□ 自主设计开发(不含二次开发) □ 委托国内厂商开发 厂商名称:_________________ □ 直接采购国内厂商产品 厂商产品名称:_________________ □ 委托国外厂商开发 厂商名称:_________________ □ 直接采购国外厂商产品 厂商产品名称:_________________ |
服务种类 |
□业务系统 □单位主页 □个人主页 □FTP □留言系统 □电子公告服务(BBS、论坛、聊天室) □其它_________ |
涉及个人 信息情况 |
□ 收录或处理个人信息 □ 不收录、不处理个人信息 |
网络连接 情况 |
□ 可以通过互联网访问 □ 仅限校内访问 |
系统 基本 情况 |
涉及重要 业务情况 |
□涉及考试 □涉及招生 □涉及认证 □ 涉及校内教师重大利益 □ 涉及校内学生重大利益 □ 涉及学生家长重大利益 □ 对正常教育管理公共服务具有重大影响 □ 对正常教学活动具有重大影响 □ 其他________ |
备份情况 |
是否进行重要数据备份:□ 是,备份周期为:_________ □ 否 备份目标:□本机 □其他本地介质 □互联网__________ |
管理制度 |
□ 有 □ 没有 |
ICP 备案 |
是否ICP备案 |
|
ICP备案号 |
|
ICP备案机关 |
|
ICP备案时间 |
|
等保 定级 |
是否已定级 |
|
若已定级 则定级别 |
|
等保 备案 |
是否备案 |
|
备案证明号 |
|
备案机关 |
|
定级备案时间 |
|
等保 测评 |
是否通过测评 |
|
安全测评 报告编号 |
|
安全测评 机构名称 |
|
运维 情况 |
是否由外 单位运维 |
|
运维单位名称 |
|
中层 单位 意见 |
主要负责人签字: (单位盖章) 年 月 日 |
备注:
1. 每个系统(网站)填写一份登记表。
2. 网站及信息系统主管单位对网站及信息系统信息内容安全负责。
3. 网站及信息系统负责人对该网站及信息系统安全负责。
4. 以上信息发生变化后,重新提交本表。
5. ☑为“是”,□为“否”。
6. 此表一式二份,正反面打印,中层单位、信息中心各一份。