信息化建设和信息安全管理办法(试行)

点击数:10152017-05-04 14:42:02 作者:

根据国务院《国家中长期教育改革和发展规划纲要(2010-2020年)》、中共中央办公厅、国务院办公厅关于《国家信息化发展战略纲要》,教育部《教育信息化“十三五”规划》《中国教育现代化2030》等文件精神,为全面提升学校信息化水平,推进信息化建设工作科学化、制度化、规范化,特制定本办法。

第一章 总则

一、基本原则

1、本办法所指的“信息化建设和信息安全”是指直接应用于教学、科研、管理和服务工作的各类管理信息系统、数字化教学资源、科研资料、电子图书和新媒体等以数字化形态存在和以计算机系统作为运行环境的各类信息资源及其相应的专业应用系统的建设与运行安全。其中包括各级各类校园网站(即网站域名对应IP地址为四川农业大学,校园网IP范围内的所有网站,以“四川农业大学”、“川农大”、“川农”等名义使用校外域名的网站),以及为各种信息化应用提供支撑的校园网络体系、公共数据中心、一卡通系统、物联网系统等硬件基础设施的建设与运行安全。

2、信息化建设遵循“统一规划、统一标准、统一设计、统一投资;分步实施、归口管理、资源共享”的原则。信息化建设实行项目管理制度,项目建成后的日常维护及安全管理实行“谁使用,谁负责;谁管理,谁负责”的原则。

二、建设内容

1、信息化基础设施建设

信息化基础设施建设包括为各种信息化应用提供支撑的校园网络体系、公共数据中心、一卡通系统、物联网系统等硬件基础设施与软件系统支撑平台。

2、数据资产建设

1)数据资产指各种存储或存在形式的各类数据资料。包括:信息系统源代码、安装文件、驱动文件、数据字典、数据库,系统建设过程中的各类工程文档、电子图纸,系统使用过程中产生的各类日志、标准化文档、使用手册、操作规程、四川农业大学域名和IP地址等以数字文件形式表示或存储在信息设备中的各类数据、电子文档等。

2)信息系统建设和运行使用过程中产生的各类数据资产归学校所有,由学校无偿使用和保存。

三、信息安全管理

1、本办法适用的信息安全管理对象包括四川农业大学校园网主页及校内各二级网站、电子公告、留言版、聊天室、网络文件传输、网络多媒体播放等各种信息传递与交流形式中的信息系统,接入校园网的所有网络用户,包括各中层单位计算机房、公共计算机房、电子阅览室等公共场所。

2、信息安全管理实行“分级管理、逐级负责”原则。

第二章 组织机构

一、信息化领导小组

信息化领导小组是学校信息化建设的领导机构,代表学校对信息化建设的重大事项进行集体决策。组长由主管信息化的校领导担任,副组长为党政办、信息与教育技术中心、宣传统战部、学工部、研究生院、国资基建处、图书馆等部门主要负责人,成员为各中层单位党政一把手。

信息化领导小组负责国家信息化建设方针政策在学校的宣传和贯彻执行;根据信息技术和学校信息化建设工作的现状、发展趋势,制定学校信息化建设中长期规划;审议信息化建设和校园网运行管理的重大问题;批准全校信息化建设的项目立项和鉴定;制定发布学校信息化建设、运行管理及校园网安全的各项规章制度;协调学校各方面信息化工作,召开学校信息化建设与管理会议,推进信息化工作进程;对信息化建设工作进行检查评估、成果鉴定和奖惩。

二、信息化推进办公室和信息安全办公室

1、信息化领导小组下设信息化推进办公室和信息安全办公室。

2、信息化推进办公室是学校信息化领导小组的办事机构,挂靠在信息与教育技术中心,主要负责学校信息化建设工作的规划、实施、协调和日常管理工作。包括:校园信息化建设规划的制订、项目开发策略和方案的确定,项目开发实施过程的辅助管理、协助开展项目建设和验收的相关工作等。

3、信息安全办公室主要由学校宣传统战部牵头,信息与教育技术中心协同完成工作。主要负责学校信息安全工作的组织协调,信息安全事件的应急响应、处置及其督察;信息安全管理队伍建设及信息安全培训;接受和配合政府有关部门的信息安全监管检查;指导和定期检查校内各单位信息安全工作,通报校园信息安全事件,协助各中层单位做好信息安全整改等。其中,宣传统战部负责学校信息系统内容的管理工作,信息与教育技术中心负责信息系统技术安全的管理工作。

三、中层单位信息化建设和信息安全工作小组

各中层单位设立信息化建设和信息安全工作小组,由党组织书记或行政一把手任组长,信息化工作具体实施人员为小组成员,在学校信息化领导小组的领导下,按照学校的统筹规划,负责本单位信息化建设、运行和信息安全管理工作。

第三章 信息化建设管理

一、信息化基础设施建设

(一)校内信息化基础设施建设与维护

1、校园信息化基础设施的整体规划、技术核定实行归口管理。校内新建、扩建、改造或大修楼宇的网络系统,一卡通系统、有线电视系统等信息化公共基础设施由信息与教育技术中心统一规划、技术核定,并会同相关部门进行建设和维护。

2、校内其他单位或外来单位需要通过上述设施进行增设或新建,需提前报请信息与教育技术中心审批,在中心的监管下方能进行施工。任何单位和个人不得私拉乱接或未经许可任意改变公共信息基础设施,否则将对已造成的影响酌情进行赔偿并按学校要求限期修复和整改。

3、信息化基础设施的日常管理和维护采用分级负责制。公共区域的信息化基础设施和系统维护由信息与教育技术中心负责;与之配套的诸如电等其他基础设施维护由后勤总公司负责;安装在使用单位区域内的信息化基础设施,其安保、清洁、配件损坏更换等非技术性维护与管理由各使用单位自行负责。

(二)计算机机房建设与维护

1、校内核心服务器机房建设与使用

为促进校内信息资源整合,提高信息化基础设施利用率,便于集中管理,校内核心服务器机房及数据中心机房统一由信息与教育技术中心建设并向全校提供信息服务。各类网络服务器、交换机、网络存储系统、网络安全设备等基础硬件系统均由信息与教育技术中心统一规划、集中采购、统一管理。校内各单位可根据实际需求申请使用服务器资源。

2、各单位自购服务器及使用

特殊情况下,各单位如需单独购买服务器使用,需报信息化推进办公室备案,获审批后方能进行采购。其硬件使用和后续维护需各单位自行负责。

3、各单位教学实验用计算机机房建设与管理

各单位可根据实际教学实验需求申请建设本单位内部的公共计算机机房,但需提前向信息化推进办公室报备并获得审批。其场地建设和后续管理均由各单位自行负责,用户上网日志需按照国家规定保存备查。

二、信息系统建设

(一)基本原则

学校信息系统建设采取项目管理制。根据学校信息化建设总体规划和各单位信息化建设需求,由信息化推进办公室进行项目分解,制订年度项目执行计划,逐项推进实施。

(二)建设及管理方式

1、项目立项

校内各单位的信息系统建设项目必须纳入学校信息化建设项目统一管理。各部门信息化建设无论经费出处,均实行项目备案制度,须统一向信息化推进办公室提交项目申请,批准后方可立项。否则,对于未获批立项的项目,信息化推进办公室将不予提供校内公共数据资源使用和系统对接,不予接入校内统一身份认证系统;审计处不予项目验收审计。

2、项目建设规范

1)信息系统建设可采取自主研发、合作开发、委托招标等多种方式完成项目建设,但必须严格遵循学校统一信息标准、使用校内公布的标准编码方式,按照校内信息化建设规范和安全规范进行开发,并确保所有信息系统实现标准化信息交换和资源共享,保证数据的一致性和完整性。信息化推进办公室负责配合进行技术指导、项目监督和项目验收等辅助工作。

2)在本管理办法颁布之前已经上线运行的信息系统,管理和使用单位应负责与原开发单位签订补充协议,确保该系统符合学校信息标准、信息化建设相关规程和安全规范,完成开放标准接口并与学校公共信息平台实现数据对接和功能对接(含统一身份认证等)。

三、信息系统产权归属

1、信息系统建设应严格遵照国家相关知识产权保护政策,逐步实现“校园正版化”,杜绝因盗版软件引起的法律纠纷和系统安全问题。

2、信息化建设鼓励使用具有自主知识产权的正版国产软件以及开源软件系统。学校信息化建设中自行开发、委托开发的管理应用系统,其知识产权归学校。

第四章  信息化运行管理

一、日常管理及系统维护

各信息系统日常管理及后续维护均实行“谁使用,谁负责;谁管理,谁负责”原则,即各使用单位负责各自信息系统的日常维护、系统管理和校内数据交换等。

二、数据资产管理

(一)基本要求

1、学校拥有对校内所有数据资产的无偿使用、管理和保存的权限。任何单位或开发机构等不得以任何理由拒绝提供给学校使用,且不能由此提出任何收费要求。

2、按照“谁产生,谁负责”原则,校内所有数据资产按照其属性归口到各使用单位,由信息化推进办公室进行统一管理和分配使用,各单位对各自主管的信息系统产生的数据进行更新和维护。

3、校内所有信息系统均应执行《高等学校管理信息标准》最新版本、“四川农业大学信息标准”、四川农业大学自编数据代码标准集。所有数据均通过全校公共数据中心存储和交换,除个别特殊需求系统(如财务系统或其他对安全保密要求高的系统)外,任何单位或开发机构不得以任何理由拒绝配合校内数据整合或由此提出收费要求。

(二)数据资产使用与管理

1、各信息系统需要使用学校数据资产时,需到信息化推进办公室申请,审批后通过标准接口接入公共数据管理平台进行使用。

2、各信息系统需变更数据时应报信息化推进办公室备案后及时变更。

3、校内信息系统应及时按照学校信息编码标准更新其数据编码方式,如却因系统设计问题不能完全修改,应配合提供新旧数据字典及编码方式映射对应表,并提供开放数据交换接口完成数据清洗和整合。

第五章  信息安全管理

一、信息系统安全管理

1.学校任何单位和个人不得在各校园信息系统上发布涉密信息和《互联网信息服务管理办法》所禁止的有害信息。各中层单位须按照学校信息系统建设与管理的总体原则,加强对本单位所建系统信息发布和信息安全的管理,并及时更新系统内容。

2.实行信息系统安全领导负责制,各单位信息化建设和信息安全工作小组组长作为本单位各信息系统安全的责任主体,向学校信息化领导小组负责;各信息系统直接负责人向单位负责人负责。相关负责人的变动应及时报信息安全办公室备案。

3.各类信息系统运行期间须做好信息系统安全等级保护工作,包括安全等级变更备案与安全测评,不符合要求的须在指定期间完成整改,使之持续具备与其安全等级相适应的信息安全防范能力。信息系统日常运行维护须从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复等方面加强安全管理。

4.学校任何单位和个人发现校园信息系统出现涉密信息、有害信息,应及时报告信息安全办公室处理,并根据实际情况及时取证。信息安全办公室人员接到举报或发现潜在信息安全问题时,应对安全事件进行分级,并按要求通知到责任单位。责任单位应按时完成系统安全问题整改,确认整改合格后,方可恢复运行。对于玩忽职守或有意危害造成校园信息安全事件的,学校将根据损失情况和不良影响的程度,由学校监察处等部门对信息系统主管(办)单位负责人和当事者进行追责,涉嫌违法犯罪的移送司法机关处理。

5.对所有接入校园网利用网络资源的人员和用户进行注册备案、实名制管理。用户使用账号上网时,应自觉遵守国家颁布的有关法律和规定,必须对因使用账号上网产生的一切行为负责,并承担相关不良后果的法律责任。

6.各学院计算机房、公共计算机房、电子阅览室等公共场所的计算机上网,须做好本地实名登记记录,并按照规定保存日志备份,便于后期落地查人。对此规定未落实或落实不到位,具体管理人员和单位负责人自行承担相应后果。

二、数据安全管理

1、校内信息系统产生的数据按照数据类型进行分类,包括公共基础数据和公共敏感数据。

1)公共基础数据:来源于各信息系统,经过数据生产部门确定后进入校级公共数据交换平台,并可以被其他信息系统引用。

2)公共敏感数据:来源于各重要信息系统,经过数据生产部门确定为涉及敏感信息的公共数据,需要经过信息化推进办公室和数据生产部门共同审批将数据脱敏后才能进行公共数据交换和引用。

2、数据使用和管理

1)校内各单位需要使用数据资产需报信息化推进办公室批准后方能使用。

2)各信息系统需要使用数据资产均需签署《数据保密承诺书》后才能使用。各信息系统管理员和维护员应负责所引用的公共数据安全。

3)不允许校内任何机构和个人以非法方式获取公共数据,或将带有敏感类型的数据泄露给第三方,由此造成了相关问题或影响将依法追究其职责。

4)校内数据资产受我校信息安全和数据产权保护,未经授权和许可,任何单位或个人不能以任何方式向外公布、拷贝或以任何形式公布给第三方。否则将追究当事人的法律责任。

5)在整理和维护数据资产时,各类操作员应小心操作、定期备份,任何操作有备案和操作日志记录,避免由于误操作造成数据缺失或数据损失。

第六章 附则

1、本办法自公布之日起实施。

2、本办法由信息化推进办公室和信息安全办公室负责解释。

3、本办法所涉信息安全方面的专业名词、技术规范等要求详见附件细则。

其中,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息安全管理实施细则(试行)

                                                                                                              中共四川农业大学委员会

                                2017年227