第一章 总则
第一条 为加强学校信息化建设的规划与管理,确保信息化建设科学、规范、合理、有序开展,全面提高信息化建设水平,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《教育部办公厅关于进一步加强高等学校校园网络信息安全工作的意见》,结合学校实际,制定本办法。
第二条 学校信息化建设原则:科学规划、标准统一、分步实施、互联共享、确保安全。
第三条 本办法涉及的信息化建设是指以应用现代信息化技术进行管理与服务的信息化建设项目。学校信息化建设项目包括校园网弱电系统、信息化基础设施和设备、信息化基础平台、信息技术安全体系、硬件设备、软件系统、数据资源以及为学校提供公共服务的应用信息系统、信息化集成系统和运行维护项目等。
第二章 组织机构
第四条 学校网络安全和信息化领导小组是学校信息化建设的最高管理、监督、咨询和决策机构,负责确定学校信息化建设战略方向,审定学校信息化建设的总体规划以及对信息化建设中重大项目进行决策。
第五条 学校首席信息官(CIO)由信息化业务主管校领导担任,全面负责学校信息化工作,具体包括全校信息化建设统筹、在校级层面进行资源协调、落实学校信息化战略决策部署和工作安排。
第六条 学校网络安全和信息化领导小组下设办公室(以下简称“网信办”,办公室设在网络管理中心),是学校信息化建设的管理和执行机构,负责学校信息化建设的整体规划、方案论证、项目审批;负责信息化资源管理、建设实施、运行维护、网络用户管理、网络安全与信息保密管理、网络备案以及相关制度的制定和智慧校园应用系统的建设、集成和开发等工作。
第七条 学校各单位负责制定本单位信息化建设规划,组织本单位信息化项目立项申报、建设、管理、维护和信息安全工作。
第八条财务处是学校信息化建设项目资金管理部门,负责经费管理。
第九条 国有资产管理处是设备采购管理部门,负责信息化项目的招标采购工作。
第三章 项目立项与审批
第十条 信息化建设应根据学校信息化总体规划要求,按照“谁需要、谁立项、谁建设、谁维护”的原则执行,学校各单位是本单位信息化项目的建设主体,负责本单位信息化项目的立项、建设、管理与运行维护。
第十一条 批准立项的信息化建设项目,其申报单位即为项目责任单位,负责项目的需求分析、建设方案设计、建设实施、验收组织,对项目的建设质量、数据安全、投资效益和运行维护负责。网信办负责对项目技术方案进行审核,必要时组织专家进行论证。
第十二条 学校主干网络基础设施建设(实验室内部网络和特殊用途专网除外)、网络服务器、存储系统、网络安全等系统和设备由网络管理中心立项、申请预算、开展建设,实行集中管理。
第四章 项目实施与验收
第十三条 在信息化建设项目采购前,项目责任单位须向网信办提交技术文件以进行审核,审核内容主要为采用的网络信息技术标准(数据标准、编码标准、对接标准、认证标准、网络接入标准、网络安全规范及布线规范等)是否符合《信阳农林学院信息化数据标准》,是否有明确的数据保密措施和信息安全责任人,是否收集师生个人生物信息,是否实现与学校信息化管理服务平台对接。未经网信办审核通过的信息化建设项目不能进入招标采购程序。
第十四条项目责任单位在进行项目建设时,原则上应同步落实信息系统安全等级保护要求以及对Ipv6网络协议的支持。
第十五条 信息化建设项目合同中必须有明确的数据保密条款或签订数据保密协议,对项目中包含的软件系统明确知识产权归属。
第十六条 批准实施的信息化建设项目在合同签订、项目验收等环节,须经网信办参与文本审核和技术验收。必要时,网信办可委托第三方测试单位对系统进行安全性测试,测试验收通过方可正式上线运行。未经网信办参与验收的信息化建设项目不予经费报销。
第五章 项目管理与维护
第十七条 信息化项目进入运行与维护阶段后,项目责任单位需安排专人负责系统的日常运行维护及管理,包括业务层面的维护和管理、系统使用和推广、系统数据安全管理等。原则上信息化建设项目硬件设备部署在学校数据中心,由网络管理中心托管。
第十八条全校主干网络基础设施、平台、系统进入运行维护阶段后,网络管理中心负责设备维护、升级改造和故障处理等工作。
第六章 安全管理与等保测评
第十九条 网络安全和信息保密工作的总体原则是分级管理、分工负责、责任追究。在信息化项目建设、运行维护和日常管理中实行项目责任单位和网信办两级安全管理机制。项目责任单位负责信息化项目应用层面安全,明确网络安全管理负责人和网络安全员;网络管理中心负责全校主干网络基础设施安全。
第二十条 各单位立项建设软件系统时,如果该系统需要部署在数据中心安全系统监控之外时,必须建立安全审计、病毒检测、防范非法入侵和系统数据灾难恢复等安全保护技术措施,建立实时检测制度。
第二十一条各单位须严格遵守国家及各级网络安全和信息化部门制定的网络和信息安全有关规定,确保本部门提供的上网信息的真实性。直接发布其他部门交换共享的数据,必须经过数据来源部门认可。
第二十二条 网信办从技术、人员、制度等方面加强安全管理体系建设,从统一身份认证、防火墙、安全路由器、虚拟专用网(VPN)、身份认证系统、上网行为管理系统、入侵检测系统(IDS)、入侵防御系统(IPS)等方面进一步加强校园网络安全和信息保密制度建设。
第二十三条网络管理中心协助各项目责任单位做好信息系统的信息安全等级保护工作,根据业务性质、数据保密等级确定信息系统的安全保护等级,选择具有国家相关技术资质和安全资质的测评单位进行等级测评并定期进行安全检测,各单位应根据等保测评及安全检测结果完成相关安全整改工作。
第二十四条 网络管理中心负责收集、归档信息系统定级的相关材料和证书,并提交公安机关或上级主管部门备案。
第二十五条信息化项目在运行过程中,如出现违反国家法律、法规和学校相关规定,或出现网络与信息安全漏洞、事件事故等情况,网信办可根据实际情况提出整改或停止相关信息服务。
第七章 附则
第二十六条 本办法是学校信息化建设的基本制度,其他信息化建设相关制度以本管理办法为基准。
第二十七条 本办法由学校网信办负责解释,自发布之日起施行。
