为加强校园信息系统的安全管理,保障学校智慧校园整体安全运行,避免信息系统重复建设,根据《教育部关于加强教育行业网络与信息安全工作的指导意见》要求,结合学校信息化建设相关规定,制定本办法。
第一章总则
第一条金沙体育信息化建设以“统筹规划、面向服务、分步实施、重点突破”的原则。
第二条本办法所指“信息系统”,是指学校各部门建设管理、面向学校师生和公众提供业务管理和信息服务,基于校园网运行的应用系统。
第三条学校成立校信息化工作领导小组,领导组办公室设在信息网络中心,现信息网络中心是学校信息系统建设的统一协调单位。各二级单位新建信息系统,信息网络中心须参与立项讨论和项目验收,并经信息网络中心备案。
第二章 规划与立项
第四条各二级单位建设的信息系统,除满足自身的业务需求外,还需符合学校的信息化建设整体规划,确保在学校规划的总体框架内实现业务协同。
第五条信息系统开发立项需经各二级单位分管校领导审批,或报学校信息化领导建设领导组讨论批准,方可正式立项。对于规模较大或业务重要的项目,原则上需进行可行性论证。
第六条 对于新建信息系统须根据《教育行业信息系统安全等级保护定级工作指南(试行)》(教技[2014]4号)进行系统定级,按照教育部政策要求系统建设与系统安全同步规划、同步建设,确保信息系统建设完成时具备相应的安全防护能力。
第七条信息系统建设项目招标需严格按照国家及学校招投标相关规定执行。参与招标的系统研发商,须具有相应的计算机软件研发资质。
第三章 经费与建设
第八条信息系统建设所需经费,由建设单位在每年预算中申报,经学校财经领导组批准后,信息网络中心负责统筹协调使用。
第九条信息系统项目的建设或改造,承建单位均须指定项目负责人,项目负责人应监督和管理项目的全过程,并制定项目实施计划,作为项目管理过程的依据。
第十条信息系统项目建设如需外包,应选择具有服务资质、信誉较好的承包商,要求其已获得国家主管部门的资质认证并取得许可证书。对重要的信息系统工程项目外包,应在主管部门指定或特定范围内选择具有服务资质的信誉较好的厂商,并应经实践证明是安全可靠的厂商。外包方应签署信息安全保密协议。
第十一条信息系统建设、实施过程中应严格遵守国家及学校信息化建设管理相关规定,遵循学校的信息标准与规范,并提供标准化的数据交换接口,共享数据应同步至学校数据中心。
第四章 验收与管理
第十二条信息系统建设验收由委托建设单位提交申请。
第十三条信息系统项目承建方提供项目验收文档资料,并对所提供报告、资料、数据及结论的真实性和可靠性负责。
第十四条 信息系统验收程序。验收程序按项目的合同金额分为三类,A 类:合同金额 20 万以上;B 类:合同金额 5-20 万元;C 类:合同金额 5万以下。
1.A 类:信息系统项目承建方提交验收申请,建设方检查验收材料,根据信息系统等级保护要求开展系统安全检测,符合该系统安全等级所需安全防护要求后由国资处组织专家组进行评审验收。
2.B 类:信息系统项目承建方提交验收申请,建设方检查验收材料,根据信息系统等级保护要求开展系统安全检测,符合该系统安全等级所需安全防护要求后由国资处组织专家组进行评审验收。
3.C 类:信息系统项目承建方方提交验收申请,建设方检查验收材料,根据信息系统等级保护要求开展系统安全检测,符合该系统安全等级所需安全防护要求后建设方、信息网络中心根据建设方案进行验收测试,形成验收报告。
第十五条验收结果处理
1.验收合格
(1)通过验收检查和专家评审;
(2)系统安全评估达到相应等级保护标准;
(3)基本满足运行条件;
(4)根据建设内容,完成应用系统所涉及的用户培训。
2.验收不合格
具有下列情况之一的,视为验收不合格:
(1)未通过验收检查小组检查;
(2)未通过验收专家组评审;
(3)系统安全评估未达到相应等级保护标准;
(4)所提供验收材料不真实。
验收不合格的,信息网络中心将以书面形式通知承建方限期整改,整改后由项目承建方重新申请验收。
第十六条信息系统投入运行后,使用单位(部门)要按照学校有关网络与信息安全规定,及时配合学校开展信息系统安全等级保护工作,明确专人管理,落实信息系统运行安全管理制度。
第十七条信息系统的调整、升级和运行维护方案,须由建设单位负责会同现代教育技术中心和系统供应商共同协商制定。
第五章 终止运行
第十八条 信息系统随着其生存环境的变化,具有产生、发展、成熟、终止的生存循环周期。信息系统需要终止运行时,应由使用者或管理者提出申请,说明原因及采取的保护措施,经过所在二级单位领导同意后才能进行信息系统终止审批。
第十九条按照信息系统等级保护要求已定为三级及以上的信息系统的终止,由学校信息化工作领导小组负责审批,二级信息系统终止由国资处会同现代教育技术中心审批,其它则由使用部门自行审批,并报国资处及信息网络中心备案。
第二十条信息系统终止运行前,使用单位应根据信息系统资产清单、存储介质等进行相关处理,并记录处理过程与结果。信息系统硬件设备若改变用途,应对原数据进行完全清除。
第二十一条对信息系统数据和设备进行以上必要的处理后,经信息系统技术负责人认可才能正式终止运行,并形成文档备案。
第六章附则
第二十二条本办法由信息网络中心负责解释。
第二十三条本办法自公布之日起实施。