一、 总则
1. 为规范学校信息化建设和管理工作,维护校园各类信息系统的稳定和可靠,有效发挥信息系统作为公共服务体系在教学、科研和管理中的重要作用,有序推进学校信息化工作的开展,特制定本办法。
2. 本办法所指的信息系统包括范围是:信息化基础服务、跨部门信息系统、业务部门管理信息系统、各类网站、教学资源系统等。
二、 职责划分
1. 信息与教育技术中心负责托管在学校中心机房(或校外云托管)的业务系统的运行维护及技术防护安全,为各部门业务信息系统提供技术服务,并对信息系统的技术安全负主要责任。
2.信息系统对应的业务部门为本系统管理的责任单位,各信息系统均应指定责任人及管理员。负责系统的数据维护和管理,并对信息系统的使用安全负主要责任。
三、信息系统建设
1. 各部门新建或升级业务信息系统,财务处须报信息与教育技术中心审核备案,予以执行。
2. 为保证数据的权威性、准确性和及时性,除《中华人民共和国保守国家秘密法》所规定的涉密数据外,学校所有信息系统均须向学校公共数据库提供必要数据,以便实现各业务系统之间的数据共享。
3. 各单位的信息系统建设工作,可采用自行研发、合作开发、公司承建等多种方式完成信息系统项目建设,但必须按照学校信息化建设统一标准以及数据交换接口规范进行建设。
四 信息系统管理
1. 信息系统建设须达到学校安全等级要求后,经信息与教育技术中心核准后接入校园网。
2. 信息系统投入运行后,使用单位要按照学校有关网络与信息安全规定,及时配合学校开展安全等级保护,安排专人管理,制定规范的安全管理制度。
3. 各单位做好信息系统数据管理工作,明确数据的所有权及更改权限,制定完善的数据所有权管理规范,确保对数据的所有更改均有据可查,对于不可更改的数据,应提供相应的安全技术防篡改和伪造;建立数据的备份和恢复机制,加强数据存储和归档管理,制定完善的数据安全管理规范,确保所有数据有备份,可恢复;预防信息泄漏,做好各类数据,尤其是财务数据、个人隐私数据等敏感数据的保密工作,确保数据安全;同时,制定完善的数据服务管理规范,确保数据对于具有权限的校内单位和个人易获取、易应用,充分发挥数据作为学校无形资产的价值。
五 信息系统安全
1. 校内信息系统实行登记备案制度。信息系统等级备案的信息包括但不限于信息系统名称、主办/主管单位、责任人、技术管理员、服务器放置地、数据库类型、开发商、域名、IP地址、开放端口、运行有效期等。服务器放置在校内、使用学校教育与科研计算机网网段IP地址的信息系统必须使用学校域名后缀(gdpt.edu.cn),不使用学校域名后缀的信息系统必须在公安机关进行登记备案。
2. 各单位二级以上信息系统服务器原则上实行统一安置于学校数据中心机房中,不单独建立机房。如果因其他原因确需存放在单位自建机房内的,应报学校批准,并向信息与教育技术中心备案。
3. 学校财务管理系统、校园一卡通管理系统等涉及校内资金管理流通的信息系统应搭建专用的软硬件平台和专用传输网络,实现与校园网的物理隔离,确保系统运行环境安全。
4. 信息系统建设必须把系统安全作为重要指标。新建设的校级信息系统(包括学校信息化基础服务平台、公共服务平台、办公平台和业务系统)必须通过第三方安全评测机构/企业安全检测和专家论证后方可上线运行。二级单位网站或部门内部使用的信息系统必须通过信息与教育技术中心安全检测后方可上线运行。
5. 数据中心平台、各类信息系统要严格按照规定进行岗位设置和授权,严格按照岗位对应的权限操作,并建立操作日志。严禁在未按规定授权的情况下委托他人以本人的账号和密码录入或修改数据。
6. 本管理规定由信息与教育技术中心负责解释。
本实施细则自公布之日起执行。
网络安全和信息化办公室
信息与教育技术中心
2020年9月