郑州大学信息化办公室文件
信息办【2021】 06号
第一章 总则
第一条 为规范学校信息系统建设与运行维护管理工作,提高信息系统建设与运行维护水平,加强信息系统网络安全防护能力和水平,根据《中华人民共和国网络安全法》等相关法律法规及《信息技术 软件生存周期过程》(GB/T8566-2007)、《计算机软件文档编制规范》(GB/T8567-2006)、《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》等国家标准,结合学校信息化工作实际,特制定本办法。
第二条 适用范围。列入学校信息化建设项目或在学校信息化基础平台上运行的信息系统均适用本办法,其他信息系统建设管理可参照本办法执行。
信息系统是指所有运行于网络上以满足学校教学、科研、管理和服务而建设的用于信息收集、存储、传输、处理、维护、使用和发布等用途的计算机软件系统。学校信息系统主要包括业务信息系统和公共服务信息系统。
第三条 建设原则。信息系统建设应遵循“安全稳定,责任明晰;开放共享,互联互通;简洁易用、注重体验”的原则。各单位在建设信息系统时必须将信息安全放在首要位置,信息安全与信息系统同步规划、同步建设、同步投入运行;信息系统建设和运行维护按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则做到流程规范、责任明晰;业务信息系统建设及集成由业务部门主导,公共服务信息系统建设主要由信息化办公室负责。信息系统在建设时应充分考虑数据共享,减少信息的重复收集,应与公共服务信息系统和其他业务信息系统之间互联互通,避免建成“信息孤岛”。信息系统在设计和开发时应充分考虑当前技术发展潮流,界面应简洁、易用、高效,用户体验良好。
第四条 阶段划分。信息系统的建设与运行维护分为需求分析、系统设计、系统开发、系统测试、安全检测、初步验收、上线试运行及运行维护八个阶段。
第二章 单位与职责
第五条 单位与职责。信息系统建设与运行维护过程中,涉及到的单位主要包括信息化办公室、网络管理中心、建设单位、开发单位和对接单位。建设单位是指负责建设信息系统的学校机关部处、二级单位及附属单位等;开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的软件公司等;对接单位是指信息系统需要对接集成的系统所属单位。各单位职责如下:
1. 信息化办公室
(1) 制定信息系统建设与运行维护相关管理制度;
(2) 协调解决信息系统建设与运行维护过程中出现的重大问题;
(3) 审核信息系统建设与运行维护的各阶段工作;
(4) 监督各单位在信息系统建设与运行维护过程中严格遵守各项规章制度并认真履行各自职责;
(5) 组织实施上线运行信息系统的网络安全等级保护测评、备案工作。
2. 网络管理中心
(1) 根据建设单位需求,为信息系统提供测试环境和生产环境,负责对测试环境和生产环境的操作进行安全审计及运行维护;
(2) 负责信息化基础平台生产环境的物理安全、网络安全及系统安全等;
(3) 对信息系统建设与运行维护的各阶段工作进行技术审核;
(4) 对信息系统进行安全检测,参与建设单位组织的信息系统初步验收;
(5) 配合建设单位完成系统上线试运行工作;
(6) 配合建设单位、开发单位及对接单位进行故障处理;
(7) 配合信息化办公室、建设单位完成信息系统的网络安全等级保护测评、备案工作。
3. 建设单位
(1) 牵头成立项目组,项目组组长一般由建设单位主要负责人承担,成员主要包括建设单位相关科室负责人、开发单位项目经理、技术人员等;
(2) 监督开发单位严格遵守合同及各项规章制度并认真履行职责;
(3) 初步审核确认开发单位在信息系统建设各阶段形成的文档,协调对接单位、配合开发单位完成需求调研、系统设计及系统开发工作,负责系统测试、初步验收组织及上线试运行工作;
(4) 负责信息系统及自行提供测试环境和生产环境的运行维护;
(5) 负责信息系统运行所需的操作系统、中间件/容器、应用系统、数据库系统、数据内容以及信息系统使用等的安全,如果信息系统部署于自行提供的生产环境,还须负责其生产环境的物理安全及网络安全等;
(6) 负责信息系统的故障申告受理、咨询和建议,协同开发单位、网络管理中心及对接单位进行故障处理;
(7) 负责配合信息系统安全检测及网络安全等级保护测评和备案工作,负责根据安全整改意见督促开发单位进行整改。
4. 开发单位
(1) 负责信息系统的需求调研、系统设计及开发工作;
(2) 配合建设单位完成系统测试、安全整改、上线试运行及运行维护工作;
(3) 配合建设单位对测试环境和生产环境进行管理与维护;
(4) 应当遵守《中华人民共和国网络安全法》等相关法律法规及《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》、《信息安全技术 个人信息安全规范(GB/T 35273-2020)》等相关国家标准的要求,采取技术措施和其他必要措施,保障所提供信息系统的自身安全和稳定运行,能够有效应对网络攻击,保护数据的完整性、保密性和可用性,并采取重要数据备份和加密、敏感数据脱敏使用等措施;如因信息系统自身安全问题造成的一切后果(包括法律、经济等)由开发单位承担全部责任;
(5) 信息系统软件不得留有或设置漏洞、后门、木马等恶意程序和功能;发现其软件产品存在安全缺陷、漏洞等风险时,应当及时告知建设单位,并立即采取补救措施。
(6) 信息系统开发单位应当为其软件产品运行所依赖的操作系统、数据库系统、中间件、开发框架、第三方组件、容器等持续提供安全维护,并承担相应的安全责任;在合同约定的质保期内外,均不得终止提供安全维护;
(7) 信息系统具有收集用户信息功能的,应当向建设单位明示并取得同意;涉及用户个人敏感信息的,还应当遵守《中华人民共和国网络安全法》等有关法律法规和国家相关标准关于个人信息保护的规定;
(8) 开发单位应与建设单位签订网络安全责任协议和信息安全保密协议,明确开发单位的安全责任与义务。
5. 对接单位
(1) 配合建设单位和开发单位完成系统对接集成方案编制及系统开发工作;
(2) 配合建设单位完成系统对接测试工作;
(3) 配合建设单位、网络管理中心及开发单位进行系统对接部分的故障处理。
第三章 需求分析
第六条 需求调研。需求调研在信息系统建设合同签订后进行。开发单位根据合同规定的建设内容制定需求调研计划,经项目组确认后开展调研工作,建设单位负责协调安排本单位及对接单位相关人员相互配合。需求调研周期一般不超过1个月。
第七条 需求分析说明书编制。开发单位在需求调研结束后进行需求分析并向项目组提交需求分析说明书。需求分析说明书一般应包括:需求总体描述、业务需求、系统接口及对接需求和系统管理需求等部分。项目组对需求分析说明书进行初审并由组长签字确认。
第八条 需求分析说明书审核。建设单位提交需求分析说明书到信息化办公室,审核通过后方可启动系统设计工作。
第四章 系统设计
第九条 系统设计说明书编制。开发单位根据通过审核的需求分析说明书进行系统设计,提交系统设计说明书,系统设计说明书至少应包括系统架构、数据结构、功能模块、集成接口、安全设计等内容。项目组对系统设计说明书进行初审并由组长签字确认。系统设计周期一般不超过1个月。
第十条 数据交换与共享方案编制。对于学校基础数据库已有数据,信息系统原则上必须通过统一数据交换与共享平台从学校基础数据库获得,不得直接通过系统采集;信息系统所产生的基础数据也应通过统一数据交换与共享平台推送至学校基础数据库。
开发单位应遵循郑州大学基础共享数据建设的相关规定进行交换与共享方案设计。项目组对数据交换与共享方案进行初审并由组长签字确认。
第十一条 系统对接与集成方案编制。面向师生服务的信息系统,原则上必须与学校统一身份认证系统进行认证集成;与综合服务门户进行数据集成、信息集成和单点登录集成;有移动应用需求的还应遵循移动版服务门户的相关规范建设本业务相关的移动应用页面,并与郑州大学移动门户完成对接与集成;信息系统所涉及面向师生服务的业务流程须将该部分流程放置在网上办事大厅信息平台,并与该平台集成。
开发单位在系统设计时应遵循学校相关管理规定针对每个对接系统编制对接与集成方案,项目组会同对接单位对方案进行初审并由项目组组长及对接单位系统负责人签字确认。
第十二条 系统设计说明书及相关方案审核。建设单位提交系统设计说明书及相关方案到信息化办公室,审核通过后方可启动系统开发工作。
第五章 系统开发
第十三条 开发计划。开发单位必须在系统开发前制定详细、合理的项目开发计划,项目组负责审核并由组长签字确认。
第十四条 组织实施。开发单位根据经审核通过的系统设计说明书及系统对接与集成方案,按照开发计划规定的进度进行信息系统开发。项目组按照开发计划中的时间节点要求,对开发单位的工作进行检查督促,并协调对接单位以配合开发单位的对接集成开发。
第十五条 开发规范。开发单位在系统开发过程中应结合国家、行业及学校相关规范和标准等制定系统开发规范并严格遵守。开发规范至少应包括软件开发安全规范、命名规范、数据库规范、代码及注释格式规范等。
第十六条 需求变更。在系统开发过程中,建设单位和开发单位均可根据实际情况及合同约定提出需求变更,变更内容经项目组讨论确定后拟定需求变更说明书,开发单位根据该说明书对相关设计说明书、系统对接集成方案及开发计划进行修订,修订后的内容由项目组审核并经组长签字确认生效。
第十七条 延期处理。由于客观条件发生变化等原因造成项目未能按实施计划的时间节点完成的,开发单位必须向建设单位提交项目延期说明书,经项目组审核后由组长签字确认。未经确认的项目延期,开发单位承担合同违约责任。
第十八条 开发环境。系统的开发环境由开发单位或建设单位提供,不得使用学校信息化基础平台资源。
第六章 系统测试
第十九条 测试文档。开发完毕需进行测试的信息系统,由开发单位提交测试文档,至少应包括功能测试用例、测试报告(含单元测试、集成测试、性能测试等)、系统安装部署文档及系统安装文件。项目组对测试文档进行审核并由组长签字确认后方可进行系统测试。
第二十条 测试环境。需要在学校信息化基础平台上运行的信息系统由建设单位向网络管理中心申请测试服务器,其他信息系统由建设单位自行提供测试服务器。测试环境的操作系统及数据库等基础系统版本应与生产环境保持一致。测试环境的管理与维护由建设单位指定专人负责,网络管理中心对测试环境的所有操作进行安全审计。
第二十一条 测试数据。建设单位负责为开发单位提供与信息系统数据格式一致的测试数据;信息系统使用学校基础数据的,由网络管理中心提供测试数据。测试数据一律不得直接使用真实数据。
第二十二条 测试步骤。开发单位在测试服务器上,根据系统安装部署文档部署测试环境;建设单位依据需求、设计文档、采购时的技术参数要求并结合功能测试用例等完成系统功能测试并形成功能测试报告;建设单位在开发单位的配合下完成性能测试并形成性能测试报告;建设单位在对接单位的配合下完成对系统对接测试并形成对接测试报告。
第二十三条 测试整改。对于测试中发现的问题,开发单位应积极进行整改,直至测试通过。
第二十四条 更新测试。系统测试完毕后,开发单位如需对系统进行更新,必须先向项目组提交系统更新包及相应的更新安装说明和更新测试材料。项目组审核后,方可安装到测试环境进行测试。
第七章 安全检测
第二十五条 检测申请。系统测试完毕后,建设单位必须向信息化办公室提交信息系统安全检测申请,同时提供项目全部文档及源代码并开放测试环境。开发单位对所提供源代码的真实性负责,建设单位对源代码上功能的一致性负责。
第二十六条 技术检测。网络管理中心负责依照项目立项时确定的网络安全保护等级及相关规定进行技术检测,检测手段主要包括对信息系统源代码进行代码审计,对信息系统进行漏洞扫描、安全基线配置核查等。
开发单位应提供委托具有中国信息安全测评中心颁发的信息安全服务资质(风险评估类)或中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质的第三方测评机构出具的信息系统渗透测试合格报告。
第二十七条 安全检测报告及整改意见。网络管理中心根据技术检测结果出具安全检测报告及整改意见。如开发单位因特殊原因无法提供源代码的,应由开发单位委托具有中国计量认证(CMA)和中国合格评定国家委员会(CNAS)认可实验室证书等资质的第三方软件代码测评机构出具代码审计合格报告。
第二十八条 安全整改。开发单位根据整改意见对系统进行整改并由建设单位向信息化办公室提交复检申请,直至安全检测通过为止。
第八章 初步验收
第二十九条 初步验收条件。信息系统具备合同及需求说明中的所有功能且通过安全检测并由开发单位对建设单位系统维护人员完成系统维护培训后,方可进行初步验收。
第三十条 初步验收组织。建设单位负责组织由项目组、信息化办公室、网络管理中心等部门专家组成的初步验收小组对信息系统进行初步验收。
第三十一条 初步验收形式及内容。初步验收小组应听取开发单位工作报告及系统演示并对各阶段文档进行审阅。依照合同及需求分析说明书的内容,对信息系统完成情况及质量进行评价并提出意见和建议。
第三十二条 初步验收报告。初步验收通过后,应形成信息系统初步验收报告,并由项目组长签字确认。
第九章 上线试运行
第三十三条 上线试运行申请。建设单位向信息化办公室提交信息系统上线试运行申请、初步验收报告以及《信息系统网络信息安全责任书》(附件1)和《信息系统资产信息备案表》(附件2),经审核批准后方可上线试运行。
第三十四条 生产环境。建设单位可向网络管理中心申请学校信息化基础平台资源用于信息系统的运行。建设单位自行提供的生产环境,须严格按照项目论证时确定的网络安全保护等级要求进行配置,并对信息系统安全负完全责任。
第三十五条 运行文档。在学校信息化基础平台上运行的信息系统,建设和开发单位必须在申请生产环境的同时向网络管理中心提交系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告等文档及系统最终版本的安装文件。
第三十六条 安装部署。网络管理中心根据建设单位需求及学校信息化基础平台相关规定进行生产环境配置,由开发单位进行信息系统的安装部署。
第三十七条 权限配置。建设单位应指定专人负责信息系统及其运行环境中的各类用户账号管理及权限配置。上线试运行前,所有测试账号或开发单位使用的账号应由建设单位删除或收回。
第三十八条 试运行期。系统试运行期一般不少于1个月且不多于3个月。试运行期满且情况良好的,可进行竣工验收。竣工验收的内容及形式参照郑州大学相关规定执行,竣工验收通过后,信息系统方可上线正式运行。
第十章 运行维护
第三十九条 运行维护工作原则。各单位对信息系统的维护与管理,应定岗、定人、定责,制定工作制度,建立工作机制,确保运行维护工作的持续性和有效性。
第四十条 运行维护工作内容。生产环境的运行维护工作主要包括服务器、操作系统、中间件、数据库、文件系统及网络等的配置、管理与维护。应用系统的运行维护工作主要包括用户、权限、数据及内容等的配置、管理与维护。
第四十一条 系统更新分类。信息系统上线试运行或正式运行后的系统更新按照目的分为修复性更新和功能性更新。修复性更新的主要目的是对运行过程中发现的系统问题进行修复、提升稳定性和提高性能;功能性更新的主要目的是根据业务需求变化等对原有功能进行增加或更改。
第四十二条 系统更新开发测试流程。
对信息系统进行修复性更新时,由建设单位和开发单位依照第二十条之规定在测试环境完成更新测试,测试通过后向网络管理中心提交信息系统更新申请。
对信息系统进行功能性更新时,应先参照第十六条之规定进行需求变更,经信息化办公室审核后由开发单位进行更新开发,再由建设单位和开发单位依照第二十条之规定在测试环境完成更新测试,测试通过后向网络管理中心提交信息系统更新申请。
第四十三条 系统更新安全检测与部署。网络管理中心依照第二十五条之规定对更新后的系统进行安全检测,检测通过后方可进行更新。使用学校信息化基础平台作为生产环境的信息系统由网络管理中心和建设单位协同进行更新部署,其他信息系统由建设单位进行更新部署。
第四十四条 数据备份。使用学校信息化基础平台作为生产环境的信息系统由网络管理中心负责进行数据备份,备份范围包括信息系统使用的数据库数据及文件服务器数据;备份周期一般为24小时,数据库数据备份的保留周期一般为7天,文件服务器数据备份的保留周期一般为3天,建设单位有特殊要求的,应在信息系统上线试运行时明确提出。信息系统安装和配置文件数据由建设单位自行备份。由建设单位提供生产环境的信息系统,所有数据备份由建设单位负责。
第四十五条 运行监控及故障申告。建设单位应对信息系统运行情况进行实时监控并在信息系统首页明显位置显示建设单位的服务电话,受理和响应信息系统的故障申告及咨询、建议。网络管理中心对学校信息化基础平台运行状况进行实时监控,受理和响应建设单位对生产环境的故障申告及咨询、建议。
第四十六条 故障处理。建设单位根据业务要求制定信息系统故障处理应急预案;网络管理中心制定学校信息化基础平台故障处理应急预案。各方应按照“分级负责、协同处理、快速反应、有力保障”的原则进行故障处理。发现故障或收到故障申告后,受理单位应首先对故障类型及原因进行初步判断并及时通报相关各单位,各方对自己所负责维护的部分进行认真排查并及时沟通、协同处理;故障修复后,应形成故障分析及处理日志。
第四十七条 用户服务。建设单位应通过服务电话、电子信箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议,并根据用户意见及时对系统进行调整与更新。
第四十八条 系统下线。如果信息系统不再提供业务服务,其建设单位应及时通知网络管理中心,关停相应服务器回收计算资源。
第十一章 安全管理
第四十九条 安全监测与整改。建设单位应指派专人对上线运行信息系统的安全状况进行监控;网络管理中心定期对上线运行的信息系统进行技术检测,如发现信息系统存在安全隐患,会及时下发网络安全限期整改通知;建设单位在收到网络安全限期整改通知书后,应联合开发单位按时完成整改工作。
第五十条 安全事件处置。建设单位应按照学校网络安全事件应急预案和信息技术安全事件报告与处置流程,在发生网络安全事件时立即采取应急响应措施以控制、降低损失,并及时、如实地报告和妥善处置网络安全事件。
第五十一条 网络安全等级保护。信息系统上线运行后,由信息化办公室组织完成信息系统的网络安全等级保护测评、备案工作。
第十二章 监督评价与责任追究
第五十二条 监督评价。信息化办公室负责对学校各类信息系统的建设、运行维护和服务进行监督,每年组织一次考核评价,将考核评价结果纳入单位的年度绩效考核,并作为各单位后续信息化建设经费审批的主要依据。
第五十三条 责任追究。因违反本办法相关规定造成信息系统建设无法通过验收的,由建设单位承担全部责任;对信息系统安全运维管理和安全隐患整改不力的单位,学校给予通报批评,造成严重安全后果,上级执法部门进行追责处罚的,本单位负责人为第一责任人;对信息系统网络安全事件如有瞒报、缓报、处置和整改不力等情况的单位,将对本单位予以通报并追究单位负责人的责任。
第十三章 附则
第五十四条 本办法自发布之日起施行,由信息化办公室负责解释和修订。
附件1:
(信息系统名称)网络信息安全责任书
根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国民法典》等相关法律法规,按照“谁主管谁负责,谁使用谁负责,谁运维谁负责”的原则,现就 (单位名称) 备案的 (信息系统名称) 网络信息安全责任与义务明确如下:
一、安全责任内容
网络管理中心负责为 (单位名称) 的 (信息系统名称) 提供运行所需的物理空间环境、网络基础服务及其运维管理,并负责网络接入的安全防护与威胁监测、操作系统的漏洞检测与通告、终端防病毒系统的病毒库升级、服务器运维的安全审计管理、网络安全威胁预警通告等。
(单位名称)负责 (信息系统名称) 运行所需的操作系统、中间件/容器、应用系统、数据库系统、数据内容以及信息系统使用等的安全管理,确保师生个人信息以及 (系统涉及的数据内容)等重要数据的安全性,防止重要数据和师生个人信息泄露,并履行信息系统安全隐患防范、运行维护与安全监测、安全事件应急响应与处置整改等义务。
二、安全责任人
信息系统名称 |
(信息系统名称) |
系统责任单位 |
(单位名称) |
第一责任人 |
(部门党政负责人) |
系统负责人 |
|
三、系统备案信息变更
(1) (信息系统名称) 相关责任人如有变动,应及时向信息化办公室报备;
(2) (信息系统名称) 进行版本升级或停止使用时,应及时向信息化办公室备案。
四、应急处置措施和整改
当 (信息系统名称) 存在涉及网络、系统、应用、数据或内容等方面的网络信息安全事件或隐患时,网络管理中心有权对 (信息系统名称) 采取停止网络服务等应急处置措施,并通知 (单位名称) 的系统负责人 (姓名) 进行安全整改。(单位名称) 应负责督促、协调 (信息系统名称) 的开发商按时完成整改工作,整改完成后,及时向网络管理中心提交网络信息安全隐患处置反馈报告,网络管理中心在复检无问题后恢复 (信息系统名称) 的网络服务。
(单位名称) 须按照“谁主管谁负责,谁使用谁负责,谁运维谁负责”的原则,责任到人,履行相应的网络信息安全责任与义务。
信息系统使用单位名称:(盖章)
第一责任人:(签字)
日 期:
附件2: 信息系统资产信息备案表 |
信息系统名称 |
|
信息系统用途 |
(描述信息系统主要功能) |
使用单位 |
单位名称 |
|
第一责任人 |
部门党政负责人 |
联系电话 |
|
电子邮箱 |
|
系统负责人 |
|
联系电话 |
|
电子邮箱 |
|
生产商 |
公司名称 |
|
联系人 |
|
联系电话 |
|
电子邮箱 |
|
系统 基本信息 |
域名 |
|
IP地址 |
|
业务端口 |
|
服务类型 |
□内网 □外网 □公网IP映射 |
服务对象 |
|
限定访问IP地址 |
(可另附名单,单位盖章) |
境外访问 |
□需要 □不需要 |
系统部署信息 |
部署方式 |
□网络管理中心提供的服务器资源 □使用自己的服务器资源 |
部署平台 |
□物理服务器□虚拟机 |
虚拟化软件 |
(软件名称和版本) |
操作系统 |
操作系统名称和版本 |
中间件/容器 |
(名称和版本) |
应用软件 |
(应用软件名称) |
开发语言 |
|
版本 |
|
数据库系统 |
(数据库名称和版本) |
数据库地址 |
|
个人敏感 数据 |
□学号/工号 □姓名 □身份证信息 □医保信息 □社保信息 □家庭住址 □住宿信息 □银行账户/支付信息 □手机号码 □行踪轨迹 □社交账户 □指纹识别 □人脸识别 □其他生物特征识别 □其他重要敏感信息 |
系统负责人:(签字) 单位盖章: 年 月 日 |
|
|
|
|
|
|
|
|
|
|
备注:此表纸质版和电子版各一份,纸质版须和信息系统网络信息安全责任书一起交于信息化办公室进行备案,电子版发送至邮箱xxaqsj@zzu.edu.cn,备案表中的信息应真实准确,如因提供信息有误导致备案系统无法正常使用,后果由申请单位自负。
本表所称信息系统是指所有运行于网络上以满足学校教学、科研、管理和服务而建设的用于信息收集、存储、传输、处理、维护和使用等用途的应用系统,包括但不限于网站、APP等。