第一条 为强化学校信息系统管理,规范项目全周期流程,保障信息安全,促进数据共享,避免重复建设,提升资金使用效益与服务效能,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(全国人民代表大会常务委员会制定)、《中华人民共和国计算机信息系统安全保护条例》(国务院颁布)以及《高等学校数字校园建设规范(试行)》(教育部发布),特制定本办法。
第二条 本办法适用于学校及各二级单位新建、扩建、改建以及已在运行的信息系统。本办法所称信息系统,是指学校与二级单位为支撑教学、科研、管理及服务工作而建设并投入运行的,涵盖软件平台、数据与流程的信息化应用载体。
第三条 学校信息系统建设必须遵循《徐州工程学院公共信息标准编码管理办法》的相关规定,以保障数据交换与资源共享的有效实现。系统所生成的全部数据均须统一归集,纳入学校数据中台实施管理,并强化数据的动态更新与质量管理,确保数据的完整性、准确性与通用性。应建立信息系统与数据共享的联动机制,对未落实数据共享与开放要求的项目不予批准建设,坚持“先共享、后续建”原则,确保新建系统必须实现数据共享。
第四条 信息系统建设与运行必须遵循统一规划、需求导向、安全合规、集约共享的原则,并实行谁主管、谁负责,谁使用、谁负责的责任制。
第二章组织与职责
第五条 学校信息化工作领导小组承担以下主要职责:
负责全校信息系统建设与运行的顶层设计、统筹决策、监督与协调工作。
第六条 信息化中心承担以下主要职责:
(一)贯彻执行学校信息化工作领导小组的决策。
(二)负责组织全校各部门、学院信息系统项目新建、扩建、改建的可行性论证报告评审、项目验收与评估工作。
(三)负责组织开展数据确权工作,制定、更新并发布《徐州工程学院信息系统建设与管理办法》、《徐州工程学院公共信息标准编码管理办法》,明确数据归属,落实数据共享机制。
(四)依照本办法指导并协助各二级单位开展信息系统建设工作。
(五)负责组织校内外教育信息化领域的专家,为学校信息系统建设提供论证、评审、验收及相关技术咨询支撑服务。
(六)负责对全校处于运行状态的信息系统开展安全状况实施监督与常态化监控。
第七条 信息系统建设单位承担以下主要职责:
(一)负责本单位职责范围内业务信息系统的建设、运行及管理工作;组织业务领域的信息化需求调研,拟订本单位信息化建设规划,统筹推进信息化项目的建设、管理、运维及推广应用;对信息系统建设质量及投资效益承担主体责任。
(二)协助信息化中心开展数据确权工作,并协助制定和更新《徐州工程学院数据清单》。
(三)负责本单位运行中信息系统的数据安全、网络安全及日常管理与维护,并配合信息化中心落实相关处置措施。
第三章 信息系统项目立项管理
第八条 信息系统建设项目立项的触发条件包括:
(一)拟新增信息系统,且近五年内未建设过同类系统,预算金额在2万元及以上;
(二)原有信息系统进行重大版本升级、功能重构或整体改造;
(三)原有信息系统开展专项安全整改。
第九条 信息系统项目立项流程如下:
(一)项目申报。信息系统项目立项前,建设单位应依据本单位建设需求编制可行性论证报告,并由建设单位会同信息化中心组织专家评审。可行性论证报告须明确项目建设预算资金来源、信息系统等级保护方案及技术方案等内容。
(二)项目论证。信息化中心与建设单位应结合学校信息化建设总体规划及建设单位实际情况,统一组织召开专项论证会,对项目的必要性、可行性进行论证,审核项目的应用需求、预算安排、经费来源、技术方案及安全保障措施等,并形成书面评审意见。
(三)项目立项。通过论证的项目,由建设单位落实项目经费,完成相应审批程序,并明确项目建设目标、建设内容、进度安排等相关要求。
第十条 针对定制开发的信息系统,应在可行性论证报告中明确项目开发周期,并编制涵盖需求对接、系统设计、开发、测试、实施、维护等阶段的全流程工作量化表及人天费用计算表,所列内容不应限于上述事项。
第四章 信息系统建设过程管理
第十一条 信息系统建设单位须向信息化中心提交OA线上“信息系统建设资源申请”流程。信息化中心将进行技术评估,并经中心领导审核后,按需予以资源统筹分配。
第十二条 信息化中心负责对信息系统建设过程中的网络安全与数据安全实施全过程监督管理。
第十三条 信息系统建设单位在施工过程中,须严格遵循信息化中心《信息系统建设技术实施细则》相关要求,由信息化中心承担监督与检查职责。
第五章 信息系统项目验收管理
第十四条 信息系统完成上线综合测试、运行合格,并经信息化中心安全检测合格后,由建设单位通过OA线上“信息系统建设履约验收申请”流程向信息化中心申请项目竣工验收。
第十五条信息化中心负责对申请竣工验收的项目进行综合评估。评估内容涵盖项目建设情况、运行状况、数据标准、数据共享、系统安全性、技术文档以及用户使用与培训情况等。评估合格的项目,由建设单位会同信息化中心组织专家,对信息化项目预期目标的实现程度、建设过程规范性、系统运行稳定性、信息安全管理水平、项目投资效益及项目应用价值等方面进行正式验收。
第十六条 项目经验收合格后,建设单位应负责完成信息系统资产登记并落实后续运行保障工作。项目若未通过验收,建设单位须及时组织限期整改,并在整改完成后重新提交验收申请。对于确已无法继续实施的项目,建设单位可与信息化中心协商一致后,按《徐州工程学院采购履约验收管理办法》第二十条执行。
第六章 运行信息系统安全管理
第十七条 建设单位承担信息系统运行状态的日常监控职责。信息化中心定期或不定期实施信息系统安全技术检测,信息系统建设单位应予主动配合。
第十八条 信息系统建设单位须履行下列日常安全管理职责:
(一)制定并持续完善信息系统安全管理办法、操作规程与网络安全应急预案;
(二)定期组织本单位相关人员开展网络安全意识与技能培训;
(三)在信息系统的规划、建设、运行及下线全生命周期中落实安全管理要求。信息系统上线前须通过信息化中心组织的安全检测;运行期间应定期进行安全自查与风险评估;下线时须按规定完成数据迁移或脱敏销毁工作。
第十九条 信息系统建设单位应当建立健全安全技术保障机制,具体包括:
(一)建立并落实系统漏洞与补丁管理制度,对已发现的系统漏洞限期完成整改,并及时部署关键安全补丁;
(二)依据相关标准与规范,对其产生及管理的核心业务数据进行分类分级,并执行严格的访问权限控制。
第二十条 信息系统建设单位应对其选定的项目承建单位、运维外包服务商等第三方合作机构的安全能力实施审核,在相关合同中明确其安全责任与义务,并全程监督其安全承诺的履约情况。
第二十一条发生网络安全事件时,信息系统建设单位须立即按照《徐州工程学院网络安全事件应急处置预案》启动并执行应急处置流程快速响应、及时上报。
第二十二条 信息系统建设单位应当依法履行网络安全等级保护责任:
(一)在信息系统建设过程中,建设单位应依据国家现行等级保护相关标准(包括但不限于《信息安全技术 网络安全等级保护基本要求》(GB/T 22239)、《信息安全技术 网络安全等级保护定级指南》(GB/T 22240)等),同步规划、同步建设、同步运行符合所定安全等级要求的安全防护措施。
(二)信息系统投入运行后,由建设单位向信息化中心提出申请,依规完成等保测试与备案手续(等保完成网络安全等级保护的测评与备案手续)。
第七章 监督评价与责任追究
第二十三条 信息化中心负责监督并记录学校各类信息系统的建设、运维服务及安全保障工作,相关记录将作为各单位后续信息化建设项目经费审批的重要参考依据。
第二十四条 凡违反本办法规定或相关法律法规,导致信息系统建设未能通过验收,或在运行过程中引发安全责任事故的,将依规依纪依法追究相关责任人员的责任。
第二十五条凡未按本办法履行的建设及安全管理程序,擅自在校园网内部署、运行信息系统或网站的单位或个人,信息化中心有权直接采取断网、关停、网络隔离等技术处置措施。该类系统的数据安全、内容合规、个人信息保护,以及由此引发的一切法律后果与经济损失由其建设和使用单位独立承担全部责任,信息化中心不承担管理、监督及任何连带法律责任。
第八章 附则
第二十六条 本办法施行前已发布的相关政策与本办法不一致的,以本办法的规定为准。
第二十七条 本办法由徐州工程学院信息化建设领导小组负责解释。
第二十八条 本办法自发布之日起施行。
