第一條 為加強學(xué)院網(wǎng)絡(luò)安全和信息化建設(shè)管理,確保學(xué)院的信息化建設(shè)符合國家有關(guān)規(guī)定,包括《中華人民共和國計算機信息系統(tǒng)安全保護調(diào)理》(國務(wù)院第147號令)、《信息系統(tǒng)等級保護定級指南》(GB/T 22240-2008)、《信息系統(tǒng)等級保護實施指南》(GB/T 25058-2010)、《信息安全等級保護管理辦法》(公通字【2007】43號),以及根據(jù)《關(guān)于印發(fā)全省高校網(wǎng)絡(luò)安全保護工作電視電話會議工作任務(wù)書的通知》(粵公通字【2015】123號)、《全省高校網(wǎng)絡(luò)安全保護工作電視電話會議工作任務(wù)書》的要求,特制定本辦法。
第二條 本辦法適用范圍為學(xué)院信息化建設(shè),包括新建或升級系統(tǒng)、網(wǎng)站。
第三條 本辦法的總體要求:規(guī)范管理信息化項目建設(shè)的整個過程,將等級保護定級、備案、測評和建設(shè)整改工作環(huán)節(jié)納入信息化建設(shè)的全過程,在信息系統(tǒng)規(guī)劃、建設(shè)、運維同步落實信息安全保護措施,確保不符合要求的信息系統(tǒng)和網(wǎng)站無法上線使用。
第四條 信息化項目計劃階段。信息化項目的采購單位在項目立項前,應(yīng)當(dāng)確定該項目所需要的網(wǎng)絡(luò)端口資源和硬件資源等。
1、若項目本身包含硬件設(shè)備采購,則需要將硬件設(shè)備規(guī)格、型號等信息報備至信息中心,并提出端口及系統(tǒng)環(huán)境需求;
2、若項目不含硬件設(shè)備采購,需要使用信息中心機房的硬件資源,須向現(xiàn)代教育技術(shù)中心提出硬件資源需求申請,明確提出硬件資源需求明細,包括:CPU、內(nèi)存、硬盤等,并提出端口及系統(tǒng)環(huán)境需求;信息中心根據(jù)機房實際剩余資源數(shù)量進行分配,若無法滿足需求,則需要信息化項目的采購單位調(diào)整項目需求或自行增加硬件采購。
第五條 信息化立項階段。信息化項目的采購單位必須經(jīng)過學(xué)院學(xué)術(shù)委員會議討論通過后才能立項實施;學(xué)術(shù)委員會必須審核該項目是否滿足以下條件:
1、確定系統(tǒng)的安全保護等級,提供定級報告;
2、申請材料中需含有等級保護措施子項目;
3、在項目預(yù)算中編列等級保護測評經(jīng)費。
申報的項目不滿足上述條件的,不予通過審批。信息化項目立項后,采購單位需將相關(guān)資料報送信息中心存檔。
第六條 項目實施階段。 按照確定的等級和實施方案的要求,信息化項目的采購單位負責(zé)委托信息化建設(shè)單位做同步設(shè)計、同步建設(shè)等級保護措施,并將相關(guān)工作資料報信息中心存檔。
第七條 項目驗收階段。信息化項目的采購單位委托具有國家認可資質(zhì)的等保測評機構(gòu)進行對系統(tǒng)進行等級保護測評,并到公安機關(guān)辦理系統(tǒng)的備案手續(xù)。項目驗收時,學(xué)院驗收小組檢查該項目的驗收物品是否含有等保測評機構(gòu)出具的等級保護驗收報告和公安機關(guān)出具的備案回執(zhí)。未完成等保測評和公安機關(guān)備案的,不予驗收通過。驗收通過后,信息化項目的采購單位應(yīng)當(dāng)將相關(guān)工作資料報信息中心存檔。
第八條 項目維護階段。系統(tǒng)上線運行后,使用單位需確定系統(tǒng)管理員,并報學(xué)院網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組進行備案,做好以下工作:
1、負責(zé)管理本單位的各個崗位權(quán)限,為崗位分配系統(tǒng)角色,并將用戶權(quán)限授予相應(yīng)的崗位。
2、做好數(shù)據(jù)備份工作,包括系統(tǒng)網(wǎng)站文件、數(shù)據(jù)庫文件等。
3、做好信息保密工作,包括管理員賬號信息、用戶信息、其他涉密資料等。
4、不得利用信息系統(tǒng)從事危害學(xué)校利益、教職工、學(xué)生利益的活動,不得危害信息系統(tǒng)的安全。
