第一章 总 则
第一条 为进一步推进我校教育信息化建设的进程,规范校内各二级单位信息化项目建设,制定本规定。
第二条 本规定适用于天津财经大学范围内所有信息化系统的新建、改造等。新建项目是指校内各二级单位根据自身业务需求,利用学校经费及相关资源,自行采购或委托开发一套全新的信息化系统的项目。改造项目是指校内各二级单位为满足新的业务需求或解决影响业务开展的各种问题,利用学校经费及相关资源,委托第三方单位对本单位已有的信息化系统进行变更、升级等操作的项目。
第三条 本规定中的信息化系统,是指接入学校网络、使用学校相关信息化资源并面向校内特定用户提供服务的计算机软件系统。
第四条 天津财经大学网络安全和信息化办公室(以下简称“网信办”)是校内信息化项目建设的监管部门,负责天津财经大学范围内一切信息化项目建设的评估和审批。
第二章 建设流程
第五条 校内各二级单位可根据自身业务需要开展信息化项目建设。展信息化项目建设,应遵循以下流程:
1. 需求分析:二级单位根据自身业务情况开展信息化项目建设需求分析,形成信息化项目建设需求分析报告,分析内容包括但不限于如下两部分:
(1)本单位内部业务开展对该信息化项目的需求;
(2)与校内其他单位进行数据交换的需求。此项必须在需求分析报告中明确,若无该方面的需求,需在报告中明确指出。
2.项目评估:二级单位根据本单位业务需求,提出信息化项目建设需求分析报告、建设实施方案等,提交网信办评估,由网信办依据《天津财经大学信息化系统采购与建设实施技术规范》对项目建设提出技术要求。
3.招标或商务谈判:信息化项目立项后,网信办在论证过程中提出的要求全部内容必须作为实质性参数进行招标或谈判,最终确认项目承建单位。招标和商务谈判按学校相关规定执行。
5.合同签订:由项目申请单位或中标单位或项目承建单位按照学校合同管理办法拟定正式合同,最终签订的信息化项目建设合同必须包含在论证阶段由网信办提出的技术要求中的全部内容。
6.项目实施:项目申请单位指派专人组成项目建设实施小组,负责组织项目的实施。网信办选派技术人员作为项目协调和监督人,协助信息化系统建设,负责资源提供、项目协调、进度把握等方面的工作,同时对建设过程进行监督监管。
项目建设进度应与合同约定保持一致。由于中标单位或项目承建单位原因导致的建设进度延缓、推迟等情况,须严格按照合同约定追究其违约责任。
7.系统测试:由项目申请单位、网信办及开发单位的技术人员共同组成系统测试小组,负责对系统进行测试,形成测试报告。
8.项目推广:项目申请单位负责信息管理系统的推广应用,包括制定相关管理规范、运行保障、安全管理、用户培训等,必要时可申请网信办提供必要协助。
9.项目验收:由项目申请单位和网信办共同组成信息化项目验收小组,对信息化建设项目进行验收,形成验收报告。
第六条 信息化项目建设所需的通用类硬件设备,原则上由网信办依照学校总体资源池扩容方式进行设备选型,或从学校总体资源池中进行统筹调配。
第七条 校内各二级单位委托开发商定制开发以及校外单位资助开发、不使用学校经费的信息化系统,必须遵循学校颁布的数据标准、身份认证标准,并要求开发单位做好信息管理系统与学校数据中台的接口,确保校内系统的互通和数据的共享,具体要求见《天津财经大学信息化系统采购与建设实施技术规范》中相关内容。
第三章 项目文档管理
第八条 项目中标单位或项目承建单位应向申请单位提交此次项目建设的相关文档,包括但不限于:系统设计书、技术报告、使用手册(安装手册、系统管理员手册、用户手册等),根据《网络安全法》规定,网络安全等级保护定级为第二级及以上的信息化系统,必须提交由公安机关出具的网络安全等级保护备案证明和由专业机构出具的、符合国家标准的网络安全等级保护测评报告等。信息化项目建设的所有文档须提交网信办,由网信办依据《档案法》及其实施办法按我校档案管理的相关规定移交校档案馆,实施集中统一管理。
第九条 校内二级单位接到上级部门下发的信息化系统,应及时将系统相关材料(系统设计书、使用手册等)报网络安全和信息化办公室备案。
第十条 校外单位资助校内部门研发信息化系统,应及时将系统相关材料(系统设计书、测试报告、使用手册等)报网络安全和信息化办公室备案。
第四章 附 则
第十一条 信息化项目建设必须严格遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关的法律法规。违反本规定的,网络安全和信息化办公室有权责令其整改、项目中止或关停。,违反法律法规的,依法追究其法律责任。
第十二条 本规定自公布之日起生效,由网络安全和信息化办公室负责解释。
附件:天津财经大学信息化系统采购与建设实施技术规范
天津财经大学信息化系统采购与建设实施技术规范
第一章 总 则
第一条 为进一步加强我校信息化系统采购与建设实施的规范化管理,提升信息化统筹力度和建设效果,保障信息安全、促进数据共享,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定,结合我校实际,制定本规范。
第二条 本规范中的信息化系统采购与建设实施指信息网络系统、信息资源系统、信息应用系统的新建、续建或升级、改造等。本规范中的建设单位是指学校各职能部门、二级学院等有信息化系统采购与建设需求的单位,其他单位应由其主管单位提出采购与建设需求。本规范中的承建单位是指负责承接信息化系统建设与实施工作的单位、组织等具有相应信息化系统(包括系统涉及的专业领域)建设资质的团体。
第二章 信息化系统兼容性规范
第三条 待建信息化系统应适配多种常见服务器操作系统,应优先适配国产化硬件及操作系统。提供客户端或Web服务的,应主动适配移动端环境并持续兼容移动端和桌面端环境的后续版本。
第四条 待建信息化系统面向师生提供基于个人账户服务的,必须接入我校统一身份认证,接入方式为CAS或Oauth,不得自行设置公共登录入口。系统产生的数据必须同步至我校数据中台,并接受网络安全和信息化办公室的数据审计。提供WEB服务的,必须使用HTTPS协议,且协议版本为TLS1.2及以上版本。
第三章 信息化系统安全性规范
第五条 我校信息化系统服务服务资源由校网络安全和信息化办公室集中统一管理,本地服务器必须统一部署于学校数据中心机房。使用云服务的,必须经校网络安全和信息化办公室审批。禁止私自搭建公共信息化服务。向校外提供我校师生数据的,必须由网络安全和信息化办公室集进行评估后方可提供,不得私自向校外企事业单位、组织或个人提供学校数据。
第六条 待建信息化系统不得部署在已经停止或即将停止技术支持的操作系统上;不得使用已经停止或即将停止维护的以及仅受短期支持的编程语言版本;不得使用已经停止或即将停止维护的以及已经发现严重安全漏洞的Web容器;不得使用已经停止或即将停止维护的以及已经发现严重安全漏洞的开发框架。
第七条 信息化系统承建单位应提供终身安全保障服务,当系统本身、中间件、技术框架、容器、数据库以及操作系统等各个层面发现安全漏洞时,承建单位必须无条件提供修复服务,不得以维保服务费用为由拒绝提供修复服务。修复工作须在接到安全漏洞或技术故障通知后的72小时内完成。本着“谁主管谁负责,谁运维谁负责”的原则,系统建设和使用部门应及时响应并履行监督义务,配合网信办监督,承建商在规定时间内完成漏洞修复。逾期未完成修复的,校网络安全和信息化办公室有权采取强制措施,包括但不限于停止网络服务、关停信息系统等。涉及重大安全问题且未在规定时间内完成整改的、造成大量数据泄漏的以及严重社会危害的,由使用单位负责人承担相应法律责任。
第八条 信息化系统建设单位必须贯彻落实网络安全等级保护制度,依法开展网络定级备案并按时进行网络安全等级保护测评。安全保护等级确定为第二级的信息化系统,每两年至少开展一次测评工作;安全保护等级确定为第三级的信息化系统,每年至少开展一次测评工作。网络安全等级保护备案及测评工作完成后,相应的备案证明、测评报告及产生的其他材料应及时提交校网络安全和信息化管理办公室,实行集中统一管理。
第九条 待建信息化系统应提供日志记录模块或功能,并提供日志服务接口,日志保存时间不得少于6个月。
第十条 待建信息化系统应符合《中华人民共和国个人信息保护法》的相关法律规定,不得违规及超限采集、处理、传输、存储和向第三方提供个人信息,不得明文传输个人身份信息、敏感信息和学校特征数据信息。
第四章 信息化系统运行与维护规范
第十一条 信息化系统建设单位为信息化系统运行与维护的直接责任人,建设单位可根据自身情况委托承建单位或其他有资质的第三方单位具体实施系统运维工作。委托行为发生前,信息化系统建设单位应与运维单位签署信息和数据保密协议。
第十二条 信息化系统建设单位与运维委托单位均应指定具有一定技术力、能独立完成正常业务操作的专人负责本单位信息化系统的管理、运行与维护。工作人员应在校网络安全与信息化办公室做好人员信息备案,发生人员变化时应及时更改备案信息。
第十三条 信息化系统建设单位或运维委托单位应定期对信息化系统相关的软件与硬件设备进行检查;对于例行检查过程中发现的问题,应及时报告校网络安全与信息化办公室,并组织开展相应的修复工作。
第五章 信息化系统上线规范
第十四条 信息化系统正式上线运行前,应报校网络安全和信息化办公室评估,评估通过后方可正式上线。报校网络安全和信息化办公室评估的信息化系统,应符合以下条件:
(1)完成我校统一身份认证、数据中台接入工作;
(2)完成网络安全等级保护备案、测评及整改工作;
(3)信息化系统安全功能、模块齐全,自身具备一定的安全防护能力,无弱口令等安全问题;
(4)信息化系统本身无严重安全漏洞,不存在已公开的漏洞。
第六章 附 则
第十五条 本规范涉及的技术内容应作为招标文件的实质性参数,并随招标采购相关文件共同对外发布,凡不符合技术规范的单位不应参与竞标事宜。
第十六条 本规定由天津财经大学网络安全和信息化办公室负责解释。