广西医科大学网络安全与信息化项目建设管理办法（试行）

第一章总则

第一条 为推进学校信息化建设，提高信息化建设管理科学化、规范化、程序化水平，根据相关法律、法规对信息化建设的要求，结合学校实际，特制定本办法。

第二条 本办法所称信息化建设是指应用于学校教学、科研、培训、管理、服务等工作的信息化基础设施、信息系统、网站、网络与信息安全等方面的相关内容。

第二章  组织机构

第三条 广西医科大学信息化建设工作领导小组是学校全面推进网络安全与信息化建设的最高管理与决策机构，负责确定学校信息化建设战略方向，审定学校信息化建设的总体规划及对信息化建设中重大项目进行决策。

第四条 信息中心是学校网络安全与信息化建设的管理和执行机构，负责学校网络安全与信息化建设的总体规划、年度计划和专项计划的论证咨询、制定和实施，负责学校网络安全与信息化项目的立项论证审批，负责全校信息化公共基础设施、基础平台及公共资源的建设、管理与运行维护，负责为学校各单位信息化建设提供技术支持。

第五条 学校各单位设信息化负责人，由本单位主要负责人担任。负责人负责制定本单位信息化建设规划;组织本单位信息化项目立项申报，监督项目建设、使用和维护;根据学校指导，建立本单位内部的网络信息安全管理制度和应对措施;负责本单位申请学校各类信息化资源的审核。

第六条 学校各单位设网络信息员，由本单位具有一定计算机能力且沟通协调能力较强的人员担任。网络信息员负责本单位信息化项目的建设、管理、培训和维护;负责本单位信息安全工作的具体实施;负责学校信息化应用的宣传、推广;配合信息中心及其他单位完成学校信息化建设中相关工作。

第七条 学校全体师生作为校园网的使用者、信息化建设的参与者，有责任和义务遵守学校网络信息安全的相关规定，积极参与信息化建设和管理，参与信息化项目应用、问题反馈及建议。

第三章  项目立项、审批与预算申请

第八条 学校信息化建设应按照学校信息化总体规划要求，以及“谁需要、谁立项、谁建设、谁维护”的原则执行。学校各单位是本单位信息化项目的建设主体，负责本单位信息化项目的立项、建设、管理、运行与维护。

第九条 对于多单位协同开展的信息化项目，由项目建设任务主体单位为立项单位，或各单位协商确定立项单位。由立项单位组织项目的建设，其他相关单位协助立项单位开展相关工作。

第十条 项目立项与审批。原则上学校所有信息化项目均需立项，立项审批通过后，方可申请预算和建设。通过立项审批的项目列入学校信息化项目建设库。项目立项审批材料，可作为学校设备购置论证依据。

第十一条 预算申请。通过学校信息化项目立项审批的项目由立项单位统一申请学校预算，预算包括项目软、硬件费用、信息安全检测费用及售后服务等费用，项目通过预算审批后进行实施。

第四章  项目建设与验收

第十二条 获得学校预算批准的信息化项目由项目立项单位、信息中心及其他相关单位共同组成项目组。项目组设主副负责人，分别为立项单位的业务(主)负责人和信息中心的技术(副)负责人。业务负责人是项目第一负责人，负责组织编写项目建设方案、制定建设计划、组织专家论证、完成招标采购和签订合同、进行项目建设、测试、部署、组织项目验收、系统日常维护等。技术负责人负责项目建设过程中的技术支持。

第十三条 学校各类管理信息系统项目建设必须严格遵守学校信息化数据标准及规范，如出现现有标准没有包括的情况，应报信息中心统一制定新标准。

第十四条 学校所有新建的管理信息系统原则上使用学校统一身份认证机制进行用户身份验证，无需单独建立另外的用户身份认证机制。

第十五条 学校各信息系统建设应保障可与学校公共数据库、统一信息门户、统一身份认证等公共基础信息平台有效稳定的对接、集成和数据交换。

第十六条 学校主干网络基础设施建设(实验机房内部网络集成、特殊用途专网除外)，应由信息中心统一立项、申请预算、开展建设，各单位不得自行建设。

第十七条 学校各单位需要购买服务器用于信息化建设(科研、教学专用运算、保密用途除外)的，应统一使用学校数据中心机房提供的硬件资源，或由信息中心审核参数要求，购买可纳入学校服务器部署架构的服务器。

第十八条 信息化项目建设完成后，须进行一段时间的试运行并进行安全检测，通过后由项目组组织项目验收，验收通过方可正式上线运行。

第五章  项目运行维护及管理

第十九条 信息化项目通过验收后，即进入运维阶段。运维阶段立项(使用)单位应收回项目承建方所有操作权限，如需承建方协助处理相关问题，由立项(使用)单位向信息中心申请，临时为承建方开通相关权限，问题处理完成则收回权限。

第二十条 管理信息系统项目进入运维阶段后，立项(使用)单位需安排专人负责系统的日常运行维护及管理，包括业务层面的维护和管理、系统使用和推广、系统数据安全管理等。

第二十一条 网络基础设施建设项目进入运维阶段后，立项(使用)单位负责设备保管、维护、升级、故障处理和网络安全处置等工作。信息中心负责进行相关工作协调管理、提供技术支持，并对学校业务数据进行规划、组织、定义和管理等。

第六章  经费管理

第二十二条 学校各单位应根据需要每年申请信息化常规预算，用于支付各项目售后服务费、学校数据中心资源运行维护费、网络服务费、信息安全服务费等。

第七章  网络与信息安全管理

第二十三条 学校各单位应严格遵守国家、学校关于网络与信息安全的有关规定，在各信息化项目建设、运维管理中实行立项(使用)单位和信息中心两级安全管理机制。立项(使用)单位负责各信息化项目应用层面安全，信息中心负责各信息化项目相关基础设施安全。

第二十四条 信息化项目在运行使用过程中，如出现违反国家法律、法规和学校相关规定，或出现影响学校网络与信息安全的情况，信息中心有权随时停止相关服务，使用单位承担相应责任。

第二十五条 校园网及相关基础设施由信息中心统一规划、建设、管理，并提供统一网络出口，校内各单位及个人不得擅自建设、更改、损毁、挪用校园网设施，不得私接外网出口。

第二十六条 校园网入网实行实名制，校内用户必须按相关规定进行实名登记后，方可按照入网要求使用校园网，未经登记不得以任何方式私接校园网，严禁盗用其他用户上网信息使用校园网。

第二十七条 校园网主要服务于学校教学、科研及管理等，用户不得将校园网用于其他用途，严禁利用校园网开展各类未经许可的其它活动。

第二十八条 校园网用户应文明上网，规范网络行为，并做好个人网络信息安全维护。校园网用户的上网行为不得危害到学校整体网络信息安全，严禁利用校园网从事任何无授权的探测、破坏、信息窃取等互联网攻击活动。

第二十九条 学校各类信息系统原则上应依托于学校数据中心建设，使用学校域名并进行登记备案。对于特殊用途使用非学校域名或在非校园网环境中建设的各类信息系统，需经信息中心审核后单独备案。未经审批备案的信息系统不属于学校官方行为，不得使用学校资金建设，不得使用校名、校徽等学校标识，一切责任由建设人员承担。

第三十条 校园网公网IP地址未经许可不得对校园网以外提供互联网服务，如在教学、科研上确有特殊需求，需要公网IP地址对外开放服务，经信息中心审批后可开放，建设人员承担全部网络信息安全责任。

第三十一条 学校信息化项目建设应遵循校内相关制度、技术规范、标准流程开展，信息化项目中的采购、合同、建设、验收、运维等各环节中都要包含网络信息安全相关说明。各信息化项目上线、验收前必须通过必要的信息安全检测，未通过检测擅自上线或验收的，一切信息安全责任由建设单位自行承担。

第三十二条 学校信息化建设项目应采用安全规范、质量和售后服务优良的软、硬件产品或服务厂商，不得由自然人承担信息化项目建设任务。

第三十三条 学校各信息系统的用户认证原则上应使用学校统一身份认证，不得单独建立用户认证系统，不得单独采集用户个人信息。

第三十四条 学校各信息系统原则上应按照《广西医科大学信息化数据资源管理办法(试行)》，采取必要的安全措施，确保数据安全。

第三十五条 信息中心负责校内信息安全等级保护工作的组织协调，根据业务性质、重要程度等向网安部门报送各信息系统的安全等级并定期进行安全检测，各单位应根据等保测评及安全检测结果进行各信息系统的安全整改工作。

第三十六条 信息中心负责学校网络安全事件演练、制定应急预案，监督各部门的网络信息安全工作，督促各项网络信息安全整改工作的落实。

第八章  主页建设与管理

第三十七条 学校主页是指校内各单位、职能部门、教学院系、教学科研机构、各类专题活动等建设的信息发布网站。

第三十八条 学校主页建设管理由党委宣传部、信息中心以及相关职能部门负责，具体分工如下:

党委宣传部负责学校主页的整体布局、UI设计和内容审核，把握正确政治、舆论导向，保证信息的安全性、权威性、准确性;

信息中心负责学校主页的技术支撑，提供校内的统一管理后台、系统安全管理和相应的技术支持;

其他各单位负责本单位主页的整体布局、UI设计的技术实现和维护工作。

第三十九条 为保证校内网站的安全稳定和统一管理维护，校内网站必须依托学校网站群系统建设和管理，不得使用其他方式建设。

校内网站如在技术和管理上有特殊需求，不能部署在学校网站群系统中，网站主管单位应报信息中心审批通过后，由主管单位自行建设网站，并承担网站的全部安全责任。

第四十条 各单位信息化负责人为该单位主页相关工作的责任人，负责本单位各网站的监督工作。各单位网络信息员为该单位主页信息管理员，负责协助完成日常监管。

第四十一条 学校主页管理账号专人专用，保证账号的安全，不得私自转借。如有人员变更，应及时向党委宣传部备案。

第四十二条 学校主页与各二级主页内容由各相关单位做信息更新，并保证相关信息的准确性，所有信息经宣传部审核后方可对外正式发布。

第四十三条 当主页或二级主页出现安全问题时，信息中心将关闭不安全的页面，并通知相关单位，以免造成更严重的安全威胁和负面影响。相关单位对异常处理后，需向党委宣传部、信息中心提交正式说明，经审核通过后，方可重新开放。

第九章  网络硬件编码及管理

第四十四条 网络硬件是整个网络管理系统正常运行的基础部件，为建立完善的网络信息系统体系，明确网络信息系统结构模型及管理体系，网络硬件管理实行编码标识与文档相结合的管理方式。各单位网络信息员对接入网络的主要硬件设备、线路、终端设备进行编码标识并建立相关文档。

第四十五条 网络信息员应定期对网络硬件进行巡查，并建立巡查记录，对磨损、不清楚、丢失的标识及时更换，对不正常的设备状态及时记录。

第四十六条 所有核心网络设备购置或因各种原因发生编码改变后应及时更新编码和文档，更新后文档一式二份，一份由信息中心存档，一份由使用单位管理部门存档。

第十章  网络软件管理

第四十七条 网络软件作为实现整个网络信息系统的功能核心，应根据学校信息化建设要求统一规划实施管理。

第四十八条 根据学校信息系统需求，实行IP地址统一规划，由信息中心具体分配。各单位管理人员应该确保各网络设备及终端端口IP地址的唯一性与配对性，防止因IP地址冲突、网段不一致等导致的网络故障。

第四十九条 各单位网络信息系统的网络配置由信息中心统一规划，对网络设备进行配置并建立相应文档及配置备份文件，具体要求如下:

(一)采用虚拟局域网(VLAN)技术根据部门机构划分VLAN，建立公共访问VLAN的同时，隔绝其他VLAN之间的互访，降低病毒、木马对整个网络的影响。

(二)根据网络设备编码，一一对应更改设备默认名;根据数据流向，对网络设备各端口配置描述信息;楼层交换机需配置远程管理地址，端口隔离等，防止ARP攻击、非法接入等影响网络的不安全因素。

(三)建立网络设备文档、IP地址段划分，建立IP地址、端口、数据流向对照表。

(四)开放数据接口，对接业务流程，提供数据共享。

第五十条 服务器作为整个网络信息系统的数据存储核心部分，网络信息员应定期对服务器系统、安全策略、注册表、软件配置、数据做相应备份，并对安装在服务器上的软件、目录建立对应表。

第五十一条 学校各单位网络信息员负责软件运行的维护。软件使用发现运行问题，应注意记录、留存出现问题前的相关操作、错误代码等并及时处理，如存在网络安全问题需及时通报信息中心网络信息员。

第五十二条网络信息系统运行正常后，服务器、网络设备等网络信息系统核心组件配置不得随意更改，如确实需要更改，应上报信息中心，研究讨论更改方案的可行性后方可执行。

第五十三条统一门户系统、OA平台、统一数据中心等属于学校办公系统，各单位依据发展及使用情况，可向信息中心提出对系统流程、功能的意见及建议。

第十一章  数据管理

第五十四 条统一参照《广西医科大学信息化数据资源管理办法(试行)》施行。

第十二章  账号管理

第五十五条 账号管理分统一认证平台账号管理和其他各系统账号管理。统一认证平台为学校统一认证办公平台，其目的是为实现网络化办公、无纸化办公、学校内部资源共享而建立的网络软件，根据资源使用的情况，以及学校管理实际，各单位依据要求进行账号申请、发放。其他人员如确实因业务需要，根据审批流程提出申请，经审批通过后方可开通。

第五十六条 业务系统等专业系统，账号的分配依据系统流程节点中所涉及的岗位、人员进行分配，无关人员一律不予分配。

第五十七条 各信息系统账号为各操作节点人员认证的唯一凭证，账号拥有人员应随时加强自己账号的安全性，无特殊情况不得告诉、转借他人，网络信息系统中的任何以拥有人账号登录而执行的操作，均视为拥有人本人操作，因此而出现的任何后果由账号拥有人负责。

第五十八条 对于调动、离职等原因离开本岗位的员工，各相关单位网络信息员应及时收回其权限、账号，由于没有及时回收账号而造成的后果，由各单位信息化负责人承担。

第五十九条 各单位应严格管控互联网的使用，充分利用OA平台、校园邮件、通信工具等作为联系、文件传递的手段。对工作时间内的上网行为进行合理规范。

第十三章  附 则

第六十条 本办法是学校网络安全与信息化建设的基本制度，在全校范围内适用，其他网络安全与信息化建设相关制度以本管理。