第一章   总 则

第一条 为推进学校信息化建设，进一步加强信息化统筹规划，保障信息化项目实施质量，有效实现校内各类信息资源的集成、交换和共享，切实发挥信息系统为学校教学、科研、管理与服务等方面的保障支撑能力，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》，结合学校实际制定本规定。

第二条 本规定所指的信息系统涵盖所有以计算机和互联网为基础，利用信息化手段和工具，应用于学校教学、科研、管理、服务等活动的系统。主要包括：

（一）  提供学校公共服务的各类管理信息系统；

（二）  多用户使用或使用公共数据资源的管理信息系统；

（三）  与校园卡有关的各类管理信息系统。

第三条 以下类别不在本办法所指的信息系统之列：

（一）  购买图书、数据库、实验数据等电子资源；

（二）  以个人名义建设的或完全利用互联网资源开发建设且不以成都医学院为责任单位的信息系统。

第四条 学校信息系统建设以统筹规划、统一标准、需求引导、安全可控、协调发展为原则，注重功能实用和开放共享，避免盲目投资和重复建设。

第二章   组织领导

第五条 学校网络安全和信息化领导小组负责统一领导、规划、部署全校网络安全和信息化工作。

第六条 领导小组下设相应工作机构，并按其确定的职责开展工作。校内各二级单位主要负责人是本单位信息系统管理的第一责任人。

第三章  项目管理

第七条 校内拟建设信息系统时，无论采用学校年度预算还是引入外部资金，都应按以下流程进行。

（一）  项目申请。项目实施部门（单位）做好拟申请项目（信息系统）的前期调研工作，在明确需求及资金预算后，编制项目可行性报告。可行性报告内容应包括但不限于：经费来源、主要技术指标、项目建设的必要性、重要性、可行性、校内外共享使用方案、预期效益、风险预测、项目的辅助条件、管理责任人、操作人员、不低于三个同类型产品的对比分析。

（二）  项目审核。实施单位应组织专家组进行论证，并提供专家意见书,作为项目立项和建设依据。信息化工作部门对拟建设项目（信息系统）的可行性报告进行审核，提供正式反馈意见。

（三）  项目建设。项目建设应严格遵守学校信息化建设的要求和标准，接受检查和评估；符合信息化建设标准和要求方可验收项目，不符合标准规范的项目则不予通过。对于未达到预期成果者，责令限期完善，并重新组织验收。

（四）  系统消亡。所有信息系统运行管理过程中产生的数据永不消亡，按学校数据资产管理相关规定进行规范管理。由于软硬件更新换代的系统消亡按学校国有资产相关规定进行管理。

第八条 信息系统在建设阶段应按已确定安全保护等级，同步落实安全保护措施。

第九条 信息系统的建设与运行维护由实施单位牵头，协同相关部门（单位）进行。

第十条 信息系统建设工作，可采用自行研发、合作开发、公司承建等多种方式完成。无论采取何种方式建设的信息系统，都必须符合学校制定和发布的信息标准与编码规范，并落实与校园信息化基础平台及数据资源的集成方案。对于需要身份认证的信息系统，必须与学校的统一身份认证系统集成。

第十一条 项目建设取得的成果和信息资源应作为学校的信息化资产集成到学校的数据共享平台上，保证信息更新的一致性、及时性和完整性。按统一信息服务平台进行信息发布和使用，其使用和管理权限仍归承建部门所有。

第四章  系统运维

第十二条 信息系统建设须达到学校安全等级要求后，经信息化工作部门核准后方可接入校园网。

第十三条 为保证业务系统正常运行，信息系统及软硬件按照学校统筹规划及部署，统一托管于学校数据中心机房。对于有特殊需求的，需报经网络安全和信息化领导小组审批同意后执行。

第十四条 责任部门（单位）对所管辖的信息系统，应严格遵守学校网络安全及数据资产管理相关规定，制定规范的管理制度，落实专人负责，主动接受信息化工作部门的技术指导。

第十五条 为降低信息系统安全风险，原则上学校所有信息系统仅限校园网内运行，师生在校外可通过（VPN）等安全通道访问校内资源。确需向社会开放的信息系统，严格履行审批手续，经校领导批准后方可办理。

第十六条 信息系统运行期间，如出现违反国家法律、法规或影响学校网络与信息安全的情况，应及时停止相关服务并按学校网络安全管理相关规定进行处理。

第十七条 信息系统完成周期性使命的，实施部门（单位）应向信息化管理部门报备，进行下线处理，回收资源，规避无人照管的安全风险。

第五章 服务外包

第十八条 信息系统管理业务及运维业务外包的，应与外包公司签订严格的工作协议和保密协议。其内容包括但不限于：

1、服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。保密协议的条款中应明确相关信息安全的要求及处罚要求。应在合同中明确外包公司在信息安全方面的职责和合同终止后的有效期限。

2、 外包公司应在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力资质。

3、 外包人员的账号口令必须满足信息系统管理规定。外包人员的账号、认证、授权管理和安全审计应纳入系统集中管控。

4、 禁止外包人员在未授权的情况下通过远程方式接入，因特殊情况需要通过远程登录，须经部门（单位）通过信息化工作部门办理审批授权后，临时开通远程登录功能，用毕及时撤销。

5、 规范外包人员离岗时的账号撤销、设备安全检查审核、技术资料移交等工作。

6、 第三方终端如需接入学校网络或服务器，其终端应符合下述要求：

①必须安装病毒库更新至最新的杀毒软件，且终端经查杀后，没有病毒。

②必须将系统补丁更新至最新。

③除业务需要，不得安装任何漏洞扫描软件或手工对学校网络进行探测。

④不得安装任何监控软件对学校网络数据进行捕捉和分析。

第六章 安全检查

第十九条 学校信息系统的整体安全检查与评估应定期进行，由信息化工作部门牵头，各信息系统所属单位配合实施。

第二十条 检查结果形成书面的安全评估报告提交学校网络安全和信息化领导小组，网络安全和信息化领导小组根据风险情况，责成相关单位整改。

第二十一条 对涉密信息系统的整体安全检查与评估，包括技术和管理两方面的内容。技术检查主要是对系统安全技术措施的使用配置情况及安全防护体系的运行状况进行检查；管理方面的检查主要是对安全管理机构、安全管理制度、安全管理人员和培训体系的建立及落实情况进行检查。

第二十二条 对服务器的日常运行和技术状态检查，由设备系统管理员负责进行，并且须将服务器的安全运行状况定期向系统主管负责人汇报。

第二十三条 对各网络设备及系统的日常运行和技术状态检查，由网络管理员负责进行，并且须将网络的安全运行状况定期向系统主管负责人汇报。

第二十四条 对安全设备及系统的日常运行和技术状态检查，由安全管理员负责进行，并且须将安全设备及系统的运行状况定期向系统主管负责人汇报。

第二十五条 对数据库系统的日常运行和技术状态检查，由数据库系统管理员负责进行，并且须将数据库系统的安全运行状况定期向系统主管负责人汇报。

第二十六条 对信息资源的日常访问和技术状态检查，由信息资源管理员负责进行，并且须将信息资源的安全访问状况定期向系统主管负责人汇报。

第七章  附 则

第二十七条 本规定自印发之日起施行。

第二十八条 本规定由学校网络安全和信息化领导小组负责解释。