教育数字化知识图谱

第一章 总 则

第一条 信息系统在安全建设过程中，要经历系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付等阶段，为加强对每个阶段所涉及活动的科学管理，确保系统建设的进度和质量，根据《中华人民共和国网络安全法》《网络安全等级保护条例》等法律法规的要求，制定本管理办法。

第二条 本办法适用于本校信息系统安全建设过程中的系统定级、安全方案设计、产品采购和使用、外包软件开发、工程实施、测试验收和系统交付等几个阶段。

第二章 管理体系

第三条 信息技术中心

（一）实施学校信息系统等级保护工作。

（二）审核、批准学校信息系统的安全方案设计。

（三）审核、批准建设单位制定的工程实施方案。

（四）授权专门人员或机构对工程实施过程的监理。

（五）组织或协调业务部门完成对信息系统的交接工作。

（六）负责组织对运维人员的培训。

第四条 系统建设负责人

（一）负责对信息系统的安全建设进行总体规划，制定系统安全建设计划。

（二）组织人员完成系统的定级、评审、备案。

（三）组织人员对系统安全设计方案进行设计、论证、评审。

（四）组织人员对采购的安全产品进行选型，确定最终的采购清单。

（五）组织人员对工程实施的测试验收。

第五条 系统建设管理员

（一）完成本校信息系统的定级备案。

（二）记录、维护信息系统安全建设过程中的各种文档。

（三）提出安全产品的采购计划。

（四）协助其它职能部门完成各种招、投标工作。

（五）负责或协助对工程实施的监理。

（六）协助对工程实施的测试验收工作。

第三章 管理要求

第六条 系统定级

（一）明确本单位信息系统的边界和安全保护等级。

（二）以书面的形式说明本单位信息系统的等级确定的方法和理由。

（三）定级结果要经过公安部门的批准和备案。

第七条 安全方案设计

（一）对本校信息系统的安全建设进行总体规划，制定安全建设工作计划。

（二）依据等级划分的结果，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设计划和建设方案。

（三）组织有关部门和安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设方案、详细设计方案等相关配套文件的合理性和正确性进行论证和审定。

（四）根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设方案、详细设计方案等。

第八条 产品采购和使用

（一）安全产品的采购和使用必须符合国家的有关规定。

（二）密码产品的采购和使用必须符合国家密码主管部门的要求。

（三）产品的采购由本校专门的采购部门负责，同时必须遵从本校产品采购的相关规定或制度。

（四）采购前需要对产品进行选型，确定产品的候选范围，并定期审定和更新候选产品名单。

第九条 外包软件开发

（一）软件的开发须依照开发需求进行，以确保软件的质量。

（二）软件安装之前需要检测软件包中可能存在的恶意代码。

（三）开发单位必须通过源代码对该软件可能存在的后门进行检测，必要时要求开发单位提供源代码进行检测。

（四）开发单位必须提供软件设计的相关文档和使用指南。

第十条 外包服务商管理

（一）外包服务主要根据本单位采购管理办法进行，要求外包服务商必须签署合同，纳入外包服务商管理。

（二）信息技术中心根据服务商资料进行复核；必要时应对拟申请入围的外包服务商开展风险评估。

（三）在实施外包服务前，信息技术中心应当与外包服务商充分沟通，签订外包服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

（四）根据外包管理办法的要求，信息技术中心明确双方基础权利义务、安全和保密方面的责任，以及针对安全及保密性要求需采取的具体措施等，合同应明确要求外包商不得将外包服务转包或变相转包。

（五）外包服务项目，应拟定详细的项目执行计划，建立明确的服务质量监控指标；信息技术中心负责跟踪任务执行情况，及时发现和纠正服务过程中存在的各类异常情况，并向网络安全领导小组进行汇报。

（六）信息技术中心应建立安全服务商的服务质量评价体系，包括：实施管理、安全管理、质量管理、服务管理及事件管理等事项，并每年至少一次组织开展安全服务商服务质量综合考核评价。考核评价结果不合格，应将其列入外包服务商黑名单，未来两年内不得参与本单位外包活动。

（七）外包服务商离场前，须根据服务合同约定完成知识产权转移、项目文档交付、外包人员权限和资产回收及其他交接。

第十一条 工程实施

（一）工程建设单位必须要具有相应的技术资质。

（二）工程实施前必须制定完备的工程实施方案，经系统建设负责人审核批准后方可实施。

（三）工程实施单位在建设过程中必须严格按照相应的国家标准或行业标准，以及工程建设方案进行建设。

（四） 指定或授权专门的部门或人员对建设过程进行管理。

第十二条 测试验收

（一）聘请专门的安全测评机构对本单位信息系统进行安全性测试，并出具安全性测试报告。

（二）在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告。

（三）对系统测试验收进行管理，并按照管理规定的要求完成系统测试验收工作。

（四）组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

第十三条 系统交付

（一）交付前应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点。

（二）对负责系统运行维护的技术人员进行技能培训。

（三）信息技术中心负责系统交付的管理工作，并按照管理规定的要求完成系统交付。

第四章 工作过程

第十四条 系统定级

（一）系统建设负责人按照《信息安全技术 信息系统安全等级保护定级指南》的 “ 定级方法 ” ，组织人员对本单位信息系统进行安全保护等级的确定。

（二）由系统建设负责人负责组织有关部门或安全专家对拟定的安全保护等级进行评审，同时报送沙区公安分局部门进行审批。

第十五条 安全方案设计

（一）系统建设负责人根据本单位信息系统的等级划分情况统一考虑安全建设的总体规划，制定安全建设工作计划。

（二）系统建设负责人负责组织人员或聘请专门的网络安全设计单位或机构在安全建设总体规划的指导下，根据所制定的安全建设工作计划，依照《信息安全技术 信息系统等级保护安全设计技术要求》等国家标准从信息系统建设的安全方案设计目标、安全方案设计策略、安全方案设计技术要求、安全管理等几方面进行设计，最终形成本单位信息系统的总体安全策略、安全技术框架、详细设计方案等。

（三）总体安全策略、安全技术框架、详细设计方案等均要形成对应的文档，交由系统建设管理员进行文档登记。

（四）系统建设负责人负责组织有关部门和安全技术专家依照国家标准对安全方案设计目标、安全方案设计策略、安全方案设计技术要求以及相关的配套文件进行论证，形成论证意见，并填写《安全方案论证》表。

（五）系统建设管理员对总体安全策略、安全技术框架、安全管理策略、详细设计方案等相关配套文件的维护和修订进行记录。

第十六条 产品采购和使用

（一）系统建设管理员根据 “ 详细设计方案 ” ，并参照国家最新标准中的 “ 产品类型及功能 ” ，提出信息安全产品的采购计划。

（二）系统建设负责人根据信息安全产品的采购计划，组织人员预先对产品进行选型测试确定产品的候选范围，形成产品选型测试结果记录、候选产品名单审定记录等。

（三）系统建设管理员协助采购部门对安全产品进行采购，安全产品的采购管理应遵从学校相应的采购管理制度。

第十七条 外包软件开发

（一）系统建设管理员协助学校相应的职能部门对软件的开发单位进行招、投标。

（二）软件的开发过程控制由软件开发单位按照其内部的软件开发管理制度进行。

（三）软件交付前应依据开发需求的技术指标对软件功能和性能等由信息技术中心根据《安全方案论证》表进行测试。

（四）系统建设负责人负责组织人员或机构对开发的软件是否存在恶意代码和后门进行检测。

（五）对恶意代码的检测可委托安全测评机构在软件安装之前完成，同时对开发单位系统源代码，进行后门审查。

（六）开发单位需提交的需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档以及使用指南等文档。

第十八条 工程实施

（一）系统建设管理员协助学校相应的职能部门对安全建设的工程实施单位进行招、投标。

（二）参加投标的工程实施单位应具备相关的施工技术资质，在工程实施前必须制定完备的工程实施方案，经审核批准后方可实施。

（三）工程实施单位在施工过程中必须按照相应的国家标准或行业标准，以及工程施工方案进行施工。

（四）信息技术中心授权本部门的系统建设管理员或聘请第三方监理公司按照安全建设的详细设计方案和工程实施方案对信息系统安全建设的工程实施过程的进度和质量进行监理。

第十九条 测试验收

（一）信息系统安全建设工程竣工后先由工程实施单位进行自查，然后向本单位的信息技术中心提出测试验收申请，并向系统建设管理员提交完备的技术文档、施工文档等供测试验收和以后的日常维护之用。

（二）系统建设负责人负责组织安全方案设计单位、工程实施单位、安全测评机构的相关人员对本单位的信息系统的安全建设工程进行测试验收。

（三）在验收过程中要严格按照安全设计方案、工程实施方案、对该系统进行测评验收，并形成相应的测试验收文档。

（四）安全方案设计单位、工程实施单位和信息技术中心三方共同在测试报告上签字确认后，本信息系统才可交付使用。

第二十条 系统交付

（一）系统建设管理员在系统交付前，要制定好详细的交付清单。

（二）信息技术中心负责组织或协调各业务部门进行系统交接工作，系统交接时应根据交付清单对所交接的设备、文档、软件等进行清点，并进行登记记录。

（三）在信息系统正式运行前由信息技术中心负责组织对运行维护人员的进行培训工作，并形成相应的培训记录或记载。

第二十一条 本制度自发布之日起执行，由学校信息技术中心负责解释。原学校《信息系统安全建设管理办法》（渝商职院发〔 2019 〕 86 号）同时废止。