XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學系統補丁管理辦法

　　第一章 總則

　　第三十五條 制度目標：為了加強信息安全保障能力，建立健全的安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度為加強信息系統安全補丁的管理工作，規范信息系統安全補丁的識別和安裝過程，降低信息系統安全漏洞帶來的安全風險，提高信息系統的抗攻擊能力。

　　第三十六條 適用范圍：本制度適用于TCP/IP網絡、系統。

　　第三十七條 使用人員及角色職責：本制度適用于安全管理員、各部門安全管理員、各系統管理員及所有使用IT 設備的師生用戶。

　　第三十八條 制度相關性：本制度與《XX大學補丁管理流程》同時使用，與《XX大學檢查及考核管理制度》相關。

　　第二章 組織與職責

　　第三十九條 安全管理員負責系統安全補丁跟進、補丁分級、補丁信息通告各部門安全管理，負責提供從正式渠道獲取的安全補丁軟件，負責審核和監督各部門安全補丁加載情況。

　　第四十條 部門安全管理員負責把從安全管理員獲取的補丁信息通知相關的管理員、分發系統安全補丁軟件，負責監督和向安全管理員報告各業務系統的補丁加載情況。

　　第四十一條 各業務系統管理員負責協調系統安全補丁的測試、加載、回退，負責協調制定補丁加載流程和回退計劃，負責補丁加載后的監督和驗證，負責向部門安全管理員報告業務系統的補丁加載情況。

　　第四十二條 各業務系統集成商負責系統安全補丁的測試、補丁加載流程和回退計劃制定、補丁加載、補丁回退等實施工作，當補丁加載后影響業務正常運行的情況下負責應用軟件的修改工作。

　　第四十三條 產品廠商負責向安全管理員及時發布系統安全補丁信息，并提供安全補丁軟件。

　　第三章 補丁跟進與通告

　　第四十四條 安全管理員負責跟進各產品的安全漏洞信息和產品廠商發布的系統安全補丁信息。

　　第四十五條 系統安全補丁根據其對應漏洞的嚴重程度分為三個級別：緊急補丁、重要補丁和一般補丁;緊急補丁必須在15天內完成加載，重要補丁必須在一個月內完成加載，一般補丁要求六個月內完整加載。

　　第四十六條 安全管理員向部門安全管理員通告系統安全補丁信息，然后由部門安全管理員通告相關的業務系統管理員。

　　第四章 補丁獲取

　　第四十七條 安全管理員負責從正式渠道獲取系統安全補丁，正式渠道包括正式下發的和產品廠商提供的，不建議使用從網站下載的安全補丁。

　　第四十八條 安全管理員負責對系統安全補丁進行完整性校驗，確保獲取的安全補丁軟件未被修改和可用。

　　第五章 補丁測試

　　第四十九條 補丁加載之前必須經過嚴格的測試，嚴禁未經測試直接在生產系統上加載補丁。

　　第五十條 補丁測試的方式有兩種：實驗室測試和現網測試;實驗室測試必須進行，實驗室環境需要與現網環境盡可能一致，并考慮差異性帶來的風險;條件允許的情況下(如有測試環境或備機)可以現網測試。

　　第五十一條 補丁測試的內容包括補丁安裝測試、補丁功能性測試、補丁兼容性測試和補丁回退測試：

　　第五十二條 安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統是否正常啟動。

　　第五十三條 補丁功能性測試主要測試補丁是否對安全漏洞進行了修補。

　　第五十四條 補丁兼容性測試主要測試補丁加載后是否對應用系統帶來影響，業務是否可以正常運行。

　　第五十五條 補丁回退測試主要包括補丁卸載測試、系統還原測試。

　　第五十六條 補丁測試的工作由系統集成商負責實施，系統管理員負責協調，必須對補丁的現場測試和現網測試限定時間，測試完成后需要編寫詳細的測試報告，給出明確的測試結論。

　　第五十七條 系統管理員需要把《補丁測試報告》提交安全管理員，并提交信息安全主管領導進行審核，審核通過后可以進行補丁加載。

　　第五十八條 為確保系統集成商及時配合補丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補丁測試和安裝責任，約束條款至少應包括：實驗室測試環境的答建，在規定時間內完成補丁測試，補丁的加載，補丁加載失敗時的測試與分析，補丁與應用沖突時的系統改造和升級工作。

　　第六章 補丁加載

　　第五十九條 從安全漏洞發布到補丁加載前，網絡安全管理員根據需要給出應急措施建議，例如通過加強訪問控制、臨時關閉服務、加強安全審計等應急措施來加強網絡安全，各相關業務系統根據建議采取適當的防護措施，并加強對系統的監控，及時發現和報告安全事件。

　　第六十條 補丁加載前，必須向網絡安全管理員提交《安全補丁測試報告》、《安全補丁安裝計劃和實施方案》、《安全補丁回退實施方案》，經部門領導及主管領導審批通過后按計劃執行，審批的周期為2個工作日。

　　第六十一條 在補丁安裝前，必須做好數據備份工作，確保任何的操作都可回退，在到達回退時間補丁加載沒有完成時，啟動回退操作，保證業務的正常運行。

　　第六十二條 補丁加載必須安排在業務比較空閑的時間進行，對補丁加載的操作過程必須詳細記錄。

　　第六十三條 核心業務主機的補丁加載建議要求廠商工程師現場支持。

　　第七章 補丁驗證

　　第六十四條 補丁安裝完成后，業務系統管理員必需查看系統信息，確保安全補丁已經成功加載。

　　第六十五條 必須對加載補丁后的系統按照計劃和驗證方案進行嚴格的測試驗證，確保補丁加載后不影響系統的性能，確保各項業務操作正常。

　　第六十六條 補丁加載后的一周內，管理員必須加強對系統性能和事件進行密切的監控，編寫每天的運行監控報告。

　　第八章 補丁歸檔

　　第六十七條 業務系統管理員需編寫《補丁安裝報告》、《補丁驗證測試報告》，提交給部門安全管理員歸檔，然后由部門安全管理員把文檔提交給安全管理員歸檔。

　　第六十八條 部門安全管理員負責對安全補丁軟件進行歸檔，以備系統重裝時需要。

　　第九章 監督與檢查

　　第六十九條 信息與網絡中心負責對各部門補丁管理的執行情況進行考核，考核的內容包括補丁加載情況、補丁版本信息的準確性和相關文檔的質量。

　　第七十條 可通過安全漏洞掃描和現場人工抽查進行審計和檢查，考核的方式可通過部門內部的自查和信息安全管理部門組織的巡檢進行。

篇2：大學網站和信息系統安全責任書

　　附件

　　大學網站和信息系統安全責任書

　　根據《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)、《計算機信息網絡國際聯網安全保護管理辦法》(公安部令第33號)和《信息安全等級保護管理辦法》(公通字〔2007〕43號)等規定，為加強我校的網絡與信息安全保護工作，由學校網絡與信息安全工作領導小組與學校各網站和信息系統安全責任單位簽訂責任書，明確和落實網站和信息系統安全責任單位的安全管理責任和學校網絡與信息安全工作領導小組的安全監管責任。網站和信息系統安全責任人承諾內容如下：

　　一、高度重視網站與信息系統安全保護工作，按照“誰主管、誰負責，誰運行、誰負責，誰使用、誰負責”的原則，明確責任，落實網站、信息系統各項安全保護措施，保障網站、信息系統的安全穩定運行。

　　二、必須完成互聯網資產自查、清查、所有信息系統遷入學校數據中心、網站遷入網站群系統等工作，納入信息化建設與管理處統一管理。

　　三、制定完善的網絡安全應急預案，定期開展應急演練。對重要數據和系統，建立相應的備份制度。做好技術力量、資源的儲備，應對重大突發事件的發生。

　　四、應配合學校網絡與信息安全工作領導小組、網信部門、公安機關開展安全檢查，并建立重大網絡安全事件(事故)發現、報告、應急處置等工作機制。

　　五、對網站、信息系統安全責任和工作要求不落實的，被不法分子攻擊、篡改及傳播、鏈接有害信息的，學校網絡與信息安全工作領導小組督促相關單位及時整改，情節嚴重的，由公安機關依法追究相關單位及責任人的法律責任，并進行通報。

　　六、本“責任書”簽署后，交由學校網絡與信息安全工作領導小組保存，督促執行。

　　網站和信息系統安全責任單位領導(簽字)：

　　網站和信息系統安全責任單位(蓋章)

篇3：大學信息化校園信息系統規劃建設管理細則

　　大學信息化校園信息系統規劃建設管理細則

　　第一部分 總 則

　　第一條 為了貫徹我校“統一標準、統一規范、統籌規劃、協同建設和統一管理”的信息化建設原則，規范各單位對信息系統的申報，經校信息化建設與管理領導小組批準，特制定本信息系統規劃建設管理細則。

　　第二條 信息化建設與管理處全面統籌我校信息化發展建設規劃，審核信息系統項目申報，制定信息標準、網絡安全等級保護規范、網絡與信息安全管理辦法等。

　　第三條 信息應用系統分為三級：

　　一級為學校公共信息服務系統和平臺。如學校電子郵件系統、域名解析系統、數字化校園數據交換與共享平臺、統一身份認證系統、信息標準管理平臺、網站群平臺、移動服務平臺等，由信息化建設與管理處負責建設維護管理。

　　二級為各單位建設維護的、與單位業務密切相關、面向全校的信息系統。如人事系統、本科教務管理、研究生教務管理、綜合財務、采購系統、科研管理系統、學工系統等。信息化建設與管理處負責協助審核、規范標準、監督實施、上線安全審核及協助驗收。

　　三級為各單位、科研團隊或個人建設維護的、單位內部或小范圍內使用的，不能列入一二級的其他信息應用系統。信息化建設與管理處負責協助審核、指導實施。

　　第四條 學校所有信息應用系統建設項目必須符合學校信息化規劃的要求，要確保在規劃總體框架內實現業務協同。系統建設必須遵循學校制定的信息標準和技術規范;建立與學校數字校園數據交換與共享平臺的數據同步機制，提供標準化的交互接口;通過統一身份認證系統和數據交換平臺，實現各信息應用系統的用戶認證和數據交換共享;共享數據同步至公共數據庫，保證全校數據的唯一性、一致性、完整性、時效性和業務協同。

　　第五條 信息應用系統安全設計必須達到學校網絡與信息安全等級保護要求。應用系統正式上線運行前，必須由國家認定或校方認可的安全評測機構進行安全漏洞掃描、系統配置核查、WEB漏洞掃描及人工滲透測試。通過測試后才能上線。

　　第二部分 項目立項

　　第六條 項目立項

　　(一)年度建設項目。各單位根據本部門業務發展的需要，在整體規劃的框架下，向信息化建設與管理處報送《信息化校園應用系統建設項目申請表》及可行性論證報告。信息化建設與管理處結合信息化校園的整體規劃與本校實際發展的情況，制訂《信息化校園建設項目年度計劃》，提交信息化領導小組研究，校財經委審批。在年度財政預算確定后，將其統一納入年度建設計劃中，實行經費歸口管理。

　　(二)臨時增補項目。需要申報增補項目的各單位，填寫《信息化校園新增業務應用系統申請表》，由單位蓋章，提交給信息化建設與管理處。信息處根據應用系統具體情況，組織學校信息化專家咨詢小組統籌規劃和科學論證后，統一申報項目。由信息化建設與管理處統籌信息化建設經費，具體組織實施。

　　(三)參與信息化校園建設的單位，按照項目的建設要求，與信息化建設與管理處簽訂項目任務書，并指定主要領導為項目負責人，確定項目聯系人負責項目立項、項目建設、項目管理的全過程跟蹤。并充分調動本部門參與人員的積極性，保證項目進度與完成時間。

　　第七條 項目建設經費。信息化校園建設的主要經費來源為學校專項建設經費，統籌安排，統一使用。

　　第三部分 項目建設

　　第八條 項目建設

　　(一)需求調研分析。各單位考察調研信息應用系統實施單位時務必慎重選擇，實施單位應在相關行業處于領先位置，具有成熟的系統產品，積累豐富的實施經驗，具備良好業界口碑;一般須具有相應的計算機軟件研發資質、系統集成資質，能夠提供人員穩定、實力較強、經驗豐富的團隊和良好的后期服務。

　　建設責任單位開展需求分析和業務流程梳理的調研，根據調研結果與業務需求，提出系統需求說明書和開發計劃。建設責任單位主要負責人簽字后，報送信息化建設與管理處。

　　(二)技術方案。建設責任單位根據需求分析，完成系統技術方案，其中技術方案除實現業務需求外，還應該就學校認證集成、信息標準規范、軟件安全規范、保密協議、移動和PC開發規范提出可行方案，由建設責任單位組織論證會，通過后提交信息化建設與管理處審核通過后項目方可實施。

　　(三)項目建設方式。應用系統立項后，建設責任單位結合學校信息化建設實際情況，在需求調研和技術方案的基礎上制訂招標文件。其中招標文件需包含學校統一身份認證集成要求、信息標準規范要求、數據交換規范要求、軟件安全規范要求、保密協議要求、移動和PC規范要求。招標流程按學校招標管理的有關辦法進行。

　　(四)系統開發。開發商(或校內承建單位)根據需求分析，技術方案和開發計劃，嚴格遵照軟件工程規范進行項目系統開發和管理，并與信息化建設與管理處共同確認數據、程序交換接口的開發，按時完成系統開發。其中具體技術規范可詳見《XX大學信息應用系統建設技術規范》。

　　(五)系統部署及試運行。開發商(或校內承建單位)將完成后的、滿足各項設計要求的應用系統進行現場部署，由項目責任單位組織進行系統功能測試、壓力測試，并形成系統測試報告;由信息化建設與管理處組織進行安全掃描，集成規范檢查，并形成安全評估報告、集成規范報告。由信息化建設與管理處審核通過后方可進入試運行。

　　第九條 項目驗收

　　(一)初驗。系統測試通過后，試運行無問題后，開發商(或校內承建單位)向項目建設責任單位提出初驗申請，項目建設責任單位進行初驗，并形成初驗報告。

　　(二)終驗。開發商根據初驗報告進行整改，整改完成之后，可提出驗收申請。驗收由信息化建設與管理處組織專家和項目建設責任單位主要負責人參加。重點針對需求設計、系統測試報告、安全評估報告、集成規范報告、試運行報告和初驗報告進行審核，通過驗收后，方可進入報銷、歸檔流程。

　　第十條 項目文檔

　　項目完成后應建立完整的書面和電子的建設技術文檔，便于運行維護的文檔資料。項目建設責任單位和信息化建設與管理處各保留一套。

　　應具備的文檔有：《需求分析規格說明書》《系統詳細設計說明書》《數據庫詳細設計說明書》《測試計劃與報告》《安全評估報告》《集成規范報告》《安裝部署手冊》《用戶使用手冊》《維護手冊》，如果涉及到數據集成或接口對接，還應有：《數據同步對照與集成》《接口開發與說明》等。視具體項目分析，除上述文檔，還應有《功能函數文檔》以備后續程序員修改、接手和擴展。若是項目重大，需要對文檔召開評審，以評審結果確認文檔是否合格，是否可以歸檔入庫。

　　第四部分 項目管理

　　第十一條 信息化校園的二級應用系統，均由各單位負責管理與維護，設置系統運行負責人，專人與信息化建設與管理處聯絡?？绮块T的綜合應用系統，按照“統一建設，統一管理，分權運行”的原則進行管理。

　　第十二條 信息化校園的各應用系統，原則上均應在XX大學數據中心托管。系統業務的日常管理和維護由責任單位負責，信息化建設與管理處負責軟硬件安全管理與支持。

　　第十三條 信息標準管理

　　XX大學信息標準編碼為學校信息化建設提供編碼規范、數據共享、數據交換、和各類數據應用服務，保障校內各類信息系統的穩定和可靠，有效發揮信息系統作為公共服務體系在教學、科研和管理中的重要作用。各個業務部門制定的業務標準需及時匯總上報。具體管理辦法詳見《XX大學信息標準編碼規范管理辦法》。

　　第十四條 集成管理

　　信息化校園的建設是一個整體，原有系統應積極配合進行系統認證整合和數據集成工作，納入信息化校園基礎平臺統一運行和管理。不能進行整合的，應提供系統接口，實現與信息化校園的連接，并考慮系統的更新改造計劃。具體管理辦法詳見《XX大學信息應用系統集成規范要求》。

　　第十五條 數據管理

　　信息化校園的數據管理按照“誰產生，誰負責”的原則進行，各單位負責的相關應用系統的數據更新、維護、備份均納入本部門日常系統管理范疇，并有義務提供給數據共享中心，根據需要面向全校的應用系統服務。數據共享中心由信息化建設與管理處維護和管理。信息化建設與管理處對共享數據中心的數據進行組織存儲、運行維護、更新、共享等工作，實現對數據資源的有效組織和應用; 對數據和數據庫進行的日常維護與監控、備份與恢復、應急處理和監督管理等。具體管理辦法詳見《XX大學共享數據庫運行管理制度》。

　　第十六條 系統升級

　　信息化校園的各個應用系統，應適應信息技術的發展，逐步安排系統升級，可按照新建項目的流程，向信息化建設與管理處申請納入信息化校園整體建設中進行。

　　第十七條 推廣與培訓

　　一級信息應用系統，即學校公共信息服務系統和平臺，由信息化建設與管理處負責全校范圍的信息化校園的基礎培訓工作。二級信息應用系統，即各單位建設維護的、與單位業務密切相關的信息系統，由各單位全權負責該系統的推廣與培訓工作。

　　第十八條 售后維保

　　信息應用系統驗收通過后，項目實施單位應提供至少一年的免費維護，對于免費期后的升級維護由業務管理單位與實施單位協商，根據情況通過采購中心招標或者其他形式確定。

　　第五部分 其他

　　第十九條 學校對在信息化校園建設中一貫嚴格執行制度，管理嚴格、數據完整齊全、維護優良，并在提高學校管理效率等方面做出貢獻者給予表揚和獎勵。對積極應用推廣、主動采取措施維護系統安全的單位和個人給予獎勵。

　　第二十條 學校對在系統管理和使用過程中不負責任、玩忽職守，造成數據損壞和丟失的個人，按情節輕重、損失大小、態度表現給予處分。

　　第二十一條 本實施細則由信息化建設領導小組負責解釋。實施細則自下發之日起執行。