为规范学校信息系统建设,加强系统的安全管理与运行,促进信息系统间的集成和数据的融合共享,保障系统和数据安全,方便师生使用,特制定本规范。
第一章 系统建设集成要求
系统建设集成包括五个层次,分别是数据集成、认证集成、门户集成、消息集成和接口服务集成。
第一条 数据集成:信息系统需按照学校要求与学校数据资产管理平台进行对接,开放全量数据库访问权限,提供系统内产生的所有结果数据的数据结构、字段说明以及系统所用码表,实现与数据中台进行双向数据交换。项目所产生的数据应遵守国家和学校信息标准,所产生数据的所有权归学校所属。信息系统建设单位对生产或使用的数据有保密义务,未经校方同意,任何人不得擅自挪作他用。
第二条 认证集成:信息系统需按照学校要求与学校统一身份认证平台进行认证对接,实现校内用户的统一认证、账户统一管理和单点登录(SSO),避免用户重复登录。
第三条 门户集成:信息系统需按照学校要求与学校的门户进行应用集成,包括PC端和移动端(“i西石大”APP、企业微信和小程序)。所提供应用系统需支持整体与融合门户集成,并可以基于学校业务发展需求拆分成独立应用服务与学校融合门户、融合门户移动端以及学校日程中心的对接集成,实现在融合门户中进行系统代办提醒、待办查看、流程追踪等内容。
第四条 消息集成:信息系统需按照学校要求将系统通知、待办类、日程类等消息数据与学校统一消息中心对接集成,实现消息在不同终端(包括短信、微信端消息、门户消息、站内消息等)统一发布、统一提醒。
第五条 接口服务集成:信息系统需按照学校要求将自身所有标准服务接口与学校统一接口管理平台对接集成,实现服务接口的统一管控。
第二章 安全性要求
第六条 系统合规:信息系统建设方案中服务器硬件、操作系统、数据库等须满足国家、学校关于信创和安可工作相关要求。
第七条 认证授权:信息系统需确保只有经过授权的用户才能访问信息资源,采用多因子认证机制,以增强身份验证的安全性,并有效防止内部敏感信息泄露及非法访问。
第八条 信息保密:各类信息系统需对所有敏感信息实施强加密措施,采用国际认可的加密标准和算法,确保信息在生成、存储、传输和处理过程中的保密性。
第九条 数据完整性:信息系统建设中需建立数据完整性验证机制,如数字签名,以确保数据在传输和存储过程中未被未授权修改,保障信息的真实性和可靠性。
第十条 日志审计:按照国家相关法律法规要求,信息系统实施全面的审计策略,记录所有关键操作的应用日志,确保日志的完整性和不可篡改性,并能够根据日志提供预警信息。同时,系统应能保留至少180天的日志信息,并支持日志的快速检索和分析。
第十一条 数据备份:信息系统建设单位需定期执行数据备份,并将备份存储在安全的位置。确保备份数据的完整性和可用性,定期进行恢复测试,以验证备份的有效性。
第十二条 安全体系完善方案:学校从物理安全、网络安全、系统安全、应用软件安全、用户安全、数据安全等多个层面,制定综合的安全体系改进方案,包括定期的安全审计和持续改进计划,以防范安全风险。
第十三条 符合国家安全等级保护要求:按照国家相关法律法规要求,信息系统应提供专业机构的安全检测报告,配合学校完成信息系统等级保护测评,并根据测评结果完成整改,完善系统安全建设。
第十四条 数据所有权和保密协议:信息系统产生的所有数据归学校所有,严禁向外分发或用于外部数据库、产品和服务。信息系统在使用学校数据时,必须与学校签订数据安全保密协议,并严格遵守《中华人民共和国数据安全法》的规定。
第三章 管理与运维要求
第十五条 新建信息系统应使用符合学校数据中心要求的专用服务器,部署在学校数据中心。建设单位或信息系统使用单位指定专人(以下简称系统管理员)进行管理和日常维护,并报信息化建设与管理处登记备案。
第十六条 系统登记与备案:所有信息系统须按照学校要求完成校内登记备案。详细记录系统管理单位、系统管理员及技术架构和承载业务。未备案系统不得上线。
第四章 售后服务要求
信息系统原则上提供不少于3年的免费售后服务,售后服务期从项目验收合格之日起,具体要求如下:
第十七条 培训要求:二级单位与供应商要对系统的使用进行培训,尤其是面向师生的公共服务平台类系统,要制定详细的培训推广计划,编写详细的使用说明文档公布在系统和本单位网站上。
第十八条 技术支持:信息系统供应商原则上要保证在售后服务期内提供7×24小时技术支持服务,提供本单位的热线电话、E-mail、传真、网站等途径,及时解决系统使用人员提出的各种技术问题,并在24小时内提供解决方案。
第十九条 故障响应:信息系统供应商在售后服务期内,各类故障一般应在1小时内响应,2小时内提供应急解决方案。影响系统正常使用的bug在使用方提出后8小时内修正;系统安全漏洞在使用方提出后24小时内修复。
第二十条 信息系统供应商在售后服务期内,应提供软件版本免费升级。
第二十一条 信息系统建设方案中一般应在报价中体现项目售后服务期期满后的维护费用,且维护费用不得高于项目总额的10%。
第五章 附 则
第二十二条 本规范由学校网络安全与信息化工作领导小组办公室负责解释。
第二十三条 本规范自发布之日起实施。
