站内搜索:
当前位置: 首页 > 网络信息安全与图书档案管理 > 正文

广东省外语艺术职业学院信息系统建设管理办法(粤外艺职院现〔2023〕537号)

发布日期:2023-12-20    作者:     来源:     点击:

广东省外语艺术职业学院信息系统建设管理办法

 

第一章  总则

第一条 为了落实国家、省、市关于网络信息安全与等级保护的相关政策和规定,严格执行信息安全管理体系标准,提高学校信息安全管理水平,维护学校业务信息系统安全稳定,实现业务信息和系统服务的网络安全保护等级,根据《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)、《信息安全技术网络安全等级保护基本要求》GBT22239-2019法规,结合学校实际,制订本办法

第二条 办法适用于学校信息化建设中信息系统的建设管理。学校信息系统建设主管部门为现代教育技术中心(以下简称现教中心),信息系统归属管理单位负责日常管理,现教中心提供相关技术支持

 

第二章 采购和安装

第三条  信息系统所使用的操作系统、应用软件、数据库、安全软件、工具软件必须是正式版本,严禁使用测试版和盗版软件。

 重要业务的操作系统和主要应用软件必须在安全管理员的监督之下进行安装。

 信息系统硬件设备采购必须符合系统选型要求,并按照学校招标采购管理办法进行采购。

 凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。

 通过上述测试运行正常后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。

 试运行正常的设备,方可进行应用程序安装并上线运行。

 

第三章 软件开发管理

 软件自行开发管理:

(一)系统应用软件的开发必须根据信息密级和安全等级,同步进行相应的安全设计,并制定各阶段安全目标,按目标进行管理和实施。

(二)系统应用软件的开发必须有安全管理专业的技术人员参加,其主要任务是:对系统方案与开发进行安全审查和监督,负责系统安全设计和实施。

(三)开发环境和现场必须与办公环境和工作现场分开,软件设计方案、数据结构、安全管理、操作监控手段、数据加密形式、原代码等,只能在有关开发人员及有关管理机构中流动,严禁散失或外泄;开发人员和测试人员分离,测试数据和测试结果受到控制。

(四)应用软件开发必须符合计算机软件开发规范[GB8566-88]及相关国家规范。

(五)制定代码编写安全规范,要求开发人员参照规范编写代码。

(六)软件完成开发后,软件设计的相关文档和使用指南,必须由专人负责保管。

(七)确保程序资源库的修改、更新、发布必须经过审批和授权。

 外包软件开发管理

(一)应要求软件开发商提供软件设计的相关文档和使用指南。

(二)在委托开发过程中,应加强开发过程中的安全管理和监控,重点考虑资质、许可证、代码所有权和知识产权及售后服务能力;审核工作质量和访问权限,代码质量和安全功能达到合同要求,开展恶意代码和漏洞检测。

(三)应要求软件开发商在所开发的信息系统内设计安全控制措施,确保信息安全。

(四)在开发过程中,应采取控制措施,减少信息泄露的可能性,重点考虑:规范开发过程中的通信行为,以减少第三方从这些行为中推断信息的可能性;在现有法律或法规允许的情况下,定期监视个人和系统的活动;监视计算机系统的资源使用;防止非授权的网络访问;对程序源代码的防护管理。

(五)应要求软件开发商对程序源代码进行管理与控制。程序源代码应集中保存在代码库中,对代码库实施安全保护。保护措施主要包括:对访问源程序库人员进行授权管制;程序列表应保存在安全的环境中;建立对源程序库所有访问的审核日志;维护和拷贝源程序库应受严格的限制。

(六)测试数据的管理。对于开发过程中涉及的测试数据,在测试数据选择时应避免使用包含个人信息或其它敏感信息的运行数据用于测试。其控制措施包括:运行信息每次被拷贝到测试系统时应有独立的授权;测试完成后,应立即从测试系统中清除运行信息或进行授权访问控制;记录运行信息的拷贝和使用日志。

(七)信息系统安全整体测试。现教中心组织信息系统使用部门(单位)在离线测试环境下对所开发信息系统进行安全测试。经过测试确认后,方可转入正式环境,并组织评估测试结果的安全符合性。

 

第四章 测试验收

十一  委托第三方测试单位对系统进行安全性测试,并出具安全性测试报告,要求建设单位根据测试结果及时进行整改。信息系统如需申请外网访问,原则上必须达到网络安全等级保护二级的要求。

十二  在测试前应根据设计方案或合同要求等制订测试方案,在测试过程中应详细记录测试结果,并形成测试报告,测试通过后方可进行验收

十三  对系统测试验收的控制方法和人员行为准则进行书面规定

十四  指定或授权专门的部门或人员负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作

十五  组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认

 

第五章 系统交付

十六  对系统交付的控制方法和人员行为准则进行书面规定

十七  应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作

十八  制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点和确认

十九  对负责系统运行维护的技术人员进行相应的技能培训,以及对系统最终用户的操作进行相应的培训,并做好培训记录表

第六章 系统建设服务商选择

二十  确保系统建设服务商的选择符合国家信息安全的有关规定,必要时应选择有安全集成相关资质的服务商

二十一  与选定的系统建设服务商签订与安全相关的保密协议,明确约定相关责任

二十二  确保选定的系统建设服务商提供技术培训和服务承诺,必要的与其签订服务合同。应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作

第七章 附则

第二十三条  办法自印发之日起施行,由现育技术中心负责解释。

 

附件信息系统验收参考文件



上一篇:没有了!

下一篇:下一条:广东省外语艺术职业学院网络安全管理办法(粤外艺职院现〔2023〕536号)

版权所有:广东省外语艺术职业学院    粤ICP备05008852

联系电话:020-38457353

五山校区地址:广州市天河区瘦狗岭路    463号 邮编: 510640

燕岭校区地址:广州市天河区燕岭路     495号 邮编: 510507