现信中心字 [2019] 2号

南昌航空大学

信息系统（网站）建设与安全技术措施

第一条 学校根据同步规划、同步建设、同步运行的原则，规划、设计、建设、运行、管理信息安全设施，建立健全网络信息安全防护体系，全面实施信息系统安全等级保护制度。

第二条 网络安全与信息化领导小组办公室负责制定学校信息系统项目规划和顶层设计。学校各部门根据本部门业务需求，提出信息系统建设申请，学校信息化建设经费优先支持纳入学校规划的核心信息系统（网站）建设。

第三条 网络安全与信息化工作领导小组办公室负责统筹学校信息系统安全等级保护工作，组织学校各部门开展信息系统定级、系统备案、等级测评、建设整改，具体负责信息系统台账管理、等级评审、系统备案、监督检查工作。按照“自主定级、自主保护”的原则，信息系统建设部门是信息系统安全等级保护的责任主体，具体负责系统定级、建设整改、安全自查，协助系统备案、等级测评并接受有关部门监督检查。信管办是信息系统安全等级保护工作的技术支撑保障部门，负责网络信息安全防护体系建设和等级测评组织工作，参与监督检查工作，并协助学校各部门进行系统定级、建设和整改。

第四条 信息系统建设部门在立项阶段就必须确定安全保护等级，由网络安全与信息化工作领导小组办公室对建设方案进行单独的安全论证和评审。对于安全等级第二级以上（含第二级）的信息系统，由网络安全与信息化工作领导小组办公室统一办理系统备案。

第五条 学校鼓励信息化建设部门优先采购安全可靠、技术成熟和服务优质的成品软件用于信息系统建设。没有相应成品软件或成品软件不适应实际需求的，可按照学校采购与招标相关管理办法，经主管信息化工作的校领导批准后，按照相关流程委托资质和信誉良好的软件开发公司进行定制开发。

第六条 信息系统在建设阶段按照已确定安全保护等级，同步落实安全保护措施。信息系统投入试运行后，由建设部门初步验收，出具初步验收报告。对于安全等级第二级（含第二级）以上的信息系统，由网络安全与信息化工作领导小组办公室组织等级测评。

第七条 信息系统开发环境、测试环境和运行环境严格隔离，网络安全与信息化工作领导小组办公室负责上述环境的建设、运行、维护和管理。

第八条 信息系统建设部门定期对终端计算机和承担网络与信息系统运行的关键设备（服务器、安全设备、网络设备）进行安全审计，通过记录、检查系统和用户活动信息，及时发现系统漏洞，处置异常访问和操作。

第九条 信息系统建设部门制定信息系统使用与维护的管理制度，规范信息系统使用者和维护者的操作行为。

第十条 对于安全等级第二级（含第二级）以上的信息系统，网络安全与信息化工作领导小组办公室将定期组织开展等级测评，查找、发现并及时整改安全问题、漏洞和隐患。根据国家和教育行业有关标准规范，四级系统每年进行两次测评，三级系统每年进行一次测评，二级系统每两年进行一次测评。

第十一条 本办法由现代教育技术与信息中心制定并负责解释。

第十二条 本办法自2019年9月1日起施行。

 南昌航空大学现代教育技术与信息中心

                                      2019年8月21日