为落实学校网络安全与信息化建设相关制度要求，组织完成校内信息系统网络安全技术建设，制定本流程，规范信息系统网络安全建设管理工作的实施及文档提交等。

根据目前校内网络安全与信息化建设管理制度，结合信息系统建设管理实际情况，信息化项目中信息系统项目应在项目立项、建设开发、实施部署、验收等阶段同步提交网络安全建设相关文档。未来校内网络安全建设管理系统上线后，将持续优化信息系统全生命周期各环节网络安全实施要求及材料提交方式，并发布新的管理流程。

1.信息系统项目应在立项阶段明确项目网络安全预算、项目硬件资源需求、特殊网络安全需求及网络安全等保定级情况。其中网络安全预算及项目硬件资源需求随项目立项书申报，经项目立项论证后，原则上项目应按申报情况进行建设。网络安全等保定级材料应与项目任务书同步提交，相关材料见“附件1信息系统网络安全等保定级备案规范文档”。信息系统项目在网络安全方面有特殊需求应在可行性报告中说明并通过可行性经论证。

2.信息系统项目如有特殊网络安全建设内容应在建设方案中明确说明标注，并提前与网信中心网络安全部联系沟通相关情况。建设开发过程中要保证遵循软件安全设计开发原则，还要注意个人信息保护问题，包括：采集个人信息的必要合理合法合规性、个人信息使用存储最小化原则、传输及存储个人敏感信息的加密、个人信息相关操作的审计日志、有效的个人信息注销机制、个人信息批量导出功能的限制、个人敏感信息显示的去标识化（打码）处理等。如信息系统有独立的用户认证功能，除了要注意个人信息保护还应关注用户认证的安全问题，包括：独立用户认证功能是否具备必要性可行性、编制合法合规的个人信息隐私保护条款、落实实名制、落实用户注册先审后用机制、密码强度检测功能、多因子认证、验证码及异常登录锁定等安全机制、无逻辑漏洞的密码找回机制等。

3.信息系统项目进入实施部署阶段，要确认信息系统所需数据中心资源及服务器软件环境的安全情况并确保实现安全部署。按照网上办事大厅中数据中心云主机及域名申请流程进行申请，同时填报“附件2信息系统数据中心资源申请文档”，原则上硬件资源应与项目立项阶段确认的配置一致，如有大幅调整，需重新进行论证。如发现网络安全问题，网信中心将与项目组进一步沟通，调整实施部署方案。

信息系统部署必须通过学校堡垒机进行，项目服务器建成后，网信中心会向信息系统管理员提供堡垒机相关信息，项目相关人员应严格按照附件8堡垒机使用说明中的描述与要求进行操作。

4.信息系统项目进入验收阶段，主要是确认项目相关网络安全检测、自主检查情况，需由承建方组织完成信息系统第三方网络安全检测（具体要求见“附件3信息系统第三方网络安全检测要求”），并且信息系统没有高危漏洞存在；项目组按照“附件4信息系统网络安全验收文档”进行自查，且没有不通过项，以上材料为验收文档必要组成部分，必须按照要求填报并通过验收。如项目有试运行阶段，应在试运行前完成上述材料填报及审核，试运行中如有大量或较重要的修改，应重新进行上述网络安全检测及安全检查。

5.信息系统项目完成验收后，满足条件的可申请对外开放服务，原则上仅对校内师生服务的信息系统不对校外开放服务，师生可通过VPN、WebVPN等方式从校外访问，其他信息系统满足必要性、安全性要求、并落实日常网络安全管理与运维工作的可申请对外开放，具体要求见“附件5信息系统对外开放服务要求”，信息系统对外开放服务可通过“附件6信息系统对外开放申请文档”申请。

6.信息系统项目全生命周期内如有必要，均可根据项目需求调整校内访问控制策略，使用“附件7信息系统访问控制策略调整申请文档申请”。

以上各材料的提交见各附件文档说明，按照说明要求提交。

本流程由网络与信息化中心负责制定、修订，并在网络与信息化中心主页中发布。