规章制度

当前位置>> 首页 >> 规章制度 >> 信息系统 >> 正文

合肥工业大学信息系统建设与运行维护管理暂行办法

浏览量:时间:2020-04-01

第一章 总则

第一条 为规范学校信息系统建设与运行维护工作,加强信息系统安全管理,提高信息系统建设与运行维护水平,根据学校相关文件精神及《软件生存周期过程》(GB/T8566-2007)、《计算机软件文档编制规范》(GB/T8567-2006)等国家标准,结合学校信息化工作实际,特制定本方法。

第二条 适用范围。列入学校信息化建设项目或在学校信息化基础平台上运行的信息系统(含移动平台应用)均适用本办法。其他信息系统建设管理可参照本办法执行。信息系统是指为满足学校教学、科研、管理和服务而建设的信息收集、传递、存储、加工、维护和使用人机交互系统。学校信息系统主要包括业务信息系统(应用系统)和公共服务信息系统。

第三条 建设原则。信息系统建设应遵循“安全稳定,责任明晰;开放共享,互联互通;简洁易用、注重体验”的原则。各单位在建设信息系统时必须将其信息安全放在首要位置,信息安全与信息系统同步规划、同步建设、同步投入运行;信息系统建设和运行维护按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则做到流程规范、责任明晰;业务信息系统建设及集成由业务部门主导,公共服务信息系统建设主要由信息化建设与发展中心负责。信息系统在建设时应充分考虑数据共享、减少信息的重复收集,应与公共服务信息系统和其他业务系统之间互联互通,避免建成“信息孤岛”。信息系统在设计和开发时应充分考虑当前技术发展潮流,界面应简洁、易用、高效,用户体验良好。

第四条 阶段划分。信息系统的建设与运行维护分为信息系统开发过程管理与监理、初步验收、上线试运行维护三个阶段。


第二章 单位与职责

第五条 单位与职责。信息系统建设与运行维护过程中,涉及到的单位主要包括校网络安全与信息化领导小组、信息化建设与发展中心、建设单位、开发单位和对接单位。建设单位是指负责建设信息系统的学校机关部处或二级单位;开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的软件公司等;对接单位是指信息系统需要对接集成的系统所属单位。各单位职责如下:

1.校网络安全与信息化领导小组

1)制定信息系统建设相关管理制度;

2)协调解决信息系统建设与运行维护过程中出现的重大问题;

3)审核信息系统建设与运行维护的各阶段工作;

4)监督各单位在信息系统建设与运行维护过程中严格遵守各项规章制度并认真履行各自职责;

5)组织实施上线运行的信息系统安全等级保护备案与测评。

2.信息化建设与发展中心

1)根据建设单位需求,为信息系统提供测试环境和生产环境,负责对测试环境操作进行安全审计及生产环境的运行维护;

2)负责信息化基础平台生产环境的物理安全、系统安全及网络安全等;

3)对信息系统建设和运行维护的各阶段工作进行技术审核;

4)对信息系统进行安全检测,参与建设单位组织的信息系统初步验收;

5)配合建设单位完成系统上线试运行工作;

6)配合建设单位、开发单位及对接单位进行故障处理;

7)配合校网络安全与信息化领导小组、开发单位完成信息系统安全等级保护测评及备案工作。

3.建设单位

1)牵头成立项目组,项目组组长一般由建设单位主要负责人承担,成员主要包括建设单位相关科室负责人、开发单位项目经理、技术人员等;

2)监督开发单位严格遵守合同及各项规章制度并认真履行职责;

3)初步审核确定开发单位在信息系统建设个阶段形成的文档,协调对接单位、配合开发单位完成需求调研、系统设计及系统开发工作,负责系统测试、初步验收组织及上线试运行工作;

4)负责应用软件、测试环境和自行提供的生产环境的运行维护;

5)负责信息系统的故障申告受理、咨询和建议,协同开发单位、信息化建设与发展中心及对接单位进行故障处理;

6)负责信息系统的应用安全及数据安全,自行提供信息系统生产环境的单位,负责其生产环境的物理安全、系统安全及网络安全等;配合信息系统安全检测及安全等级保护测评及备案工作,负责根据安全整改意见督促开发单位进行整改。

7)建设单位在信息共享方面的责任

4.开发单位

1)负责信息系统的需求调研、系统设计及开发工作;

2)配合建设单位完成系统测试、安全整改、上线试运行及运行维护工作;

3)配合建设单位对测试环境进行管理与维护。

4)开放单位在信息共享方面的责任

5.对接单位

1)配合建设单位和开发单位完成系统对接集成方案编制系统开发工作;

2)配合建设单位完成系统对接测试工作;

3)配合建设单位、信息化建设与发展中心及开发单位进行系统对接部分的故障处理。

4)对接单位在信息共享方面的责任。


第三章信息系统开发过程管理与监理

第六条 需求分析。开发单位在需求调研结束后进行需求分析并向项目组提交需求分析说明书。需求说明书一般应包括:需求总体描述、业务需求、系统接口及对接需求和系统管理需求等部分。项目组对需求分析说明说进行初审并由组长签字确认。建设单位填写“信息系统需求分析说明审核表”,并启动系统设计。

第七条 系统设计说明书编制。开发单位根据通过审核的需求分析说明书进行系统设计,提交系统设计说明书,系统设计说明书应包括系统架构、数据结构、功能模块、集成接口等内容。项目组对系统设计说明书分进行初审并由组长签字确认。

第八条 数据交换与共享方案编制。

对于学校基础数据库已有数据,信息系统原则上必须通过统一数据交换与共享平台从学校基础数据库获得,不得直接通过系统采集;信息系统所产生的基础数据也应通过统一数据交换与共享平台交换至学校基础数据库。

开放单位应遵循《基础数据库建设与使用管理暂行办法》的相关规定进行数据交换与共享方案设计。项目组对数据交换与共享方案进行初审并由组长签字确认。

第九条 系统对接与集成方案编制。

面向师生服务的信息系统,原则上必须与学校统一身份认证系统进行认证集成;与信息门户进行数据集成、信息集成和单点登录集成;有移动应用需求的还应遵循移动版信息门户的相关规范建设本业务相关的移动应用页面。

开发单位在系统设计时应遵循学校相关管理规定针对每个对接系统编制对接与集成方案,项目组会同对接单位对方案进行初审并由项目组组长及对接单位系统负责人签字确定。

第十条 系统设计说明书及相关方案审核。建设单位填写“信息系统设计审核表”并将相关说明书及方案,并启动系统开发。

第十一条 开发计划。开发单位必须在系统开发前制定详细、合理的项目开发计划,项目组负责审核并由组长签字确认。

第十二条 组织实施。开发单位根据经审核通过的系统设计说明书及系统对接与集成方案,按照开发计划规定的进度进行信息系统开发。项目组按照开发计划中的时间节点要求,对开发单位的工作进行检查督促,并协调对接开发单位的对接集成开发。

第十三条 开发规范。开发单位在系统开发规程中应结合国家、行业及学校相关规范和标准等制定系统开发规范并严格遵守。开发规范至少应包括命名规范、数据库规范、代码、界面规范及注释格式规范等。

第十四条 需求变更。在系统开发过程中,建设单位和开发单位均可根据实际情况及合同约定提出需求变更,变更内容经项目组讨论确定后拟定需求变更说明书,开发单位根据该说明书对相关设计说明书、系统对接集成方案及开发计划进行修订,修订后的内容由项目组审核并经组长签字确认生效。

第十五条 延期处理。由于客观条件发生变化等原因造成项目未能按实施计划的时间节点完成的,开发单位必须向建设单位提交项目延期说明书,经项目组审核后由组长签字确定。未经确认的项目延期,开发单位承担合同违约责任。

第十六条 开发环境。系统的开发环境由开发单位或建设单位提供,不得使用学校信息化基础平台资源。

第十七条 测试文档。开发完毕需进行测试的信息系统,由开发单位提交测试文档,至少应包括:功能测试用例、测试报告(含单元测试、集成测试、性能测试等)、系统安装部署文档及系统安装文件。项目组对测试文档进行审核并由组长签字确认后方可进行系统测试。

第十八条 测试环境。需在学校信息化基础平台上运行的信息系统由建设单位向信息化建设与发展中心申请测试服务器,其他信息系统由建设单位自行提供测试服务器。测试环境的操作系统及数据库等基础系统版本应与生产环境保持一致。测试环境的管理与维护由建设单位制定专人负责,信息化建设与发展中心对测试环境的所有操作进行安全审计。

第十九条 测试数据。建设单位负责为开发单位提供与信息系统数据格式一致的测试数据;信息系统使用学校基础数据的,由信息化建设与发展中心提供测试数据。测试数据一律不得直接使用真实数据。

第二十条 测试步骤。开发单位在测试服务器上,根据系统安装部署文档部署测试环境;建设单位依据需求、设计文档、采购的技术参数要求并结合功能测试用例等完成系统功能测试并形成功能测试报告;建设单位在开发单位的配合下完成性能测试并形成性能测试报告;建设单位在对接单位的配合下完成对系统对接测试并形成测试报告。

第二十一条 测试整改。对于测试中发现的问题,开发单位应积极进行整改,直至测试通过。

第二十二条 更新测试。系统测试完毕后,开发单位如需对系统进行更新,必须先向项目组提交系统更新包及相应的更新安装说明和更新测试材料。项目组审核后,方可安装到测试环境进行测试。

第二十三条 检测申请。系统测试完毕后,建设单位必须向校网络安全与信息化领导小组提交“信息系统安全检测申请书”,同时提供项目全部文档及源代码并开放测试环境。开发单位对所提供的源代码的真实性负责,建设单位对源代码与系统功能的一致性负责。

第二十四条 技术检测。信息化建设与发展中心负责依照项目立项时确定的安全保护等级及相关规定对其进行技术检测。检测手段主要包括对信息系统源代码进行代码审计,对信息系统进行漏洞扫描等。

第二十五条 安全检测报告及整改意见。信息化建设与发展中心根据技术检测结果出具安全检测报告及整改意见。如因特殊原因无法提供源代码的,应由开发单位委托具有中国计量(CAM)认证和中国合格评定国家委员会(CNAS)认可实验室证书等资质的第三方软件代码测评机构出具代码审计合格报告。

第二十六条 安全整改。开发单位根据整改意见对系统进行整改并由建设单位向校网络安全与信息化领导小组提交复检申请,直至安全检测通过为止。


第四章 初步验收

第二十七条 初步验收条件。信息系统具备合同及需求说明中的所有功能且通过安全检测并由开发单位对建设单位系统维护人员完成系统维护培训后,方可进行初步验收。

第二十八条 初步验收组织。建设单位负责组织由项目组及信息化建设与发展中心专家组成的初步验收小组对信息系统进行初步验收。

第二十九条 初步验收形式及内容。初步验收小组应听取开发单位工作报告及系统演示并对各阶段文档进行审阅,依照合同及需求分析说明书的内容,对信息系统完成情况及质量进行评价并提出意见和建议。

第三十条 初步验收报告。初步验收通过后,应形成信息系统初步验收报告,并由项目组组长签字确认。


第五章 上线试运行

第三十一条 上线试运行申请。建设单位向校网络安全与信息化领导小组提交“信息系统上线试运行申请表”及初步验收报告,经审核批准后方可上线试运行。

第三十二条 生产环境。建设单位可向信息化建设与发展中心申请学校信息化基础平台资源用于信息系统的运行。建设单位自行提供生产环境的,须严格按照项目论证时确定的安全保护等级要求进行配置,并对信息系统安全负完全责任。

第三十三条 运行文档。在学校信息化基础平台上运行的信息系统,建设和开发单位必须在申请生产环境的同时向信息化建设与发展中心提交系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告等文档及系统最终版本的安装文件。

第三十四条 安装部署。信息化建设与发展中心根据建设单位需求及学校信息化基础平台相关规定进行生产环境配置及信息系统的安装部署。

第三十五条 权限配置。建设单位应指定专人负责应用软件中的各类用户账号管理及权限配置。上线试运行前,所有测试账号或由建设单位删除或收回。

第三十六条 试运行期。系统试运行期一般不少于1个月且不多于3个月。试运行期满且情况良好的,可进行竣工验收。竣工验收的内容及形式参照《信息化项目管理办法》之规定执行。竣工验收通过,信息系统方可上线正式运行。


第六章 运行维护

第三十七条 运行维护工作原则。各建设单位对信息系统的维护与管理,应定岗、定人、定责,制定工作制度,建立工作机制,确保运行维护工作的持续性和有效性。

第三十八条 运行维护工作内容。生产环境的运行维护工作主要包括:服务器、操作系统、中间件、数据库、文件系统及网络等的配置、管理与维护。应用系统的运行维护工作主要包括:用户、权限、数据及内容等的配置、管理与维护。

第三十九条 系统更新分类。信息系统上线试运行或正式运行后的系统更新按照目的分为修复性更新和功能性更新。修复性更新的主要目的是对运行过程中发现的系统问题进行修复、提升稳定性和提高性能;功能性更新的主要目的是根据业务需求变化等对原有功能进行增加或更改。

第四十条 系统更新开发测试流程。

对信息系统进行修复性更新时,由建设单位和开发单位依照第二十条之规定在测试环境完成更新测试,测试通过后填写并向信息化建设与发展中心提交“信息系统更新申请表”。

对信息系统进行功能性更新时,应先参照第十六条之规定进行需求变更,经校网络安全与信息化领导小组审核后由开发单位进行更新开发,再由建设单位和开发单位依照第二十条之规定在测试环境完成更新测试,测试通过后填写并向信息化建设与发展中心提交“信息系统更新申请表”。

第四十一条 系统更新安全检测与部署。信息化建设与发展中心依照第二十五条之规定对更新后的系统进行安全检测,检测通过后方可进行更新。使用学校信息化基础平台作为生产环境的信息系统由信息化建设与发展中心进行更新部署,其他信息系统由建设单位进行更新部署。

第四十二条 数据备份。使用学校信息化基础平台作为生产环境的信息系统由信息化建设与发展中心负责进行数据备份,备份范围包括信息系统使用的数据库数据及文件服务器数据;备份周期一般为24小时,数据库数据备份的保留周期一般为7天,文件服务器数据备份的保留周期一般为3天,建设单位有特殊要求的,应在信息系统上线试运行时明确提出。信息系统安装和配置文件数据由建设单位自行备份。由建设单位提供生产环境的信息系统,所有数据备份由建设单位负责。

第四十三条 运行监控及故障申告。建设单位应对信息系统运行情况进行实时监控并在信息系统首页明显位置显示建设单位的服务电话,受理和响应信息系统的故障申告及咨询、建议。信息化建设与发展中心对学校信息化基础平台运行状况进行监控,受理和响应建设单位对生产环境的故障申告及咨询、建议。

第四十四条 故障处理。建设单位根据业务要求制定信息系统故障处理应急预案;信息化建设与发展中心制定学校信息化基础平台故障处理应急预案。各方应按照“分级负责、协同处理、快速反应、有力保障”的原则进行故障处理。发现故障或收到故障申告后,受理单位应首先对故障类型及原因进行初步判断并及时通报相关各单位,各方对自己所负责维护的部分进行认真排查并及时沟通、协同处理;故障修复后,应形成故障分析及处理日志。

第四十五条 用户服务。建设单位应通过服务电话、电子信箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议并根据用户意见及时对系统进行调整与更新。


第七章 安全管理

第四十六条 安全监测。建设单位应指派专人对上线运行信息系统的安全状况进行监控。信息化建设与发展中心定期对上线运行的信息系统进行技术检测,对运行在学校信息化基础平台的信息系统检测周期一般为1个月,其他信息系统检测周期一般为2个月。

第四十七条 安全事件整改与事件处理。信息化建设与发展中心会同建设单位及开发单位依照《合肥工业大学网络信息安全事件处理暂行办法》(合工大党发〔2016〕189号)对发现的安全事件进行整改和处理。

第四十八条 安全等级保护。信息系统上线运行的3个月内,由信息化建设与发展中心组织完成信息系统的信息安全等级保护测评与备案工作。

第四十九条 对要求统一使用和大范围采集个人信息的系统尤其是移动应用,除关系国家安全、社会稳定、学校和师生人身安全的以外,应在履行立项和审核程序的基础上,充分征求用户意见,并经领导班子审定同意。采集人脸等个人生物识别信息的应用,应在上述要求基础上组织科学性、论理性、安全性论证。

第五十条 所有信息系统使用个人基本信息应从基础数据库中共享,不得向用户重复采集个人基本信息。


第八章 监督评价与责任追究

第五十一条 监督评价。校网络安全与信息化领导小组负责对学校各类信息系统的建设、运行维护和服务进行监督,每年组织一次年审,将年审结果纳入单位的年度绩效考核,并作为各单位后续信息化建设经费审批的主要依据。

第五十二条 责任追究。因违反本办法之规定造成信息系统建设无法通过验收或在运行过程中造成事故的,追究相关责任人的直接责任,追究单位负责人的领导责任。


第九章 附则

第五十三条 本办法自发布之日起施行,由校网络安全与信息化领导小组负责解释。本办法发布之日前已上线运行的信息系统,应在本办法发布之日起的3个月内补齐各阶段文档,未上线运行的所有信息系统一律按照本办法对照整改执行后方可验收。







版权所有:合肥工业大学信息化建设与管理办公室 Copyright © 2021 Hefei University of Technology . All Rights Reserved