第一章 总则

第一条 为规范学校信息系统建设与运行维护管理，加强信息系统安全管理，提高信息系统建设与运行维护水平，根据《教育部关于加强新时代教育管理信息化工作的通知》（教科信函〔2021〕13 号）、《高等学校数字校园建设规范（试行）》（教科信函〔2021〕14 号）及《计算机软件文档编制规范》（GB/T 8567-2006）、《软件生存周期过程》（GB/T 8566-2007）等国家标准，结合学校实际，制定本办法。

第二条 本办法所称信息系统是指为满足学校教学、科研、管理和服务需要而研发的信息收集、传递、存储、加工、维护和使用的人机交互系统，由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成。通常情况下，信息系统泛指网站、移动应用、业务平台等软件系统。

第三条 信息系统管理遵循“安全优先、责任明晰、互联互通”的原则。

安全优先：将信息安全放在首要位置，信息安全与信息系统同步规划、同步建设、同步运行；

责任明晰：按照“谁主管谁负责、谁建设谁负责、谁运维谁 负责、谁使用谁负责”的原则做到流程规范、责任明晰；

互联互通：各信息系统应与基础应用信息系统、学校数据中心、相关业务应用信息系统进行对接集成，保证数据交换共享， 避免信息孤岛和信息重复采集，持续提升用户体验。

第四条 本办法适用于学校所有信息系统。

第二章 组织管理与职责分工

第五条 信息系统的建设与运行维护过程分为七个阶段：需求分析、系统设计、系统开发、系统测试、上线试运行、初步验 收、运行维护。

第六条 信息系统建设与运行维护过程，涉及到的单位主要包括：党委网络安全和信息化委员会办公室（以下简称网信办）、 网络信息管理中心、建设单位、开发单位和对接单位。

网信办是学校信息系统建设与运行维护工作的归口管理机构；

网络信息管理中心是信息系统建设与运行维护工作的技术支撑部门；

建设单位是指具体负责信息系统建设与运行维护工作的学校二级单位；

开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的软件公司等；

对接单位是指与本信息系统进行对接集成的信息系统的管理单位。

提供身份管理、流程服务、支付服务、消息服务、日历服务、报表服务、音视频服务、位置服务、应用管理等基础应用服务的信息系统建设单位一般为网络信息管理中心。各业务应用信息系统建设单位为各业务部门。

第七条 网信办在信息系统建设与运行维护过程中的职责， 包括：

（一）制定信息系统建设相关管理制度；

（二）协调解决信息系统建设与运行维护过程中出现的重大 问题；

（三）审核信息系统建设与运行维护的各阶段工作，监督各有关单位的工作执行情况；

（四）组织实施上线运行的信息系统安全等级保护备案与测评。

第八条 网络信息管理中心在信息系统建设与运行维护过程中的职责，包括：

（一）根据建设单位需求，为信息系统提供测试环境和生产环境，负责对测试环境操作进行安全审计及生产环境的运行维 护；

（二）负责信息化基础平台生产环境的物理安全、系统安全 及网络安全等；

（三）对信息系统建设与运行维护的各阶段工作进行技术审核；

（四）配合建设单位完成系统上线试运行工作；

（五）参与建设单位组织的信息系统初步验收；

（六）配合建设单位、开发单位及对接单位进行故障处理；

（七）配合网信办、开发单位完成信息系统安全等级保护测评及备案工作。

（八）协同建设单位、开发单位进行各业务应用信息系统与 学校基础应用信息系统的对接与集成、与学校数据中心的数据交 换与共享工作。

第九条 建设单位在信息系统建设与运行维护过程中的职责，包括：

（一）牵头成立项目组，项目组组长一般由建设单位分管领 导担任，成员主要包括建设单位相关科室负责人、网络信息管理中心技术人员、开发单位项目经理及技术人员、对接单位相关人员等；

（二）监督开发单位的合同执行情况；

（三）初步审核确认开发单位在信息系统建设各阶段形成的文档，协调对接单位、配合开发单位完成需求调研、系统设计及系统开发工作，负责系统测试、上线试运行、组织初步验收工作；

（四）负责应用软件、测试环境和自行提供的生产环境的运 行维护；

（五）负责信息系统的故障申告受理、咨询和建议，协同开发单位、网络信息管理中心及对接单位进行故障处理；

（六）负责信息系统的应用安全及数据安全，自行提供信息系统生产环境的单位，负责其生产环境的物理安全、系统安全及网络安全等；配合信息系统安全检测及安全等级保护测评及备案工作，负责根据安全整改意见督促开发单位进行整改。

（七）负责信息系统与学校基础应用信息系统的对接与集 成、与学校数据中心的数据交换与共享工作。

第十条 开发单位在信息系统建设与运行维护过程中的职 责，包括：

（一）负责信息系统的需求调研、系统设计及开发工作；

（二）配合建设单位完成系统测试、安全整改、上线试运行 及运行维护工作；

（三）配合建设单位对测试环境进行管理与维护；

（四）协同网络信息管理中心、建设单位进行各业务应用信息系统与学校基础应用信息系统的对接与集成、与学校数据中心的数据交换与共享工作。

第十一条 对接单位在信息系统建设与运行维护过程中的职责。包括：

（一）配合建设单位和开发单位完成系统对接集成方案编制 及系统开发工作；

（二）配合建设单位完成系统对接测试工作；

（三）配合建设单位、网络信息管理中心及开发单位进行系 统对接部分的故障处理。

第三章 需求分析

第十二条 需求调研。需求调研在信息系统建设合同签订后进行。开发单位根据合同规定的建设内容制定需求调研计划，开始具体调研，建设单位负责协调安排本单位及对接单位相关人员相互配合。

第十三条 《需求分析说明书》编制。开发单位在需求调研结束后进行需求分析并向项目组提交《需求分析说明书》进行初审确认。《需求分析说明书》一般应包括：需求总体描述、业务 需求、系统接口及对接需求和系统管理需求等部分。

第十四条 《需求分析说明书》审核。建设单位将《需求分析说明书》提交到网信办，审核通过后启动系统设计。

第四章 系统设计

第十五条 《系统设计说明书》编制。开发单位根据通过审核的《需求分析说明书》进行系统设计，提交《系统设计说明书》并由项目组初审确认。《系统设计说明书》应包括：系统架构、数据结构、功能模块、集成接口等内容。

第十六条 《数据交换与共享方案》编制。由开发单位提交《数据交换与共享方案》并由项目组初审确认。对于学校数据中心已有数据，原则上必须从学校数据中心获得，不得直接通过系统采集；信息系统所产生的基础数据也应共享至学校基础数据中心。

第十七条 《系统对接与集成方案》编制。原则上面向师生服务的信息系统，必须与学校基础应用信息系统进行对接与集成。目前，学校基础应用信息系统主要包括：统一身份认证平台、学校统一信息门户、网上办事大厅平台。

开发单位在系统设计时应针对每个对接系统编制对接与集 成方案，项目组对《系统对接与集成方案》初审，由项目组长及对接单位系统负责人确认。

第十八条 系统安全性设计。系统设计时必须考虑整体的安全性，需符合《中华人民共和国网络安全法》和学校有关规定， 从访问控制、安全认证、数据加密、系统安全等多个方面对体系进行安全性设计，提高系统的安全性。

第十九条 系统设计说明书及相关方案审核。建设单位将《系统设计说明书》和《系统对接与集成方案》提交到网信办， 审核通过后方可启动系统开发。

第五章 系统开发

第二十条 开发计划。开发单位应在系统开发前制定详细、合理的项目开发计划。

第二十一条 组织实施。开发单位根据经审核通过的《系统设计说明书》及《系统对接与集成方案》，按照开发计划规定的 进度进行信息系统开发。建设单位按照开发计划中的时间节点要求，对开发单位的工作进行检查督促，并协调对接单位配合开发单位的对接集成开发。

第二十二条 需求变更。在系统开发过程中，建设单位和开发单位均可根据实际情况及合同约定提出需求变更，变更内容经项目组讨论确定后形成需求变更说明书，开发单位根据该说明书对《系统设计说明书》和《系统对接与集成方案》及开发计划进行修订，经项目组审核确认后生效。

第六章 系统测试

第二十三条 功能测试文档。开发完毕需进行测试的信息系统，由开发单位提交测试文档，至少应包括：功能测试用例、测试报告（含单元测试、集成测试、性能测试等）、系统安装部署文档及系统安装文件。经建设单位确认后方可进行系统测试。对于测试中发现的问题，开发单位应积极进行修正，直至测试通过。

第二十四条 测试环境。由建设单位向网络信息管理中心申请安排测试服务器。测试环境的操作系统及数据库等基础系统版本应与生产环境保持一致。测试环境的管理与维护由建设单位指定专人负责，网络信息管理中心对测试环境的所有操作进行安全审计。

第二十五条 测试数据。建设单位负责为开发单位提供与信息系统数据格式一致的测试数据；信息系统使用学校基础数据 的，由网络信息管理中心提供测试数据。测试数据一律不得直接使用真实数据。

第二十六条 更新测试。系统测试完毕后，开发单位如需对系统进行更新，必须先向项目组提交系统更新包及相应的更新安装说明和更新测试材料。项目组审核后，方可安装到测试环境进行测试。

第二十七条 安全检测文档。开发单位提交系统安全检测文档，包括但不限于代码审计、漏洞扫描等内容。对于测试中发现的问题，开发单位应积极进行修正，直至安全检测通过。原则上， 开发单位需提供具有资质的第三方安全检测机构出具的安全检测报告。

第七章 上线试运行

第二十八条 上线试运行申请。由建设单位向网信办提交信息系统上线试运行申请，经网信办批准后方可上线试运行。

第二十九条 生产环境。建设单位向网络信息管理中心申请学校信息化基础平台资源用于信息系统的运行。建设单位自行提供生产环境的，须严格按照项目论证时确定的安全保护等级要求进行配置，并对信息系统安全负完全责任。

第三十条 运行文档。在学校信息化基础平台上运行的信息系统，建设单位和开发单位必须在申请生产环境的同时向网络信息管理中心提交系统安装部署说明、系统维护手册、系统使用手 册、系统测试报告及安全检测报告等文档及系统最终版本的安装 文件。

第三十一条 安装部署。网络信息管理中心根据建设单位需求进行生产环境配置，并配合开发单位进行安装部署。

第三十二条 权限配置。建设单位应指定专人负责信息系统的各类用户账号管理及权限配置。上线试运行前，所有测试账号或由开发单位使用的账号由建设单位删除或收回。

第三十三条 试运行期。试运行期一般不少于 1 个月，试运行期满且系统运行情况良好的，可进行初步验收。

第八章 初步验收

第三十四条 初步验收条件。信息系统具备合同及需求说明中的所有功能并由开发单位对建设单位系统维护人员完成系统 维护培训后，方可进行初步验收。

第三十五条 初步验收组织。由项目组及网信办组成初步验收小组对信息系统进行初步验收。

第三十六条 初步验收形式及内容。初步验收小组应听取开发单位工作报告及系统演示，对各阶段文档进行审阅，依照合同及《需求分析说明书》等对信息系统完成情况及质量进行评价， 最终提出验收意见。

第三十七条 初步验收报告。初步验收通过后，应形成验收报告，并由初步验收小组成员逐一确认。对于未通过验收的项目， 开发单位须根据相关反馈意见进行整改，达到验收条件后再行验收。

第九章 运行维护

第三十八条 运行维护工作原则。各单位对信息系统的维护与管理，应定岗、定人、定责，制定工作制度，建立工作机制， 确保运行维护工作的持续性和有效性。

第三十九条 运行维护工作内容。生产环境的运行维护工作主要包括：服务器、操作系统、中间件、数据库、文件系统及网络等的配置、管理与维护。应用系统的运行维护工作主要包括： 用户、权限、数据及内容等的配置、管理与维护。

第四十条 运行监控。建设单位应对信息系统运行情况进行实时监控，并在信息系统首页明显位置显示建设单位服务电话等 联系方式，受理和响应信息系统的故障申告及咨询、建议。

第四十一条 系统安全。建设单位、开发单位对信息系统运行中发现的各类安全漏洞应及时进行修复和处理，保障信息系统运行安全。

第四十二条 数据备份。建设单位应根据工作需要定期对信息系统相关数据进行备份。

第四十三条 故障处理。建设单位根据业务要求制定信息系 统故障处理应急预案；网络信息管理中心制定学校信息化基础平 台故障处理应急预案。各方应按照“分级负责、协同处理、快速 反应、有力保障”的原则进行故障处理。发现故障或收到故障申 告后，受理单位应首先对故障类型及原因进行初步判断并及时通 报相关各单位，各方对自己所负责维护的部分进行认真排查并及 时沟通、协同处理；故障修复后，应形成故障分析及处理日志。 第四十四条 用户服务。建设单位应通过服务电话、电子信箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议并根据用户意见及时对系统进行调整与更新。

第四十五条 系统更新。由建设单位自行安排系统更新时间，更新时间以非工作时间为宜。对需要暂停服务的系统更新， 还应由建设单位提前通知系统用户。

第十章 安全管理

第四十六条 安全监测。建设单位应指派专人对上线运行信息系统的安全状况进行监控。

第四十七条 安全事件整改与事件处理。网络信息管理中心会同建设单位及开发单位对发现的安全事件进行整改和处理。

第四十八条 安全等级保护。信息系统上线运行的3 个月内， 由网信办组织完成信息系统的信息安全等级保护测评与备案工作。

第十一章 监督评价与责任追究

第四十九条 监督评价。网信办负责对学校各类信息系统的建设、运行维护和服务进行监督，定期组织考核评价，评价结果 将作为今后信息化建设项目立项及经费安排的重要依据。

第五十条 责任追究。因违反本办法之规定造成信息系统建设无法通过验收或在运行过程中造成事故的，追究相关责任人的 直接责任，追究单位负责人的领导责任。

第五十一条 施行信息系统名录制度。网信办组织建立学校信息系统名录，定期开展信息系统普查，实时更新信息系统名录， 排査非我校互联网协议地址和域名（双非）的信息系统，清理业务应用脱节、资源长期闲置、运维停止更新的“僵尸”系统。

第十二章 附则

第五十二条 除特殊情况外，信息系统的测试环境和生产环境均由网络信息管理中心提供。

第五十三条 本办法自发布之日起施行，由网信办负责解释。