《太原理工大学信息系统建设与运行维护条例(试行)》
(校办〔2018〕28号)
太原理工大学信息系统建设与运行维护条例
(试行)
第一章 总 则
第一条 为规范学校信息系统建设、安全运行及维护工作,根据学校相关文件精神及《软件生存周期过程(GB/T8566-2007)》、《计算机软件文档编制规范(GB/T 8567-2006)》、《太原理工大学信息化管理与建设办法》等,特制定本条例。
第二条 适用范围。列入学校信息化建设项目或在学校信息化基础平台上运行的信息系统均适用本条例。其他信息系统建设管理可参照本条例执行。
第三条 建设原则。信息系统建设应遵循“安全稳定,责任明晰;开放共享,互联互通;简洁易用,注重体验”的原则。信息系统在建设时应充分考虑数据共享、减少信息的重复收集,应与公共基础信息系统和其他业务系统之间互联互通,避免建成“信息孤岛”。
第四条 阶段划分。信息系统的建设与运行维护分为需求分析、系统设计、系统开发、系统测试、安全检测、初步验收、上线试运行及运行维护八个阶段。
第二章 单位与职责
第五条 单位与职责
1.网络安全和信息化工作领导小组
1)确定学校信息系统建设的项目计划及年度预算。
2)解决信息系统建设与运行维护过程中的重大问题。
3)审批信息系统的立项与建设。
4)审核信息系统建设与运行维护的各阶段工作。
5)组织上线信息系统安全等级保护备案与测评。
2.信息化管理与建设中心
1)配合建设单位需求,协助进行信息系统的测试环境和生产环境的搭建。
2)负责信息化基础平台生产环境的物理安全、系统安全及网络安全等。
3)参与对信息系统建设和运行维护的各阶段工作进行技术审核。
4)对信息系统进行安全检测,参与建设单位组织的信息系统验收。
5)配合建设单位完成系统上线试运行工作。
6)配合建设单位、开发单位及对接单位进行故障处理。
7)配合网络安全和信息化工作领导小组、开发单位完成信息系统安全等级保护测评及备案工作。
3.建设单位
1)建设单位是指学校职能部处、群团组织、教辅单位等二级机构,是本单位信息系统建设的主体。
2)应牵头成立项目组,组长一般由建设单位主要负责人承担,成员包括建设单位相关人员、开发单位项目经理、技术人员等;监督开发单位严格遵守合同及各项规章制度并认真履行职责,且保证所开发信息系统开放开发接口,以便与其它业务系统对接。
3)初步审核确认开发单位在信息系统建设各阶段形成的文档,协调对接单位、配合开发单位完成需求调研、系统设计及系统开发工作,负责系统测试、初步验收组织及上线试运行工作;建立信息系统的完备档案,包括从建设到测试、运维以及安全管理等各个环节的各类资料。
4)负责应用软件、测试环境和生产环境的运行维护。
5)负责信息系统故障申告受理、咨询、建议和处置。
6)负责信息系统的应用安全、数据安全,配合信息系统安全检测及安全等级保护测评及备案工作,负责根据安全整改意见督促开发单位进行整改。
4.开发单位
1)是指通过合法采购流程确定的承担信息系统开发、维护工作的单位。
2)负责信息系统的需求调研、系统设计及开发工作;配合建设单位完成系统测试、安全整改、上线试运行及运行维护工作。
3)配合建设单位对测试环境、生产环境进行管理与维护。
4)负责对建设单位相关人员进行培训。
5.对接单位
1)是指信息系统需要对接集成的系统所属单位。
2)配合建设单位和开发单位完成系统对接集成方案编制及系统开发工作。
3)配合建设单位及开发单位完成系统对接测试工作及对接部分的故障处理。
第三章 需求分析
第六条 需求调研。需求调研在信息系统建设合同签订后进行。开发单位根据合同规定的建设内容制定需求调研计划,经项目组确认后开展调研工作,建设单位负责协调安排本单位及对接单位相关人员相互配合。
第七条 需求分析说明书编制。开发单位在需求调研结束后进行需求分析并向项目组提交需求分析说明书。需求说明书一般应包括:需求总体描述、业务需求、系统接口及对接需求(业务流程对接、数据交换及共享等方面)和系统管理需求等部分。项目组对需求分析说明书进行初审并由组长签字确认后方可启动系统设计。
第四章 系统设计
第八条 系统设计说明书编制。开发单位根据通过审核的需求分析说明书进行系统设计,提交系统设计说明书,系统设计说明书应包括系统架构、数据结构、功能模块、集成接口等内容。项目组对系统设计说明书进行初审并由组长签字确认。
第九条 数据交换与共享方案编制。对于学校基础数据库已有数据,信息系统原则上应通过统一数据交换与共享平台从学校基础数据库获得,不得直接通过系统采集;信息系统所产生的基础数据也应通过统一数据交换与共享平台推送至学校基础数据库。开发单位应遵循学校相关的基础数据库使用规定进行数据交换与共享方案设计。项目组对数据交换与共享方案进行初审并由组长签字确认。
第十条 系统对接与集成方案编制。面向师生服务的信息系统,原则上应与学校统一身份认证系统进行认证集成,与信息门户进行数据集成、信息集成和单点登录集成等。开发单位在系统设计时应遵循学校相关管理规定针对每个对接系统编制对接与集成方案,项目组会同对接单位对方案进行初审并由项目组组长及对接单位系统负责人签字确认后方可启动系统开发。
第五章 系统开发
第十一条 开发计划。开发单位应在系统开发前制定详细、合理的项目开发计划,项目组负责审核并由组长签字确认。
第十二条 组织实施。开发单位根据经审核通过的系统设计说明书及系统对接与集成方案,按照开发计划规定的进度进行信息系统开发。项目组按照开发计划中的时间节点要求,对开发单位的工作进行检查督促,并协调对接单位配合开发单位的对接集成开发。
第十三条 开发规范。开发单位在系统开发过程中应结合国家、行业及学校相关规范和标准等制定系统开发规范并严格遵守。开发规范至少应包括命名规范、数据库规范、代码及注释格式规范等。
第十四条 需求变更。在系统开发过程中,建设单位和开发单位均可根据实际情况及合同约定提出需求变更,变更内容经项目组讨论确定后拟定需求变更说明书,开发单位根据该说明书对相关设计说明书、系统对接集成方案及开发计划进行修订,修订后的内容由项目组审核并经组长签字,报网络安全和信息化工作领导小组批准后生效。
第十五条 延期处理。由于客观条件发生变化等原因造成项目未能按实施计划的时间节点完成的,开发单位应向建设单位提交项目延期说明书,经项目组审核后由组长签字确认。未经确认的项目延期,开发单位承担合同违约责任。
第十六条 开发环境。系统的开发环境由开发单位或建设单位提供,不得使用学校信息化基础平台资源,以保障网络信息安全。
第六章 系统测试
第十七条 测试文档。开发完毕需进行测试的信息系统,由开发单位提交测试文档,至少应包括:功能测试用例、测试报告(含单元测试、集成测试、性能测试等)、系统安装部署文档及系统安装文件。项目组对测试文档进行审核并由组长签字确认后方可进行系统测试。
第十八条 测试环境。需在学校信息化基础平台上运行的信息系统由建设单位向信息化管理与建设中心申请测试服务器,其他信息系统由建设单位自行提供测试服务器。测试环境的操作系统及数据库等基础系统版本应与生产环境保持一致。测试环境的管理与维护由建设单位指定专人负责。
第十九条 测试数据。建设单位、对接单位负责为开发单位提供与信息系统数据格式一致的测试数据;测试数据一律不得直接使用真实数据。
第二十条 测试步骤。开发单位在测试服务器上,根据系统安装部署文档部署测试环境;建设单位依据需求、设计文档、采购时的技术参数要求并结合功能测试用例等完成系统功能测试并形成功能测试报告;建设单位在开发单位的配合下完成性能测试并形成性能测试报告;建设单位在对接单位的配合下完成对系统对接测试并形成对接测试报告。
第二十一条 测试整改。对于测试中发现的问题,开发单位应积极进行整改,直至测试通过。
第二十二条 更新测试。系统测试完毕后,开发单位如需对系统进行更新,应先向项目组提交系统更新包及相应的更新安装说明和更新测试材料。项目组审核后,方可安装到测试环境进行测试。
第七章 安全检测
第二十三条 检测申请。系统测试完毕后,建设单位应向信息化管理与建设中心提交《信息系统安全检测申请表》,同时提供系统相关文档的副本(包括需求、设计、开发和维护等阶段文档)及源代码(如合同要求提供)并开放测试环境。开发单位对所提供的文档及源代码的真实性及与系统功能的一致性负责。
第二十四条 技术检测。信息化管理与建设中心负责依照相关技术规范对系统进行安全检测。
第二十五条 整改意见。信息化管理与建设中心根据技术检测结果出具整改意见。
第二十六条 安全整改。开发单位根据整改意见对系统进行整改并由建设单位向信息化管理与建设中心提交复检申请,直至安全检测通过为止。
第八章 初步验收
第二十七条 初步验收条件。信息系统具备合同及需求说明中的所有功能且通过安全检测并由开发单位对建设单位系统维护人员完成系统维护培训后,方可进行初步验收。
第二十八条 初步验收组织。建设单位负责组织由项目组、信息化管理与建设中心等单位组成的初步验收小组对信息系统进行初步验收。
第二十九条 初步验收形式及内容。初步验收小组应听取开发单位工作报告及系统演示并对各阶段文档进行审阅,依照合同及需求分析说明书的内容,对信息系统完成情况及质量进行评价并提出意见和建议。
第三十条 初步验收报告。初步验收通过后,应形成信息系统初步验收报告,并由项目组长签字确认。
第九章 上线试运行
第三十一条 上线试运行。建设单位向信息化管理与建设中心提交初步验收报告,方可上线试运行。
第三十二条 生产环境。建设单位可向信息化管理与建设中心申请学校信息化基础平台资源用于信息系统的运行。建设单位自行提供生产环境的,需部署在校园网内,须严格按照项目论证时确定的安全保护等级要求进行配置,并对信息系统安全负完全责任。
第三十三条 运行文档。在学校信息化基础平台上运行的信息系统,建设和开发单位应在申请生产环境的同时向信息化管理与建设中心提交系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告等文档。
第三十四条 安装部署。建设单位及开发单位按照相关要求进行生产环境配置及信息系统的安装部署。
第三十五条 权限配置。建设单位应指定专人负责应用软件中的各类用户账号管理及权限配置。上线试运行前,所有测试账号或由开发单位使用的账号由建设单位删除或收回。
第三十六条 试运行期。系统试运行期应不少于 1 个月。试运行期满且情况良好的,建设单位及时组织竣工验收,并形成最终验收报告。由分管信息化工作的副校长在最终验收报告上签字同意后,信息系统方可正式上线运行。
第十章 运行维护
第三十七条 运行维护工作原则。各单位对信息系统的维护与管理,应定岗、定人、定责,制定工作制度,建立工作机制,确保运行维护工作的持续性和有效性。
第三十八条 运行维护工作内容。生产环境的运行维护工作主要包括:服务器、操作系统、中间件、数据库、文件系统及网络等的配置、管理与维护。应用系统的运行维护工作主要包括:用户、权限、数据及内容等的配置、管理与维护。
第三十九条 系统升级与更新。对信息系统进行升级与更新操作前,建设单位和开发单位应先在测试环境中操作,如未发生异常再在生产环境中实施。升级更新前应做好数据与系统的备份。
第四十条 数据备份。建设单位应做好数据的备份与存储工作。备份范围包括信息系统使用的数据库数据、文件数据、日志数据、配置数据等。
第四十一条 运行监控及故障申告。建设单位应对信息系统运行情况进行实时监控并在信息系统首页明显位置显示建设单位的服务电话,受理和响应信息系统的故障申告及咨询、建议。信息化管理与建设中心对学校信息化基础平台运行状况进行实时监控,受理和响应建设单位对生产环境的故障申告及咨询、建议。
第四十二条 故障处理。建设单位应制定信息系统故障处理应急预案;信息化管理与建设中心制定学校信息化基础平台故障处理应急预案。各方应按照“分级负责、协同处理、快速反应、有力保障”的原则进行故障处理。发现故障或收到故障申告后,受理单位应首先对故障类型及原因进行初步判断并及时通报相关各单位,各方对自己所负责维护的部分进行认真排查并及时沟通、协同处理;故障修复后,应形成故障分析及处理日志。
第四十三条 用户服务。建设单位应通过服务电话、电子信箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议并根据用户意见及时对系统进行调整与更新。
第十一章 安全管理
第四十四条 安全监测。建设单位应指派专人对上线运行信息系统的安全状况进行监控。信息化管理与建设中心定期对上线运行的信息系统进行技术检测。
第四十五条 安全事件整改与事件处理。建设单位及开发单位对发现的安全事件进行整改和处理。
第四十六条 安全等级保护。信息系统正式上线运行后应完成安全等级保护测评与备案工作。
第十二章 监督评价与责任追究
第四十七条 监督评价。网络安全和信息化工作领导小组办公室负责对学校各类信息系统的建设、运行维护和服务进行监督,每年组织一次考核评价,将考核评价结果纳入年度绩效考核,并作为各单位后续信息化建设经费审批的主要依据。
第四十八条 责任追究。因违反本条例之规定造成信息系统建设无法通过验收或在运行过程中造成事故的,追究相关责任人的直接责任,追究单位负责人的领导责任。
第十三章 附 则
第四十九条 本条例由网络安全和信息化工作领导小组办公室负责解释。
第五十条 本条例自2018年10月1日起实施。