第一章 总则
第一条 为规范学校信息系统建设与运行维护工作,加强信息系统安全管理,提高信息系统建设与维护水平,根据学校相关文件精神及《软件生存周期过程》(GB/T8566 -2007)、《计算机软件文档编制规范》(GB/T8567-2006)等国家标准,结合学校实际情况以及信息化工作进程,特制定本办法。
第二条 本办法所说的信息系统是指湖北师范大学信息化工作项目中以及学校各单位建设的面向学校师生和公众的用于满足教学、科研、管理和服务的,主要包括各种业务信息服务的应用系统和面向公众服务的网站等,以下都简称“信息系统”。
第三条 适用范围。凡是列入到学校信息化建设项目中或者在学校信息化基础平台上运行的信息系统以及学校各单位建设的信息系统均适用本办法。其他信息系统建设管理可以参照本办法执行。
第四条 建设原则。
(一) 信息系统建设应当遵循“安全稳定,责任明晰;开放共享,互联互通;简洁易用,注重体验”的原则。
(二) 各单位在建设信息系统时必须将其网络安全放在首要位置,信息系统的安全与信息系统同步规划、同步建设、同步投入运行。
(三) 信息系统的建设与运行维护按照“谁主管谁负责,谁使用谁负责,谁运维谁负责”的总要求进行流程规范和责任明晰;业务系统建设和集成由业务部门主导,公共服务系统建设主要由信息化建设与管理中心负责。
(四) 信息系统在建设时应当充分考虑数据共享,减少数据的重复收集,应与公共服务信息系统和其他业务系统之间互联互通,避免建成“信息孤岛”。
(五) 信息系统在设计和开发时应当充分考虑当前技术发展潮流,界面应简洁、易用、高效,用户体验良好。
第五条 阶段划分。信息系统的建设与运行维护分为需求分析、系统设计、系统开发、系统测试、安全监测、初步验收、上线试运行和运行维护八个阶段。
第二章 单位与职责
第六条 信息系统建设与运行维护过程中,涉及到的单位主要包括信息化建设与管理中心、建设单位、开发单位和对接单位。建设单位是指负责建设信息系统的所有学校相关的二级单位。开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的软件公司等。对接单位是指信息系统需要对接集成的系统所属单位。各单位主要职责如下:
(一)信息化建设与管理中心
1.制定信息化系统建设相关管理制度,监督各单位在信息系统建设与运行维护过程中严格遵循各项规章制度并认真履行各自职责;
2.审核信息系统建设和运行维护的各阶段工作和技术,并协调解决信息系统建设与运行维护过程中出现的重大问题;
3.根据建设需求,为信息系统建设提供测试环境和生成环境,负责对测试环境操作进行安全审计和生成环境的运行维护;
4.负责信息化基础平台生产环境的物理安全、系统安全及网络安全等;
5.配合建设单位完成信息系统的上线试运行工作,参与建设单位的信息系统的初步验收;
6.对重要的信息系统,组织实施信息系统安全等级保护测评和备案工作;
7.配合建设单位、开发单位及对接单位的信息系统故障处理。
(二)建设单位
1.牵头成立项目组,项目组组长一般由建设单位主要负责人承担,成员主要包括建设单位相关科室负责人、开发单位项目经理、技术人员等;
2.监督开发单位严格遵守合同及各项规章制度并认真履行职责;
3.初步审核确认开发单位在信息系统建设各阶段形成的文档,协调对接单位、配合开发单位完成需求调研、系统设计及系统开发工作,负责系统测试、初步验收组织及上线试运行工作;
4.负责应用软件、测试环境和自行提供的生产环境的运行维护;
5.负责信息系统的故障、漏洞申告受理、咨询和建议,协同开发单位、信息化建设与管理中心及对接单位进行故障或安全漏洞处理,并提交故障处理或安全漏洞整改报告;
6.负责信息系统的应用安全及数据安全,自行提供信息系统生产环境的单位,负责其生产环境的物理安全、系统安全及网络安全;
7.含重要信息系统的单位,还要配合信息化建设与管理中心组织的信息系统安全等级保护测评及备案工作,并根据安全整改意见督促开发单位进行整改。
(三)开发单位
1.负责信息系统的需求调研、系统设计及开发工作;
2.负责信息系统所需的环境配置和系统部署;
3.配合建设单位完成系统的测试、安全整改、上线试运行及运行维护工作;
4.配合建设单位对测试环境进行管理与维护。
(四)对接单位
1.配合建设单位和开发单位完成系统对接集成方案编制及系统开发工作;
2.配合建设单位完成系统对接测试工作;
3.配合建设单位、信息化建设与管理中心及开发单位进行系统对接部分的故障处理。
第三章 需求分析
第七条 需求调研。需求调研在信息系统建设合同签订后进行。开发单位根据合同规定的建设内容制定需求调研计划,经项目组确认后开展调研工作,建设单位负责协调安排本单位及对接单位相关人员相互配合。需求调研周期一般不超过1个月。
第八条 需求分析说明书编制。开发单位在需求调研结束后进行需求分析并向项目组提交需求分析说明书。需求说明书一般应包括:需求总体描述、业务需求、系统接口及对接需求和系统管理需求等部分。项目组对需求分析说明书进行初审并由项目组组长签字确认。
第九条 需求分析说明说审核。建设单位填写“信息系统需求分析说明书审核表”与需求分析说明书一并提交到信息化建设与管理中心,审核通过后方可启动系统设计。
第四章 系统设计
第十条 系统设计说明说编制。开发单位根据通过审核的需求分析说明书进行系统设计,提交系统设计说明书,系统设计说明书应包括系统架构、数据结构、功能模块、集成接口等内容。项目组对系统设计说明书进行初审并由项目组组长签字确认。系统设计周期一般不超过1个月。
第十一条 数据交换与共享方案编制。
对于学校基础数据库已有数据,信息系统原则上必须通过统一数据交换与共享平台从学校基础数据库中获得,不得直接通过系统采集;信息系统自身所产生的新的基础数据也应通过统一数据交换与共享平台推送至学校基础数据库。
开发单位应遵循学校相关的文件规定进行数据交换与共享方案设计。项目组对数据交换与共享方案设计后进行初审并有组长签字确认。
第十二条 系统对接与集成方案编制。
面向师生服务的信息系统,原则上必须与学校统一身份认证系统进行认证集成;与信息门户进行数据集成、信息集成和单点登录集成;有移动应用需求的还应遵循移动版信息门户的相关规范,建设本业务相关的移动应用页面,并集成到学校统一使用的“今日校园AAP”中;信息系统所涉及面向师生服务的业务流程,须将该部分流程放在在网上办事大厅信息平台,并与该平台集成。
开发单位在系统设计时应遵循学校相关管理规定针对每个对接系统编制对接与集成方案,项目组会同对接单位对方案进行初审并由项目组组长及对接系统负责人签字确认。
第十三条 系统设计说明书及相关方案审核。建设单位填写“信息系统设计审核表”并将相关说明书及方案一并提交到信息化建设与管理中心,审核通过后可启动系统开发。
第五章 系统开发
第十四条 开发计划。开发单位必须在系统开饭前制定详细、合理的项目开发计划,项目组负责审核并由组长签字确认。
第十五条 组织实施。开发单位根据经审核通过的系统设计说明书及系统对接与集成方案,按照开发计划规定的进度进行信息系统开发。项目组按照开发计划中的时间节点要求,对开发单位的工作进行检查督促,并协调对接单位配合开发单位的对接集成开发。
第十六条 开发规范。开发单位在系统开发过程中应结合国家、行业及学校相关规范和标准等制定系统开发规范并严格遵守。开发规范至少应包括命名规范、数据库规范、代码及注释规格规范等。
第十七条 需求变更。在系统开发过程中,建设单位和开发单位均可根据实际情况及合同约定提出需求变更,变更内容经项目组讨论确定后拟定需求变更说明书,开发单位根据该说明书对相关设计说明书、系统对接集成方案及开发计划进行修订,修订后的内容有项目组审核并经组长签字确认生效。
第十八条 延期处理。由于客观条件发生变化等原因造成项目未能按照实施计划的时间节点完成的,开发单位必须向建设单位提交项目延期说明书,经项目组审核后由组长签字确认。未经确认的项目延期,开发单位承担合同违约责任。
第十九条 开发环境。系统的开发环境由开发单位或者建设单位提供,不得使用学校信息化基础平台资源。
第六章 系统测试
第二十条 测试文档。开发完毕需进行测试的信息系统,由开发单位提交测试文档,至少应包括:功能测试用例、测试报告(含单元测试、集成测试、性能测试等)、系统安装部署文档及系统安装文件。项目组队测试文档进行审核并经组长签字确认后方可进行系统测试。
第二十一条 测试环境。需在学校信息化基础平台上运行的信息系统由建设单位向信息化建设与管理中心申请测试服务器,其他信息系统由建设单位自行提供测试服务器。测试环境的操作系统及数据库等基础系统版本应该与生产环境保持一致。测试环境的管理与维护由建设单位指定专人负责,信息化建设与管理中心对测试环境的所有操作进行安全审计。
第二十二条 测试数据。建设单位负责为开发单位提供与信息系统数据格式一致的测试数据;信息系统使用学校基础数据的,由信息化建设与管理中心提供测试数据。测试数据一律不得直接使用真实数据。
第二十三条 测试步骤。开发单位在测试服务器上,根据系统安装部署文件部署测试环境;建设单位依据需求、设计文档、采购时的技术参数要求并结合功能测试用例等完成系统功能测试并形成功能测试报告;建设单位在开发单位的配合下完成性能测试并形成性能测试报告;建设单位在对接单位的配合下完成对系统对接测试并形成对接测试报告。
第二十四条 测试整改。对于测试中发现的问题,开发单位应积极进行整改,直至测试通过。
第二十五条 更新测试。系统测试完毕后,开发安慰如需对系统进行更新,必须先向项目组提交系统更新包及相应的更新安装说明和更新测试材料。项目组审核后,方可安装到测试环境进行测试。
第七章 安全检测
第二十六条 检测申请。系统测试完毕后,建设单位必须向信息化建设与管理中心提交“信息系统安全检测申请表”,同时提供项目全部文档及源代码并开放测试环境。开发单位对所提供的源代码的真实性负责,建设单位对源代码与系统功能的一致性负责。
第二十七条 技术检测。对于学校重要信息系统,信息化建设与管理中心负责依照相关规定组织重要信息系统安全保护等级测评及备案工作,以及其他可进行的技术检测、代码审计、漏洞扫描安全工作等。
第二十八条 安全检测报告及整改意见。信息化建设与管理中心根据技术检测结果出具安全检测报告及整改意见。如因特殊原因无法提供源代码的,应由开发单位委托具有相关资质的第三方软件代码测评机构出具代码审计合格报告。
第二十九条 安全整改。开发单位根据整改意见对信息系统进行整改并有建设单位向信息化建设与管理中心提供复检申请,直至安全检测通过为止。
第八章 初步验收
第三十条 初步验收条件。信息系统具备合同及需求说明书中的所有功能且通过安全检测并由开发单位对建设单位系统维护人员完成系统维护培训后,方可进行初步验收。
第三十一条 初步验收组织。建设单位负责组织由项目组及信息化建设与管理中心专家组成的初步验收小组对信息系统进行初步验收。
第三十二条 初步验收形式及内容。初步验收小组应听取开发单位工作报告及系统演示并对各阶段文档进行审阅,依据合同及需求分析说明书的内容,对信息系统完成情况及质量进行评价并提出意见和建议。
第三十三条 初步验收报告。初步验收通过后,应形成信息系统初步验收报告,并由项目组长签字确认。
第九章 上线试运行
第三十四条 上线运行申请。建设单位向新西湖建设与管理中心提交“信息系统上线试运行申请”及初步验收报告,经审核批准后方可上线试运行。
第三十五条 生产环境。建设单位可向信息化建设与管理中心申请徐晓信息化基础平台资源用于信息系统的运行。建设单位自行提供生产环境的,须严格按照项目论证时确定的安全保护等级要求进行配置,并对信息系统安全负完全责任。
第三十六条 运行文档。在学校信息化基础平台上运行的信息系统,建设和开发单位必须在申请生产单位环境的同时向信息化建设与管理中心提交系统安装部署说明书、系统维护手册、系统使用手册、系统测试报告及安全检测报告邓文迪及系统最终版本的安装文件。
第三十七条 安装部署。开发单位技术人员、建设单位维护人员在信息化建设与管理中心工作人员的协同下,根据建设需求及学校信息化基础平台相关规定进行生产环境配置及信息系统的安装部署。
第三十八条 权限配置。建设单位应指定专人负责应用软件中的各类用户账号管理及权限配置。上线运行前,所有测试账号或由开发单位使用的账号由建设单位删除或收回。
第三十九条 试运行期。系统试运行期一般不少于1个月且不多于4个月。试运行期满且情况良好的,可进行竣工验收。竣工验收的内容和形式参照《湖北师范大学信息化项目管理办法》相关规定执行。竣工验收通过,信息系统方可上线正式运行。
第十章 运行维护
第四十条 运行维护工作原则。各单位对信息系统的维护和管理,应定岗、定人、定责,制定工作制度,建立工作机制,确保运行维护工作的持续性和有效性。
第四十一条 运行维护工作内容。生产环境的运行维护工作主要包括:服务器、操作系统、中间件、数据库、文件系统及网络等的配置、管理与维护。应用系统的运行维护工作主要包括:用户、圈钱、数据及内容等的配置、管理与维护。
第四十二条 系统更新分类。信息系统上线试运行或正式运行后的系统更新按照目的分为修复性更新和功能性更新,修复性更新的主要目的是对运行过程中发现的系统问题进行修复、提升稳定性和系统性能。功能性更新的主要目的是根据业务需求变化等对原有功能进行增加或更改。
第四十三条 系统更新开发测试流程。
对信息系统进行修复性更新时,由建设单位和开发单位依照第二十条的规定在测试环境完成更新测试,测试通过后填写并向信息化建设与管理中心提交“信息系统更新申请和更新测试报告”。
对信息系统进行功能性更新时,应先参照第十六条之规定进行需求变更,经向信息化建设与管理中心审核同意后由开发单位进行更新开发,再由建设单位和开发单位依据第二十条之规定在测试环境完成更新测试,测试通过后填写并向信息化建设与管理中心提交“信息系统更新申请和更新测试报告”。
第四十四条 系统更新安全检测与部署。信息化建设与管理中心依照第二十五条之规定对更新后的系统进行安全检测,检测通过后方可进行更新。使用学校信息化基础平台作为生产环境的信息系统需要在信息化建设与管理中心的协同下完成更新部署,其他信息系统由建设单位自行进行更新部署。
第四十五条 数据备份。使用学校信息化基础平台作为生产环境的信息系统由信息化建设与管理中心负责进行数据备份,备份范围包括信息系统使用的数据库及文件服务器数据;备份周期一般按照信息系统实际情况可分为日备份、周备份、月备份等多备份机制,建设单位有特殊要求的,应在信息系统上线运行时明确提出。信息系统安装和配置文件数据由建设单位自行备份。由建设单位自行提供生产环境的信息系统,所有的数据备份由建设单位自行负责。
第四十六条 运行监控及故障申告。建设单位应对信息系统运行情况进行实时监控并在信息系统首页明显位置显示建设单位的服务电话,受理及相应信息系统的故障申告及咨询、建议。信息化建设与管理中心对学校信息化基础平台运行状况进行实时监控,受理和响应建设单位对生产环境的故障申告及咨询、建议。
第四十七条 故障处理。建设单位根据业务要求制定信息系统故障处理应急预案;信息化建设与管理中心制定学校信息化基础平台故障处理应急预案。各方应按照“分级负责、协同处理、快速反应、有力保障”的原则进行故障处理。发现故障或收到故障申告后,受理单位应首先对故障类型及原因进行初步判断并及时通报相关单位,各方对自己所负责维护的部分进行认证排查并及时沟通、协同处理;故障修复后,应形成故障分析及故障处理日志、报告。
第四十八条 用户服务。建设单位应通过服务电话、电子信箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议,并根据用户意见及时对系统进行调整与更新。
第十一章 安全管理
第四十九条 安全监测。建设单位应指派专人对上线运行的信息系统的安全状况进行监控。信息化建设与管理中心定期对上线运行的信息系统进行技术检测,对运行在学校信息化基础平台的信息系统检测周期一般为每周至少1次,其他信息系统检测周期一般为每月至少2次。
第五十条 安全事件整改与事件处理。信息化建设与管理中心会同建设单位即开发单位依照相关规定对发现的安全事件进行整改和处理,并按照规定提交整改报告。
第五十一条 安全等级保护。重要的信息系统上线运行的3个月内,由建设单位提出申请,向信息化建设与管理中心审批后,信息化建设与管理中心组织完成信息系统的安全等级保护测评与备案工作。
第十二章 监督评价与责任追究
第五十二条 监督评价。学校向信息化建设与管理中心负责对学校各类信息系统的建设、运行维护和服务进行监督,每年组织1次考核评价,讲考核评价结果纳入单位的年度绩效考核,并作为各单位后续信息化建设经费审批的主要依据。
第五十三条 责任追究。因违反本办法之规定造成信息系统建设无法通过验收或在运行过程中造成事故的,追究相关责任人的直接责任,并追究单位负责人的领导责任。
第十三章 附则
第五十四条 本办法自发布之日起施行,由信息化建设与管理中心附则解释。