湖南涉外经济学院应用信息系统管理规定
湘外经院办字〔2019〕7号
为了规范我校各类应用信息系统的系统建设、运维管理、安全管理等工作,确保数据规范以及与现有应用信息系统对接,保障校园信息化、数字化建设的整体化、统一性,信息数据的一致性、准确性,特制定本管理规范。
一、系统建设
第一条学校应用信息系统的建设分为三类:采购商品化软件、自行软件开发、外包软件开发。一般情况下,学校以采购商品化软件为主,软件外包开发和自行开发为辅。
第二条针对商品化软件,首先要确保该软件拥有著作权和软件安全方面符合国家的有关规定;自行开发的软件,要制定软件开发的管理制度,明确说明开发过程的控制方法和人员行为准则,还应确保软件设计的相关文档(含源代码)和使用指南由专人汇总存档;外包的软件开发项目,要拟定详细的开发需求分析、开发流程、开发周期等要求,开发结束后要求开发单位提供软件源代码、软件设计的相关文档和使用指南,以及该软件的安全检测报告,学校相关技术人员在接收软件时应根据开发要求检测软件质量,审查软件中可能存在的后门等。
第三条学校各部门需要新增信息系统,需要由该部门针对自身工作需要,对信息系统提出功能需求和与其他信息系统的对接要求。此外,要调研兄弟院校对此类应用信息系统的使用情况,以及此类信息系统的厂商情况,并列出调研情况的说明材料。最后把上述的需求和调研材料提交给信息技术处,对需求分析进行技术层面的审查。
第四条每个应用信息系统在提出需求时,都要考虑和学校其他的应用系统对接的问题,在招标时候,要特别向软件厂家提出数据接口开放和数据字典开放的问题,以及后期的个性化开发和功能升级问题,并在合同中要对技术支持和服务承诺有明确的约定(费用等)。
第五条需求分析沟通确认之后,使用部门联系相关应用信息系统厂商,由厂商配合提供测试软件和硬件需求,在学校搭建模拟环境进行现场测试。由信息技术处和使用部门对信息系统能否实现相关功能、能否满足使用需要,使用便捷程度,软件设计架构,软件压力测试,兼容性(硬件,浏览器等),数据库设计,数据接口规范,软件及数据安全防护等进行实际测试。信息系统测试后,要出具详细的测试报告,提交使用部门和信息技术处领导审核。
第六条若信息系统软件测试报告完善,各项指标达到学院使用部门的功能需求和技术要求,则可进入预算和采购流程。使用单位需整理详细的需求和测试文档(包含软件功能模块和硬件需求等)作为招标技术参考文件。信息系统合同签订前,信息系统软件需求部门和信息技术处要对合同的条款,特别是软件售后服务条款如软件的版本升级,响应时间,开放接口,人员培训,软件系统安全,紧急情况保障等进行仔细审核和把关。
第七条为保证信息系统的稳定性和安全性,未经信息技术处允许,不得随意使用普通电脑进行系统架设和部署。信息技术处负责协调使用单位和软件厂商,选择软件需要的服务器平台及确定具体安装时间、安装位置等。当信息系统需进行远程在线的安装,必须先由该系统使用单位提出申请,说明原委。经信息技术处同意后,能且仅能通过信息技术处内网指定设备实现远程连接,在信息技术处专人监督之下,方可进行远程操作。
第八条信息系统正式上线运行前,应用信息系统厂家必须对系统的管理员、使用单位操作人员进行技术培训,使各操作人员能熟练掌握该软件的操作和使用方法。同时把系统安装时所需的软件安装包、操作手册、技术规范,安全检测报告、培训文档等资料需留存信息技术处一份(电子和纸质)。
第九条应用系统首先要上线试运行至少3个月,并由使用单位和厂商联合出具试运行报告,须各项功能模块达到使用部门和信息技术处的各项技术要求。试运行期满,软件厂商和使用单位应根据软件设计方案、合同、软件试运行情况报告等要求等制定验收测试方案,在验收过程中应详细记录测试验收结果,并形成测试验收报告,并组织相关部门使用人员和技术人员对系统检测报告审定和签字,还应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档进行清点入账。
第十条已上线的信息系统,如需进行系统更新、版本升级、BUG修复、功能添加等操作,由该系统具体使用单位和软件厂商向信息技术处提出申请,说明系统更新的相关理由,并在代码更新之前,软件厂家必须对更新的代码和功能模块进行安全检测,确保系统代码不存在数据泄露、数据库注入、木马攻击等安全漏洞,检查结果报信息技术处同意后,方可进行软件的相关升级。系统升级之前,必须安排专业人员对系统的软件程序、数据、配置脚本做好完善的备份,系统升级时,须在信息技术处全程监控之下。若升级的系统若为重大系统(如学院官网、教务、学工、财务系统),需使用部门配合信息技术处向全院提前发布通知,告知升级开始及完成时间。系统升级之后,厂家技术人员需第一时间功能测试。若系统正常运行、功能正常开展,则视为升级成功;若出现启动不正常、业务无法正常运行的情况,则视为升级失败,须在一定时间内恢复系统至升级之前的状态,保证业务正常运行,随后由技术升级人员分析升级失败原因,避免类似事件再次发生。
二、系统运维和安全管理
第十一条学校任何单机版应用信息系统的使用、维护及系统数据的安全保护由本部门负责承担;图书管理系统及相关应用信息系统的使用、维护及系统数据的安全保护由图书馆负责承担;教务系统的使用、维护和系统数据安全保护等由教务处负责承担;学工系统的使用、维护和系统数据安全保护等由学生工作处负责承担;学校其他公用应用信息系统如一卡通系统、网站站群等的使用、维护及系统数据安全保护由信息技术处负责承担。相应部门必须有专人负责应用信息系统的使用、维护及安全保护。
第十二条为了各系统数据的安全性,运行应用信息系统的计算机原则上不得与外部网络直接进行连接。如果应用系统需要提供网上查询而与外网连接时,应该有完善的安全防范办法,同时不得将原始数据直接与外网连接。
第十三条计算机应用信息系统的使用实行严格的权限分散管理制度。严禁任何非授权人员管理、操纵运行信息应用系统的服务器。计算机应用信息系统的使用人员分为系统管理人员和应用人员,应明确系统管理人员、应用人员的权限和操作范围。各应用信息系统的系统管理人员视本系统大小可以是一个人或一个管理小组,人员名单由负责部门的主管推荐,并报经学校网络与信息安全工作领导小组批准。应用人员名单及其对相应系统的使用权限由使用该系统的部门主管确定。
第十四条计算机应用信息系统管理员负责为应用人员分配系统的使用权限;并定期进行系统数据备份(本地备份和异地备份);当发生数据错误时,应该及时恢复;应定期对信息系统的安全状况进行检查,发现问题及时处理。
第十五条计算机应用信息系统管理人员须熟悉和熟练操作应用系统的各项功能,并能够及时排除软、硬件故障。计算机应用信息系统应用人员应该熟悉本系统的相关模块功能,能够严格按照系统提供的功能正确进行操作,完成相关工作。
第十六条不得在运行应用信息系统的计算机上使用、浏览任何与系统无关的程序、游戏、文档等资料;不得使用任何不明来历的U盘、光盘、移动硬盘等外部存储设备;不得制造、复制、传播任何色情、暴力、迷信等有害信息及计算机病毒。
第十七条计算机应用信息系统的管理和应用人员须做好各自系统软、硬件的防火、防水、防盗等安全工作。
第十八条计算机应用信息系统核心部分开发的技术人员调离时,必须移交全部技术手册、文档、资料;计算机应用信息系统管理人员调离时,必须确认系统数据的有效性、完整性,并由接管人更换计算机的有关口令和密钥,并应移交有关的技术手册、文档、资料和相关业务。
第十九条本规定由信息技术处负责解释。
第二十条本规定自公布之日起实施。