第一章 总 则

第一条 为规范学校信息系统建设与运行维护工作，加强信息系统安全管理，提高信息系统建设与运行维护水平，根据《中华人民共和国网络安全法》《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息技术 软件生存周期过程》（GB/T8566-2007）、《计算机软件文档编制规范》（GB/T8567-2006）等国家、省、市有关法规政策和学校相关管理制度，结合学校工作实际，特制定本办法。

第二条 本办法适用于列入学校信息化建设项目或在学校信息化基础平台上运行的信息系统，其他信息系统建设管理可参照本办法执行。

第三条 信息系统是指为满足学校教学、科研、管理和服务而建设的信息收集、传递、存储、加工、维护和使用的人机交互系统。学校信息系统主要包括业务信息系统（应用系统）和公共服务信息系统。

第四条  信息系统建设涉及到的单位主要包括建设单位、开发单位和对接单位。建设单位是指负责建设信息系统的学校机关部门或学院、研究院等二级单位；开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的软件公司等；对接单位是指信息系统需要对接集成的系统所属单位。

第五条 信息化建设管理应遵循“统一规划、资源共享、安全高效、管理有序”的原则，按照“同步规划、同步建设、同步运行”的要求，加强信息化建设管理。

第六条  信息系统在建设时应充分考虑数据共享，减少信息的重复收集，应与公共服务信息系统和其他业务系统之间互联互通，避免建成“信息孤岛”。

第七条 信息系统的建设与运行维护分为规划和审核、需求分析、系统设计、系统开发、系统测试、安全检测、初步验收、上线试运行、运行维护等九个阶段。

第二章 组织机构和职责

第八条 网络安全与信息化办公室（以下简称“网信办”）的主要职责：

（一）制定信息系统建设相关管理制度。

（二）协调解决信息系统建设与运行维护过程中出现的重

大问题。

（三）审核信息系统建设与运行维护的各阶段工作。

（四）监督各单位在信息系统建设与运行维护过程中严格遵守各项规章制度并认真履行各自职责。

（五）组织实施上线运行的信息系统安全等级保护测评与备案。

（六）负责信息化基础平台运营环境的物理安全、系统安全及网络安全等。

第九条 建设单位的主要职责：

（一）牵头成立信息系统建设项目组，项目组组长一般由建设单位主要负责人担任，成员主要包括建设单位相关科室负责人、开发单位项目经理、技术人员等。

（二）监督开发单位严格遵守合同及各项规章制度并认真履行职责。

（三）初步审核确认开发单位在信息系统建设各阶段形成的文档，协调对接单位，配合开发单位完成需求调研、系统设计及系统开发工作，负责系统测试、初步验收组织及上线试运行工作。

（四）配合网信办、开发单位完成信息系统安全等级保护测评及备案工作。

（五）负责信息系统的应用安全及数据安全，其中，自行提供信息系统运营环境的单位，还需负责其运营环境的物理安全、系统安全及网络安全等。

第十条 开发单位的主要职责：

（一）负责信息系统的需求调研、系统设计及开发工作。

（二）配合建设单位完成系统测试、安全整改、上线试运行及运行维护工作。

第十一条 对接单位的主要职责：

（一）配合建设单位和开发单位完成系统对接集成方案编制及对接开发工作。

（二）配合建设单位完成系统对接测试工作。

第三章 需求管理

第十二条 项目申报。各建设单位应在每年年底向网信办申报下一年度的信息化建设项目，并提交《信息化项目需求申请表》（附件1）进行审核。网信办根据学校信息化需求及信息化经费等情况论证申报项目，并将论证结果上报网络安全和信息化领导小组审定，审定结果由网信办统一反馈给各建设单位。

第十三条 需求调研。需求调研在信息系统建设合同签订后进行，开发单位根据合同规定的建设内容制定需求调研计划，经项目组确认后开展调研工作，建设单位负责协调安排本单位及对接单位相关人员相互配合。

第十四条 需求分析说明书编制。开发单位在需求调研结束后进行需求分析，并向项目组提交需求分析说明书。需求说明书一般应包括：需求总体描述、业务需求、系统接口及对接需求、安全需求、系统管理需求等部分。

第十五条 需求分析说明书审核。项目组对需求分析说明书进行初审，并由组长签字确认，审核通过后方可启动系统设计。

第四章 系统设计

第十六条 系统定级。应根据网络安全等级保护要求对系统进行定级。

第十七条 系统设计说明书编制。开发单位根据需求分析说明书和系统定级结果，进行系统设计，提交系统设计说明书。系统设计说明书应包括系统架构、数据结构、功能模块、集成接口、安全措施（等级保护三级系统设计内容应包含密码技术相关内容）等内容。项目组对系统设计说明书进行初审并由组长签字确认。

第十八条 数据交换与共享方案编制。对于学校基础数据库已有数据，信息系统必须通过统一数据交换与共享平台从学校基础数据库获得，不得直接通过系统采集；信息系统所产生的基础数据应通过统一数据交换与共享平台推送至学校基础数据库。

第十九条 系统对接与集成方案编制。面向师生服务的信息系统，必须与学校统一身份认证系统进行认证集成。

第二十条 系统设计说明书及相关方案审核。建设单位将相关说明书及方案一并提交到网信办，由网信办视情况聘请专家进行论证，审核通过后方可启动系统开发。

第五章 系统开发

第二十一条 开发计划。开发单位必须在系统开发前制定详细、合理的项目开发计划，项目组负责审核并由组长签字确认。

第二十二条 工程监理。项目应依据实际情况实施工程监理，按照信息系统工程监理的有关规定，委托工程监理单位对项目建设进行工程监理。

第二十三条 组织实施。开发单位根据系统设计说明书及系统对接与集成方案，按照开发计划规定的进度进行信息系统开发。项目组按照开发计划中的时间节点要求，对开发单位的工作进行检查督促，并协调对接单位配合开发单位的对接集成开发。

第二十四条 开发规范。开发单位在系统开发过程中应结合国家、行业及学校相关规范和标准等制定系统开发规范，并严格遵照执行。

第二十五条 需求变更。在系统开发过程中，建设单位和开发单位均可根据实际情况及合同约定提出需求变更，变更内容经项目组讨论确定后拟定需求变更说明书，开发单位根据该说明书对相关设计说明书、系统对接集成方案及开发计划进行修订，修订后的内容由项目组审核，并经组长签字确认生效。

第二十六条 延期处理。由于客观条件发生变化等原因造成项目未能按实施计划的时间节点完成的，开发单位必须至少提前一个月，向建设单位提交项目延期说明书，经项目组审核后由组长签字确认。未经确认的项目延期，开发单位需承担违约责任。

第二十七条 开发环境。系统的开发环境由开发单位或建设单位提供，不得使用学校信息化基础平台资源。

第六章 系统测试

第二十八条 测试文档。开发完毕需进行测试的信息系统，由开发单位提交测试文档，至少应包括：功能测试用例、安全性测试用例（如等保三级系统还应包含密码应用安全性测试相关内容）、测试报告（含单元测试、集成测试、性能测试等）、系统安装部署文档及系统安装文件。项目组对测试文档进行审核并由组长签字确认后方可进行系统测试。

第二十九条 测试环境。需在学校信息化基础平台上运行的信息系统由建设单位向网信办申请测试服务器，测试环境的管理与维护由建设单位指定专人负责，网信办对测试环境进行安全审计。

第三十条 测试数据。建设单位负责为开发单位提供与信息系统数据格式一致的测试数据；信息系统使用学校基础数据的，由网信办提供测试数据。测试数据一律不得直接使用真实数据。

第三十一条 测试步骤。开发单位按照系统安装文档部署测试环境；建设单位依据需求、设计文档、技术参数要求，完成系统综合测试，并形成综合测试报告。

第三十二条 测试整改。对于测试中发现的问题，开发单位应积极进行整改，直至测试通过。

第三十三条 更新测试。系统测试完毕后，开发单位如需对系统进行更新，必须先向项目组提交系统更新包及相应的更新安装说明和更新测试材料，项目组审核后，方可安装到测试环境进行更新测试。

第七章 安全检测

第三十四条 技术检测。建设单位或开发单位负责依照项目安全保护等级及相关规定进行技术检测。检测手段主要包括对信息系统源代码进行代码审计、对信息系统进行漏洞扫描等。

第三十五条 安全检测报告及整改意见。建设单位或开发单位应根据技术检测结果出具安全检测报告及整改意见。如因特殊原因无法提供源代码的，应由开发单位委托具有中国计量（CAM）认证和中国合格评定国家委员会（CNAS）认可实验室证书等资质的第三方软件代码测评机构，出具代码审计合格报告。

第三十六条 安全整改。开发单位根据整改意见对系统进行整改，直至安全检测通过为止。

第八章 初步验收

第三十七条 初步验收条件。信息系统完成综合测试，通过安全检测，可进行初步验收。

第三十八条 初步验收组织。建设单位负责组织由项目组及网信办专家组成的初步验收小组对信息系统进行初步验收。

第三十九条 初步验收形式及内容。初步验收小组应听取开发单位工作报告及系统演示并对各阶段文档进行审阅，依照合同及需求分析说明书的内容，对信息系统完成情况及质量进行评价并提出意见和建议。

第四十条 初步验收报告。初步验收通过后，应形成信息系统初步验收报告，并由项目组长签字确认。

第九章 上线试运行

第四十一条 上线试运行申请。建设单位向网信办提交《信息系统上线试运行申请表》（附件2）及初步验收报告，经审核批准后方可上线试运行。

第四十二条 运行环境。建设单位可向网信办申请学校信息化基础平台资源用于信息系统的运行。建设单位自行提供运营环境的，须严格按照网络安全保护等级要求进行配置。

第四十三条 运行文档。在学校信息化基础平台上运行的信息系统，建设和开发单位必须在申请运营环境的同时，向网信办提交系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告等文档，以及系统最终版本的安装文件。

第四十四条 安装部署。网信办根据建设单位需求及相关规定，进行运营环境配置及信息系统的安装部署。

第四十五条 权限配置。建设单位应指定专人，负责信息系统中各类用户账号管理及权限配置。上线试运行前，所有测试账号或由开发单位使用的账号由建设单位删除或收回。

第四十六条 试运行期限。系统试运行期一般不少于1个月、不多于3个月。试运行期满且情况良好的，可进行竣工验收。竣工验收通过，信息系统方可上线正式运行。

第四十七条 归档管理。信息系统的开发合同、设计文档、测试文档、系统代码、验收报告等，按《高等学校档案管理办法》要求移交档案馆。系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告等文档移交网信办。

第十章 运行维护

第四十八条 运行维护工作原则。建设单位负责信息系统的维护与管理，制定运维工作制度，建立运维工作机制，确保运行维护工作的持续性和有效性。

第四十九条 系统更新流程。对信息系统进行更新时，由建设单位和开发单位在测试环境完成更新测试，测试通过后填写并向网信办提交《信息系统更新申请表》（附件3）。

第五十条 数据备份。为保证数据备份的及时性、准确性，由建设单位负责进行业务数据备份，备份的保留周期一般为6个月，建设单位有特殊要求的，可委托网信办进行数据备份工作。

第五十一条 故障处理。建设单位根据业务要求制定信息系统故障处理应急预案；网信办制定应急响应综合预案。由建设单位牵头，协调有关部门按照“分级负责、协同处理、快速反应、有力保障”的原则进行故障处理。

第五十二条 用户服务。建设单位应通过服务电话、电子信箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议，并根据用户意见及时对系统进行调整与更新。

第十一章 安全管理

第五十三条 安全监测。建设单位应对信息系统的运行状况进行监控。网信办定期对信息系统进行安全技术检测。

第五十四条 安全事件整改。网信办会同建设单位及开发单位，依照《网络安全事件报告与处置流程》，对发现的安全事件进行整改和处置。

第五十五条 等保测评与备案。信息系统上线运3个月之内，依照《信息安全技术网络安全等级保护基本要求》，由网信办组织完成信息系统的网络安全等级保护测评与备案工作。

第十二章 监督评价与责任追究

第五十六条 监督评价。网信办负责对学校各类信息系统的建设、运维服务和安全保障进行监督，每年组织一次考核评价，将考核评价结果纳入单位的年度绩效考核，并作为各单位后续信息化建设经费审批的主要依据。

第五十七条 责任追究。因违反本办法之规定造成信息系统建设无法通过验收或在运行过程中造成事故的，追究相关责任人的责任。

第十三章 附 则

第五十八条 本办法由网络安全与信息化办公室负责解释。

第五十九条 本办法自发布之日起施行。