第一章 总则

第一条  为规范学校信息系统建设与运行维护工作，加强信息系统管理，根据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》等法律法规，结合学校工作实际，制定本办法。

第二条  本办法所称信息系统是指为满足学校教学、科研、管理和服务而建设的信息收集、传递、存储、加工、维护和使用的人机交互系统。

第三条  信息系统建设管理应遵循“统一规划、资源共享、安全高效、管理有序”的原则。

第二章  职责与分工

第四条  信息系统建设涉及到的单位主要包括信息化管理中心、建设单位、开发单位。建设单位是指负责建设信息系统的学校各院部单位；开发单位是指通过合法采购流程确定的具体承担信息系统开发工作的供应商。

第五条  信息化管理中心主要职责

（一）制定信息系统管理制度。

（二）协调解决信息系统建设与运行维护过程中出现的重大问题。

（三）监督、检查信息系统建设与运行维护各阶段工作落实情况。

（四）组织信息系统安全等级保护测评与备案。

第六条  建设单位主要职责

（一）成立信息系统建设项目组，项目组组长一般由建设单位主要负责人担任，成员主要包括建设单位相关科室负责人、开发单位项目经理、技术人员等。

（二）审核开发单位在信息系统建设各阶段形成的文档，协调相关单位进行需求调研、系统设计及系统开发工作，负责系统测试、验收及上线试运行工作。

（三）负责信息系统以及操作系统、中间件、数据库系统等运行环境的管理与安全。

（四）负责信息系统用户咨询、故障处理。

（五）配合信息化管理中心、开发单位完成信息系统安全等级保护测评及备案工作。

（六）监督开发单位遵守以下规定：

1．遵守《中华人民共和国网络安全法》等相关法律法规及相关国家标准的要求；保障所提供信息系统的自身安全和稳定运行，能够有效应对网络攻击；通过备份、加密、敏感数据脱敏等措施保护数据的完整性、保密性和可用性。因信息系统自身安全问题造成的一切后果（包括法律、经济等方面责任）由开发单位承担全部责任。

2．信息系统不得设置后门、木马等功能和恶意程序；产品存在安全缺陷、漏洞等风险时，应当及时告知建设单位，并立即采取补救措施。

3．开发单位应当为其软件产品运行所依赖的操作系统、数据库系统、中间件、开发框架、第三方组件、容器等持续提供安全维护，并承担相应的安全责任。

4．信息系统具有收集用户信息功能，须向建设单位明示并取得同意；涉及用户个人敏感信息的，还应当遵守《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规有关个人信息保护的规定。

第三章  系统测试

第七条  系统测试前由开发单位提交测试文档，至少应包括测试用例、测试报告（含单元测试、集成测试、性能测试等）、系统安装部署文档及系统安装文件。项目组对测试文档进行审核并由组长签字确认后方可进行系统测试。

第八条  在学校信息化基础平台上运行的信息系统由建设单位向信息化管理中心申请测试服务器，其他信息系统由建设单位自行提供测试服务器。测试环境的操作系统及数据库等基础系统版本应与生产环境保持一致。测试环境的管理与维护由建设单位指定专人负责。

第九条  建设单位负责为开发单位提供与信息系统数据格式一致的测试数据；信息系统使用学校基础数据的，由信息化管理中心提供测试数据。

第十条  测试步骤。开发单位在测试服务器上根据系统安装部署文档部署测试环境；建设单位、开发单位依据需求、设计文档、采购时的技术参数要求，结合测试用例完成系统测试，撰写功能测试报告、性能测试报告。

第十一条  对于测试中发现的问题，开发单位须积极进行整改，直至测试通过。

第四章  上线试运行

第十二条  建设单位向信息化管理中心提交信息系统上线试运行申请、初步验收报告和《安阳工学院信息系统登记表》（见附件），经审核批准后方可上线试运行。

第十三条  建设单位可向信息化管理中心申请学校信息化基础平台资源，用于信息系统的运行。建设单位自行提供的生产环境，须严格按照项目论证时确定的网络安全保护等级要求进行配置，并对该信息系统的安全性负责。

第十四条  信息系统建设单位应做好系统资料存档工作。资料主要包括系统安装部署说明、系统维护手册、系统使用手册、系统测试报告及安全检测报告、系统最终版本的安装文件等。

第十五条  信息化管理中心根据建设单位需求及学校信息化基础平台相关规定进行生产环境配置，由开发单位进行信息系统的安装部署。

第十六条  建设单位应指定专人负责信息系统及其运行环境中的各类用户账号管理及权限配置。系统正式上线前，所有测试账号或开发单位使用的账号应由建设单位删除或收回。

第十七条  信息系统试运行期一般为1至3个月。试运行期满且状况良好的，可正式上线运行。

第五章  运行维护

第十八条  建设单位负责信息系统的维护与管理，并制定相关管理制度，确保系统稳定运行。

第十九条  建设单位负责信息系统数据备份工作。备份频率依据业务需求确定。

第二十条  信息系统至少保存6个月的系统日志。

第二十一条  建设单位根据业务特点，制定信息系统故障处理应急预案。出现故障时，由建设单位牵头，协调有关单位按照“分级负责、协同处理、快速反应、有力保障”的原则进行处置。

第二十二条  建设单位应通过服务电话、电子邮箱等多种渠道主动收集和解答用户对信息系统的咨询、意见和建议，并根据用户反馈信息及时对系统进行调整与更新。

第六章  附则

第二十三条  本办法自公布之日起施行，由信息化管理中心负责解释。