渭南师范学院信息化项目建设与应用管理办法
第一章总则
第一条为规范渭南师范学院信息化建设项目立项、建设、投用、验收、后评价等全过程管理,加大项目推广应用力度,强化“统一规划,统一标准,统一投资,统一建设,统一管理”(以下简称“五统一”),提高信息化建设项目的建设和应用水平,制定本办法。
第二条信息化应用系统(以下简称信息系统)是指在提升学校核心竞争力的过程中,运用信息化技术,为解决科研、教学、管理、生活中出现的实际问题而构建的综合体系,由一个或多个信息化项目构成。信息化建设项目主要包括:以硬件资源配置、系统安全管理、网络工程为主要内容的网络硬件建设项目;以计算机应用软件开发和软件引进为主要内容的应用软件系统建设项目;以教学过程数据自动采集和监控为主要内容的教学建设项目;以教学管理数据采集、传输、存储、应用为主要内容的数据库建设项目;信息标准化建设项目等。
第三条信息系统的安全等级分为三级。
(一)一级:信息系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产,在遭到攻击和破坏时,对系统所承载的业务以及单位利益造成较小的负面影响。
(二)二级:信息系统所处理的信息为日常业务信息。系统所管理、控制和处理的信息资产,在遭到攻击和破坏时,对系统所承载的业务以及单位利益造成一定的损失或破坏。
(三)三级:信息系统所处理的信息为核心业务信息。系统所管理、控制和处理的信息资产,在遭到攻击和破坏时,对系统所承载的业务和单位利益及社会公共利益造成严重的损失或破坏,对社会稳定、国家安全带来负面影响。该级别的信息系统在本管理办法中定义为“重要信息系统”。
第四条各单位应强化信息系统相关知识的培训,培训内容包括系统操作、安全政策、权限申请、系统访问、密码管理等,着力提高全员安全意识。
第二章项目立项管理
第五条渭南师范学院信息化领导小组负责学校信息化建设长期规划和各子信息化建设项目方案的审定。学校信息化建设项目必须经信息与教育技术中心备案。
第六条各单位根据学校信息化建设中长期规划,围绕教学、科研、管理三条主线,结合本单位、本部门实际,提出年度信息化建设项目需求,按照学校统一要求组织编制项目的可行性研究报告,按有关管理程序报批。由财务资产管理部门根据预算管理的要求纳入全面预算管理,按照学校成本项目管理程序执行。
第七条各单位申报的信息化建设项目,一经学校立项,纳入学校统一管理范畴,确定项目责任单位后,其他单位不得重复建设。
第三章项目实施和运行管理
第八条学校信息化建设项目实行项目管理,由项目组负责项目的建设实施。项目负责人及项目组重要成员在项目建设期间一般不得中途退出或更换。重大项目遇有特殊情况需变更项目负责人和重要成员时,应提出书面申请,报渭南师范学院信息化领导小组审查,并报学校信息与教育技术中心备案。
第九条信息化建设项目必须通过招投标确定实施单位。招投标工作按照《渭南师范学院招标投标管理办法》等有关规定执行。
第十条项目组(或项目责任单位)负责组织实施单位进行项目的详细设计并组织专家对详细设计进行评审,评审没通过的项目不得开展下一步工作。
第十一条项目责任单位负责组织相关数据的收集、整理、审核,并指定专人进行审查和确认,确保数据的真实、完整和准确。
第十二条信息系统开发完毕,项目实施单位应先进行严格自测试,然后提交测试大纲、计划和用例,交信息管理部门组织进行集成测试,并形成测试报告。
第十三条学校重点项目或10万元以上的项目由学校信息与教育技术中心会同相关业务部门和项目责任单位根据项目进展情况组织阶段性验收。对发现的问题,责成实施单位整改,项目责任单位及时跟踪问题整改情况,并对重大整改进行复审,通过后方可转入下一阶段工作。
第十四条项目上线运行前,项目责任单位负责检查软硬件系统安装调试情况,制定配套的系统运行管理制度,组织系统培训工作。实施单位负责对用户单位进行培训,提供全套资料和培训文档。
第十五条重点项目应先试点、后推广。对在试点过程中发现的问题实施单位要及时整改,经渭南师范学院信息与教育技术中心和项目责任单位组织严格测试无误后,项目责任单位组织开展项目推广应用工作。如发现的问题久拖未决,或实施单位解决不了,渭南师范学院信息化领导小组组织相关业务专家论证,做出是否继续、重新定位、中止或另择实施单位的决定。
第十六条项目进度需做大的调整的,项目责任单位和实施单位共同提交书面申请,说明原因,报渭南师范学院信息化领导小组审批;有重大技术方案或建设内容变更的,渭南师范学院信息化领导小组组织专家组进行审查和论证后实施。
第四章竣工验收管理
第十七条项目竣工验收由信息管理部门依据项目批复文件、总体设计方案、合同及附件,组织专家组按照规定程序进行。验收专家组由项目审批部门、相关领域的业务专家和最终用户等相关人员共同组成。
第十八条重大项目在系统平稳运行3个月、一般项目平稳运行1个月后,由项目责任单位和最终用户对项目的应用效果和满意度进行综合评价,达到预期目标后,方可申请项目竣工验收。
第十九条项目通过验收后,项目责任单位根据验收专家组提出的意见,组织对项目进行完善。未通过验收的项目,应根据验收专家组的意见,在3个月内进行整改,完善验收文档,同时再次提出验收申请,由信息管理部门重新组织项目竣工验收。
第五章 系统应用
第二十条系统运营
(一)信息系统投入教学环境后,应保证至少1个业务周期的试运行期。试运行期间,新业务流程、运作方式应与旧业务流程、运作方式保持并行。
(二)需委托维护的信息系统,信息与教育技术中心负责审查系统服务商资质,并签订系统维护服务合同;信息与教育技术中心自行维护的,应指定专人负责,制定岗位职责。
第二十一条硬件设施管理
(一)建立健全基础设施档案管理。固定资产设备验收合格后,应按照设备分类进行资产登记,建立档案,随机附件和技术资料要齐全。每年进行复查核实,做到账物相符。
(二)加强硬件设施运行维护队伍建设。按照专业分工和岗位不相容原则,配备专职或兼职管理员,重要的基础设施管理岗位要设置A/B角(A/B角工作制度是指,某职位或工作要确定A、B两个责任人,当A角不在岗时,必须由熟悉A角业务并行使与A角同等职权的B角负责受理各项业务,为服务对象提供及时便捷服务。在规定时段内,A、B两个责任人不得同时离岗)或规定“双人临岗”(为保障监督、减少失误,某工作必须有2人或2人以上的责任人同时在场方可开展)制度。
(三)应参照信息系统安全等级对硬件设施进行等级划分,低级别的硬件设施不能承载高级别的信息系统。
(四)加强信息基础设施的运行管理。建立和完善系统运行、巡检和监控记录,认真进行每日巡检、每月检查,并每半年进行一次考核。
(五)与重要信息系统相关的基础设施要有备份冗余和应急预案,备份设备及线路应处于正常工作状态,未经批准不得随意更改配置和用途。
(六)贯彻"预防为主"的方针,认真抓好信息基础设施维护保养工作,保证信息系统的稳定、可靠、安全运行。
(七)每年组织相关人员对基础设施运行状况进行评估,对于存在的隐患、问题和不足提出整改方案,纳入年度基础设施运行维护计划。
第二十二条用户权限和访问管理
(一)系统责任单位按照“岗位需要、权责对等、统一授权”的原则,对用户进行分类分级管理,明确各级用户职责,严格控制权限范围。系统使用过程中,各单位应严格遵循系统权限界定。
(二)系统按权限组或角色变更用户权限时,权限组、角色的定义要经过系统最高级应用部门负责人审批。
(三)应用系统中用户账号不得重复;业务操作账号及管理员账号不得共享,查询共享账号的申请审批,应用管理员要严格控制并定期审核。
(四)应用管理员至少每半年检查一次系统中的用户、权限及使用情况,发现有异常情况及时通报系统管理员及相关应用部门负责人。
(五)开发人员临时进入教学环境要经过应用部门负责人和系统管理员共同授权,到期要及时删除或锁定开发人员的账号。
(六)应用管理员要定期审核系统内的用户账号清单及用户访问日志,发现异常情况及时向相关部门负责人汇报。
(七)用户必须妥善管理上级分派的账号,无论个人账号还是共享账号,其账号名称和密码均不得使任何人获悉。
第二十三条密码管理
(一)为保证信息系统安全,系统密码的长度至少为6位,应保证一定的复杂度。
(二)操作系统、数据库、各应用系统的密码应遵循互不相容原则。
(三)操作系统、数据库、应用系统的初始密码必须在系统正式启用前修改,系统管理员和应用管理员每年至少更改1次所辖密码。
(四)个人用户首次登录系统后必须更改初始密码,使用中应定期更改密码,新密码不应与历史密码相同。
(五)登录时密码连续输入错误超过5次或密码长期不更改的,将锁定该账户。
第二十四条数据及接口管理
(一)要严格控制应用系统数据导入、导出权限;需与总部或学校统一实施的系统建立接口时,必须报学校信息与教育技术中心和相关业务部门审批,各单位不得自行接入接口程序。
(二)要严格管理信息系统的主数据,对学校统一制定下发的信息标准代码,各单位必须遵照执行,需要增加、删除、修改时,必须按照相关规定,上报信息与教育技术中心和应用部门审批。
第二十五条日志及备份管理
(一)管理员要定期备份和审核相关系统日志,发现异常情况,及时通报有关责任人,同时查明原因,提出处理意见,记录处理情况。
(二)独立于系统管理员、应用管理员的安全管理员要定期审核网络、数据库、操作系统和应用系统的日志。
(三)要定期备份应用系统程序和应用数据,备份方式、备份频率根据系统的具体情况确定。
2013年10月
