第一章 总则

第一条 制定目的

为规范学校信息系统（以下简称“系统”）的设计、开发、运行、维护全生命周期管理，保障系统安全、稳定、高效运行，保护学校各类信息资产安全，提升信息化服务质量，支撑教育教学、管理服务等各项工作有序开展，依据国家网络安全、数据安全相关法律法规及教育行业信息化管理要求，结合学校实际，制定本制度。

第二条 适用范围

本制度适用于学校所有正式投入使用、在建及规划中的信息系统，包括但不限于教务管理系统、学生管理系统、财务管理系统、人事管理系统、校园一卡通系统、校园门户网站、办公自动化系统（OA）、教学资源平台等，涵盖系统设计、开发、测试、部署、运行、监控、维护、升级、报废等全流程，以及参与系统相关工作的所有部门、工作人员、合作单位及用户。

第三条 核心原则

1.安全优先：坚持“安全第一、预防为主、综合治理”，将网络安全、数据安全贯穿系统全生命周期，防范各类安全风险。

2.规范高效：建立标准化、规范化的管理流程，明确各环节责任，提升系统开发、运行、维护效率，保障服务质量。

3.合规可控：严格遵循国家相关法律法规及行业标准，确保系统设计、开发、运行、维护等环节合规，数据收集、存储、使用、传输合法可控。

4.协同联动：明确信息管理部门、业务部门、技术支撑部门及合作单位的职责，建立协同工作机制，保障各项工作有序推进。

5.持续优化：结合学校发展需求和技术发展趋势，定期对系统进行评估、升级和优化，提升系统适配性和服务能力。

第四条 责任主体

1.信息管理部门（如数字化服务中心）：作为系统管理的牵头部门，负责统筹系统设计、开发、运行、维护的整体管理，承担技术支撑、安全监管、流程规范等职责。

2.业务部门：作为系统的使用和需求提出部门，负责提出明确的业务需求，配合系统设计、测试、验收等工作，落实本部门用户管理和数据安全责任。

3.技术支撑团队（含校内技术人员、合作开发单位技术人员）：负责系统设计、开发、测试、部署、维护、升级等技术实施工作，保障系统技术性能和安全稳定。

4.系统用户：包括学校教职工、学生、管理人员等，负责规范使用系统，妥善保管个人账号密码，及时反馈系统问题，配合系统维护和安全管理工作。

第二章 系统设计与开发管理

第五条 需求调研与论证

1.业务部门根据工作需求，向信息管理部门提交《信息系统需求申请表》，明确系统的业务目标、功能需求、性能需求、安全需求、数据需求及实施周期等内容。

2.信息管理部门联合业务部门、技术支撑团队开展需求调研，梳理需求细节，分析技术可行性、成本效益及安全风险，形成《信息系统需求分析报告》。

3.成立需求论证小组（由信息管理部门、业务部门、技术专家等组成），对《信息系统需求分析报告》进行论证，重点审核需求的合理性、合规性、安全性及可实施性，论证通过后方可进入设计阶段。

第六条 系统设计

1.技术支撑团队根据论证通过的需求分析报告，开展系统总体设计和详细设计，形成《信息系统设计方案》，包括系统架构、模块划分、数据库设计、接口设计、安全设计、部署方案等内容。

2.安全设计需符合国家网络安全等级保护相关要求，明确数据加密、访问控制、身份认证、日志审计、漏洞防护等安全措施，防范数据泄露、非法访问、网络攻击等风险。

3.数据库设计需遵循数据标准化、规范化原则，明确数据分类、存储方式、备份策略及数据生命周期管理要求，确保数据完整性、一致性和安全性。

4.《信息系统设计方案》需经信息管理部门、业务部门及技术专家审核，审核通过后签订设计确认书，作为系统开发的依据；若设计方案需变更，需提交变更申请，经原论证小组审核通过后方可调整。

第七条 系统开发

1.系统开发需选择具备相应资质、技术能力和服务经验的开发单位（校内自主开发除外），签订正式开发合同，明确开发范围、周期、质量标准、安全责任、售后服务及保密条款等内容。

2.开发过程需遵循标准化开发规范，建立代码管理、版本控制机制，确保代码质量和可维护性；技术支撑团队需定期向信息管理部门和业务部门汇报开发进度，及时沟通解决开发过程中出现的问题。

3.开发过程中需严格保护学校敏感信息，不得泄露学生个人信息、教职工信息、财务数据等核心数据；开发完成后，需提交完整的代码、文档及相关技术资料，不得私自留存或泄露。

4.禁止在系统中植入恶意代码、后门程序等违规内容，严禁未经授权添加与需求无关的功能模块。

第八条 系统测试

1.系统开发完成后，技术支撑团队需开展内部测试，包括功能测试、性能测试、安全测试、兼容性测试等，确保系统符合设计要求和需求标准，形成《系统内部测试报告》。

2.内部测试通过后，信息管理部门组织业务部门、技术专家开展系统验收测试，模拟实际业务场景，验证系统功能、性能、安全及易用性，形成《系统验收测试报告》。

3.测试过程中发现的问题，技术支撑团队需及时整改，整改完成后重新测试，直至测试合格；验收测试不合格的，不得进入部署阶段，需限期整改后重新验收。

4.测试完成后，需整理测试资料，包括测试用例、测试报告、整改记录等，归档留存。

第九条 系统部署

1.系统验收合格后，信息管理部门联合技术支撑团队制定系统部署方案，明确部署环境、部署步骤、人员分工及应急预案，报学校相关负责人审批后实施。

2.部署前需对服务器、网络设备、数据库等部署环境进行安全检查和配置，关闭不必要的端口和服务，设置安全防护措施，确保部署环境安全。

3.部署过程中需做好数据迁移（若涉及原有系统替换），确保数据迁移准确、完整，避免数据丢失或损坏；迁移完成后需进行数据校验，确认数据无误。

4.系统部署完成后，需进行试运行，试运行周期不少于15个工作日，试运行期间密切监控系统运行状态，收集用户反馈，及时解决出现的问题；试运行合格后，正式投入使用。

第三章 系统运行管理

第十条 运行环境管理

1.信息管理部门负责系统运行环境（服务器、网络设备、数据库、存储设备等）的日常管理，建立运行环境台账，详细记录设备型号、配置、安装时间、维护记录等信息。

2.定期对运行环境进行检查、维护和优化，包括服务器性能监控、磁盘空间清理、网络带宽检测、数据库优化等，确保运行环境稳定、高效，满足系统运行需求。

3.严格控制运行环境的访问权限，仅授权人员可访问服务器、数据库等核心设备，访问过程需进行身份认证和日志记录，严禁未经授权访问、操作运行环境。

4.运行环境发生故障时，技术支撑团队需及时响应，快速排查故障原因，采取有效措施恢复运行，并做好故障记录和分析，避免同类故障再次发生。

第十一条 系统账号与权限管理

1.建立统一的系统账号管理机制，实行“一人一号、实名登记”，账号命名需规范，明确账号所属部门、用户姓名及权限范围。

2.权限分配遵循“最小权限原则”，根据用户的岗位职责和工作需求，分配相应的系统操作权限，严禁超权限分配；权限变更需提交申请，经部门负责人及信息管理部门审核通过后，由技术支撑团队调整。

3.用户需妥善保管个人账号密码，严禁转借、泄露账号密码，严禁使用弱密码（如简单数字、生日等），定期更换密码（建议每3个月更换一次）；发现账号被盗用、异常登录等情况，需立即向信息管理部门报告，及时采取冻结账号、修改密码等措施。

4.人员离职、调岗时，所在部门需及时通知信息管理部门，注销或调整其系统账号权限，避免权限遗留导致安全风险；定期开展账号权限排查，清理无效账号、冗余权限。

第十二条 系统运行监控

1.信息管理部门建立系统运行监控机制，利用监控工具对系统的运行状态、性能指标、访问量、安全事件等进行实时监控，设置监控告警阈值，出现异常情况及时告警。

2.安排专人负责监控值守，工作日期间实时监控系统运行情况，非工作日及节假日安排值班人员，确保及时发现和处理系统运行异常。

3.定期对监控数据进行分析，梳理系统运行规律，识别潜在的运行风险和性能瓶颈，提出优化建议，持续提升系统运行稳定性和效率。

4.建立系统运行日志管理制度，记录系统启动、关闭、操作行为、异常事件等日志信息，日志保存期限不少于6个月，便于后续查询、审计和追溯。

第十三条 数据管理与安全

1.建立数据分级分类管理机制，将学校信息数据分为核心数据（如学生个人信息、教职工信息、财务数据、涉密信息等）、重要数据和一般数据，明确不同级别数据的存储、使用、传输和保护要求。

2.严格规范数据收集、存储、使用、传输等环节，收集数据需遵循“合法、正当、必要”原则，不得收集与业务无关的数据；核心数据需进行加密存储，传输过程中需采取加密措施，防范数据泄露。

3.禁止未经授权查询、下载、复制、传播核心数据和重要数据；确需查询、使用数据的，需提交申请，经部门负责人及信息管理部门审核通过后，在授权范围内使用，并做好使用记录。

4.定期开展数据备份工作，核心数据实行“每日增量备份、每周全量备份”，备份数据需存储在安全可靠的位置，定期对备份数据进行恢复测试，确保备份数据可正常使用；备份数据保存期限不少于1年。

第十四条 系统使用管理

1.系统用户需严格按照系统操作规范使用系统，不得进行违规操作（如恶意修改数据、删除信息、攻击系统等），不得利用系统从事与工作无关的活动（如浏览不良网站、传播违规信息等）。

2.业务部门负责本部门用户的系统使用培训和管理，引导用户规范使用系统，及时解答用户使用过程中遇到的问题；信息管理部门提供技术支持，协助解决复杂的系统使用问题。

3.用户在使用系统过程中发现问题或异常，需及时向所在部门或信息管理部门反馈，详细说明问题现象、操作步骤等，便于技术支撑团队快速排查解决。

4.严禁利用系统传播病毒、木马、恶意软件等违规内容，严禁通过系统泄露学校敏感信息和涉密内容。

第四章 系统维护管理

第十五条 维护职责划分

1.信息管理部门负责统筹系统维护工作，制定维护计划，监督维护工作落实，协调解决维护过程中的重大问题。

2.技术支撑团队（校内技术人员、合作开发单位技术人员）负责系统的日常维护、故障排查、补丁更新、漏洞修复等技术工作，及时响应维护需求。

3.业务部门负责配合系统维护工作，提供业务层面的支持，协助排查与业务相关的系统问题，反馈维护效果。

第十六条 日常维护

1.技术支撑团队按照维护计划，开展系统日常维护工作，包括系统检查、日志清理、数据库优化、补丁更新、安全扫描等，确保系统正常运行。

2.定期对系统进行安全漏洞扫描和风险评估，发现漏洞及时修复，无法立即修复的，需采取临时防护措施，明确修复期限，并做好记录。

3.维护过程中需做好维护记录，详细记录维护时间、维护内容、操作步骤、处理结果等信息，归档留存，便于后续查询和追溯。

4.日常维护工作需避开系统使用高峰时段（如正常教学、办公时间），确需在高峰时段进行维护的，需提前通知相关部门和用户，做好应急预案，减少对系统使用的影响。

第十七条 故障维护

1.建立系统故障分级响应机制，根据故障影响范围、严重程度，将故障分为一级（重大故障，如系统瘫痪、核心数据丢失等）、二级（较大故障，如部分功能无法使用、系统卡顿等）、三级（一般故障，如个别用户无法登录、操作报错等）。

2.故障响应时限：一级故障需立即响应，1小时内启动应急预案，4小时内完成故障排查和初步处理，24小时内恢复系统正常运行；二级故障需30分钟内响应，2小时内完成排查和处理；三级故障需1小时内响应，4小时内完成处理。

3.故障发生后，技术支撑团队需快速排查故障原因，采取有效措施进行修复，同时及时向信息管理部门和相关业务部门反馈故障处理进度；故障修复后，需进行测试验证，确保系统恢复正常，并做好故障分析报告，总结故障原因和防范措施。

4.若故障无法在规定时限内修复，技术支撑团队需及时上报学校相关负责人，说明故障原因、处理进展及预计恢复时间，并采取临时替代方案，减少对工作的影响。

第十八条 系统升级与变更

1.系统升级、功能变更需由业务部门或信息管理部门提交《系统升级/变更申请表》，明确升级/变更内容、目的、范围、实施周期及影响评估，经相关部门审核、学校负责人审批后实施。

2.技术支撑团队根据审批通过的申请，制定升级/变更方案，明确升级/变更步骤、测试计划、回滚方案及应急预案，避免升级/变更过程中出现安全风险或系统故障。

3.升级/变更前需对系统数据进行备份，对升级/变更内容进行测试，测试合格后再进行正式升级/变更；升级/变更过程中需密切监控系统状态，出现异常及时回滚，确保系统安全。

4.升级/变更完成后，技术支撑团队需进行系统测试和验证，确认升级/变更内容正常生效，无异常问题；同时通知相关部门和用户，做好使用指导，收集反馈意见。

第十九条 系统备份与恢复

1.技术支撑团队严格按照数据备份计划，开展系统数据备份工作，明确备份责任人、备份时间、备份方式、备份存储位置等，确保备份数据的完整性和可用性。

2.定期对备份数据进行恢复测试，每季度至少开展一次恢复测试，检查备份数据的完整性和恢复效果，及时发现并解决备份过程中出现的问题。

3.当系统发生数据丢失、损坏等情况时，技术支撑团队需立即启动数据恢复预案，利用备份数据进行恢复，最大限度减少数据丢失造成的损失；恢复完成后，需进行数据校验，确认数据无误。

4.备份数据需妥善保管，实行异地备份和多重备份，防范存储设备故障、自然灾害等导致备份数据丢失。

第二十条 系统报废管理

1.当系统达到使用年限、技术落后无法满足工作需求，或出现重大安全隐患无法修复、维护成本过高时，由信息管理部门联合业务部门提出系统报废申请，明确报废原因、报废时间及数据处理方案，经学校相关负责人审批后，方可进行报废处理。

2.系统报废前，技术支撑团队需对系统中的所有数据进行备份和清理，彻底删除系统中的核心数据、敏感信息，确保数据不泄露；对服务器、存储设备等硬件设备，需进行格式化、销毁等处理，防止数据残留。

3.系统报废后，需整理系统相关资料（包括设计文档、开发资料、维护记录、测试报告等），归档留存或按学校档案管理规定处理；同时更新系统管理台账，删除报废系统相关信息。

第五章 安全管理与应急处置

第二十一条 安全防护

1.系统需按照国家网络安全等级保护相关要求，落实安全防护措施，包括安装防火墙、入侵检测系统、防病毒软件等安全设备，定期更新病毒库和安全补丁，防范网络攻击、病毒感染等安全风险。

2.严格控制系统接入权限，禁止未经授权的设备、网络接入系统；对外部接入（如校外访问、合作单位接入）需进行严格的身份认证和权限控制，采取加密传输等安全措施。

3.定期开展系统安全检查和风险评估，每半年至少开展一次全面安全检查，及时发现安全隐患，采取整改措施，形成安全检查报告和风险评估报告，上报学校相关负责人。

4.加强对系统开发、维护人员的安全培训和管理，提高安全意识，规范操作行为，严禁泄露系统代码、账号密码、敏感数据等核心信息。

第二十二条 应急处置

1.信息管理部门制定系统突发事件应急预案，明确应急组织机构、应急响应流程、应急处置措施、责任分工等，涵盖系统瘫痪、数据泄露、网络攻击、自然灾害等各类突发事件。

2.发生突发事件时，相关部门和人员需立即启动应急预案，按照应急响应流程开展处置工作，及时控制事态发展，最大限度减少损失；同时及时上报学校相关负责人，必要时上报上级主管部门。

3.应急处置完成后，需对事件进行调查分析，总结事件原因、处置过程和经验教训，完善应急预案，加强防范措施，避免同类事件再次发生。

4.定期组织应急预案演练，每年至少开展一次应急演练，提升相关人员的应急处置能力和协同配合能力。

第六章 责任追究

第二十三条 责任追究

对违反本制度规定，有下列行为之一的，视情节轻重，对相关责任人给予批评教育、通报批评、岗位调整等处理；造成学校信息资产损失、不良影响或违反法律法规的，依法依规追究责任；涉嫌犯罪的，移交司法机关处理：

1.未按规定提出需求、审核设计方案，导致系统无法满足业务需求或存在安全隐患的；

2.系统开发过程中植入恶意代码、后门程序，或泄露学校敏感信息、核心数据的；

3.未按规定开展系统测试、部署，导致系统上线后出现重大故障的；

4.未按规定履行运行管理职责，导致系统运行异常、数据丢失或泄露的；

5.违规分配、使用系统账号权限，或转借、泄露账号密码的；

6.未按规定开展维护、备份、升级工作，导致系统故障或数据丢失的；

7.发生系统安全事件或故障后，未及时响应、处置，导致事态扩大的；

8.利用系统从事违规、违法活动的；

9.拒绝配合监督检查、整改工作，或弄虚作假的。

10.合作单位违反本制度规定，未履行开发、维护、保密等责任，导致系统故障、数据泄露或学校损失的，依法追究其违约责任；造成严重后果的，终止合作关系，并追究其法律责任。

第七章 附则

第二十五条 制度培训

信息管理部门负责本制度的宣传和培训工作，定期组织相关部门工作人员、技术支撑团队、系统用户开展制度培训，确保相关人员熟悉制度内容，严格遵守制度规定。

第二十六条 制度修订

本制度根据国家相关法律法规、行业标准及学校发展需求，可适时修订；修订流程由信息管理部门提出修订建议，经相关部门审核、学校负责人审批后，正式发布实施。

第二十七条 生效日期

本制度自发布之日起生效，原有相关系统管理规定与本制度不一致的，以本制度为准。

第二十八条 解释权

本制度由学校信息管理部门负责解释。