信息(軟件)系統(tǒng)建設(shè)規(guī)范(2020年版)

信息（軟件）系統(tǒng)建設(shè)規(guī)范（2020年版）信息（軟件）系統(tǒng)建設(shè)包括各類管理信息系統(tǒng)、服務(wù)信息系統(tǒng)、決策支持系統(tǒng)、運維管理系統(tǒng)、移動終端應(yīng)用、各類中間件、數(shù)據(jù)庫等，可采用自主研發(fā)、合作開發(fā)、外包、采購的方式建設(shè)。信息（軟件）系統(tǒng)建設(shè)是我校信息化項目建設(shè)的重要工作。為進一步規(guī)范建設(shè)流程，提高建設(shè)質(zhì)量，特制定本建設(shè)規(guī)范。第一條信息（軟件）系統(tǒng)建設(shè)項目必須執(zhí)行學(xué)校的信息化項目建設(shè)規(guī)范和標(biāo)準(zhǔn)。第二條信息（軟件）系統(tǒng)建設(shè)過程中，信息化管理處將對建設(shè)的質(zhì)量和進度進行全程監(jiān)控、管理和協(xié)調(diào)。第三條信息（軟件）系統(tǒng)質(zhì)量監(jiān)控主要包括需求分析、技術(shù)方案制訂、系統(tǒng)開發(fā)或購置、安裝、測試、安全檢測五個階段。1.需求分析階段。建設(shè)單位組織承建單位開展需求分析和業(yè)務(wù)流程的調(diào)研，根據(jù)調(diào)研結(jié)果與業(yè)務(wù)需求，撰寫《需求規(guī)格說明書》、《數(shù)據(jù)要求說明書》、《UML建模文檔》、《項目進度計劃》等文檔，建設(shè)單位主要負(fù)責(zé)人簽字后，報送信息化管理處審核。2.技術(shù)方案制訂階段。承建單位根據(jù)需求分析，按照學(xué)校信息化項目建設(shè)相關(guān)標(biāo)準(zhǔn)，針對系統(tǒng)總體設(shè)計、接口設(shè)計、運行設(shè)計、數(shù)據(jù)庫設(shè)計等內(nèi)容，撰寫《項目技術(shù)方案》和《詳細(xì)設(shè)計說明書》，由建設(shè)單位組織論證會，通過后報送信息化管理處審核。3.系統(tǒng)開發(fā)或購置階段。承建單位須根據(jù)需求分析、技術(shù)方案，嚴(yán)格遵照軟件工程規(guī)范進行項目系統(tǒng)開發(fā)或購置，并與信息化管理處共同完成數(shù)據(jù)共享、程序交換接口、統(tǒng)一身份認(rèn)證的集成。項目開發(fā)或購置過程中若有需求變更，要符合開發(fā)規(guī)范和合同要求，由建設(shè)單位填寫《需求變更控制報告》，并報送信息化管理處備案。4.安裝及測試階段。承建單位按要求完成信息（軟件）系統(tǒng)開發(fā)后，與建設(shè)單位共同撰寫《測試方案》，建設(shè)單位提交《虛擬機申請表》（附件1）申請運行環(huán)境，提交《域名申請/備案表》（附件2）申請系統(tǒng)域名，并進行相關(guān)部署和測試。測試完成后提交《測試分析報告》至信息化管理處審核。承建單位要做好軟件配置項（包括軟件文檔和可執(zhí)行程序等）的移交和相關(guān)培訓(xùn)工作。5.安全檢測階段。系統(tǒng)測試完畢后，提供項目全部文檔并開放測試環(huán)境。由承建單位依照項目立項時確定的安全保護等級及相關(guān)規(guī)定對系統(tǒng)進行技術(shù)檢測。檢測手段主要包括對信息（軟件）系統(tǒng)源代碼進行代碼審計，對信息（軟件）系統(tǒng)進行漏洞掃描等，并出具安全檢測報告。第四條信息（軟件）系統(tǒng)開發(fā)進度監(jiān)控。承建單位須在信息（軟件）系統(tǒng)建設(shè)前期進行分析研究，確定合理的工期目標(biāo)，并將工期目標(biāo)納入合同。建設(shè)單位提交《項目進度計劃》至信息化管理處備案；承建單位須提供完整的開發(fā)進度狀況監(jiān)控管理日志，如實記錄每日、每周、每月的開發(fā)進度實況。信息化管理處按照合同要求和《項目進度計劃》不定期檢查項目執(zhí)行情況，對各階段的進度報告和階段性成果進行審核。第五條信息（軟件）系統(tǒng)項目建設(shè)完成后，由建設(shè)單位組織初驗和最終驗收，按照《信息（軟件）系統(tǒng)驗收規(guī)范》執(zhí)行。第六條信息（軟件）系統(tǒng)建設(shè)單位必須保證信息更新的一致性、及時性和完整性。項目建設(shè)取得的成果和信息資源應(yīng)作為學(xué)校的軟件和信息資源集成到學(xué)校的數(shù)據(jù)共享平臺上，通過統(tǒng)一信息服務(wù)平臺進行信息發(fā)布和使用。第七條

信息（軟件）系統(tǒng)建設(shè)必須保障基礎(chǔ)設(shè)施、信息（軟件）系統(tǒng)和信息資源的安全，簽署《信息安全責(zé)任書》（附件3），確保各應(yīng)用系統(tǒng)的安全可靠運行，確保信息的完整性、準(zhǔn)確性、可用性、安全性，確保學(xué)校的共享數(shù)據(jù)必須嚴(yán)格授權(quán)、合法使用。第八條

信息（軟件）系統(tǒng)開發(fā)合同中必須明確與承建單位訂立軟件系統(tǒng)和數(shù)據(jù)的保密條款或簽訂單獨的保密協(xié)議。第九條本規(guī)范由信息化管理處負(fù)責(zé)解釋。附件1：虛擬機申請表附件2：信息安全責(zé)任書信息化管理處2020年5月附件1：虛擬機申請表數(shù)據(jù)中心虛擬服務(wù)器申請表申請單位負(fù)責(zé)人職務(wù)電子郵箱辦公電話移動電話服務(wù)器管理員職務(wù)電子郵箱辦公電話移動電話操作系統(tǒng)要求CentOS、Ubuntu、windowsserver版本要求版本號及操作系統(tǒng)位數(shù)虛擬主機配置CPU：雙核處理器；內(nèi)存：4GB；硬盤：50G；網(wǎng)卡：1Gb；學(xué)校內(nèi)部訪問權(quán)限虛擬主機用途請詳細(xì)描述虛擬服務(wù)器的用途，實驗項目名稱，部署的應(yīng)用服務(wù)等。應(yīng)用系統(tǒng)服務(wù)端口使用期限此虛機僅為校內(nèi)科研管理測試使用，一年后若繼續(xù)使用需重新備案是否完成信息系統(tǒng)備案?是?否是否申請公網(wǎng)訪問權(quán)限?是?否若申請公網(wǎng)權(quán)限請?zhí)顚憽豆W(wǎng)訪問安全承諾書》備注虛擬服務(wù)器申請須知1、閱讀《數(shù)據(jù)中心虛擬服務(wù)器管理規(guī)定》。2、負(fù)責(zé)人必須由本單位科級以上領(lǐng)導(dǎo)擔(dān)任，服務(wù)器管理員必須由本單位在編在崗人員擔(dān)任。3、制訂全面的虛擬服務(wù)器和應(yīng)用服務(wù)管理辦法，認(rèn)真履行管理義務(wù)，妥善保管帳號，及時對系統(tǒng)和軟件漏洞進行修正升級。4、若人員變動或服務(wù)變更，應(yīng)及時書面告知信息化管理處進行備案。5、因服務(wù)器和安裝的應(yīng)用服務(wù)系統(tǒng)安全問題造成的各種故障影響其它網(wǎng)站或網(wǎng)絡(luò)系統(tǒng)正常運行時，信息化管理處有權(quán)暫時關(guān)閉該服務(wù)器。6、虛擬服務(wù)器僅為校內(nèi)科研管理測試使用，只能在學(xué)校內(nèi)網(wǎng)訪問。如有特殊外網(wǎng)需求，須填寫外網(wǎng)IP使用安全責(zé)任書。7、由于網(wǎng)絡(luò)運營商、設(shè)備故障等因素引起的服務(wù)器無法正常訪問或數(shù)據(jù)丟失，信息化管理處不承擔(dān)任何責(zé)任，重要數(shù)據(jù)請自行備份。8、此表一式二份，信息化管理處、虛擬服務(wù)器申請單位各執(zhí)一份。服務(wù)器負(fù)責(zé)人簽字：年月日申請單位負(fù)責(zé)人意見簽字：（蓋章）年月日網(wǎng)絡(luò)信息管理中心負(fù)責(zé)人意見簽字：（蓋章）年月日以下由學(xué)校網(wǎng)絡(luò)中心填寫虛擬主機管理方式主機IP地址主機賬號申請編號受理日期年月日受理人開通日期年月日備注信息化管理處地址：教學(xué)六樓十層西側(cè)聯(lián)系電話：82312022-802此表格使用A4紙雙面打印，正反面簽字。

數(shù)據(jù)中心虛擬服務(wù)器責(zé)任和義務(wù)1、遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等國家的有關(guān)法律、法規(guī)和行政規(guī)章制度，不得利用服務(wù)器從事危害國家安全、泄露國家秘密的行為；不得從事侵犯國家、社會、集體的利益和公民的合法權(quán)益等活動。2、申請者須承諾所申請的服務(wù)器僅為教學(xué)、科研、管理提供應(yīng)用，不得進行以娛樂、贏利為目的的其他活動，不涉及違反法律法規(guī)和學(xué)校有關(guān)規(guī)定的內(nèi)容，不得干擾或危害校園網(wǎng)與數(shù)據(jù)中心的正常運行。3、申請者須明確其服務(wù)器的功能需求，不得超出其應(yīng)用范圍。禁止內(nèi)容包括但不限于：私自架設(shè)代理服務(wù)；私設(shè)郵件服務(wù)；私設(shè)論壇、博客、微博服務(wù)；使用P2P軟件或服務(wù)；使用嗅探、掃描類黑客軟件等。4、申請者須遵守網(wǎng)絡(luò)信息中心的管理規(guī)定，按照相關(guān)流程完成系統(tǒng)及服務(wù)的安全檢測，對于存在安全隱患的機器，網(wǎng)絡(luò)中心將關(guān)閉相關(guān)虛擬服務(wù)器并通知負(fù)責(zé)人進行整改。5、如果服務(wù)器相關(guān)責(zé)任人發(fā)生變動，須及時更換相關(guān)密碼并報網(wǎng)絡(luò)信息中心備案。6、申請者須牢記修改后的系統(tǒng)管理員密碼，如有丟失，將無法登陸系統(tǒng)，所造成的損失由申請者承擔(dān)。7、申請者必須做好系統(tǒng)升級、數(shù)據(jù)備份、安全措施的優(yōu)化調(diào)整等工作并有責(zé)任和義務(wù)配合國家信息安全管理相關(guān)職能部門的監(jiān)督和檢查。8、所申請的虛擬服務(wù)器僅供各科研管理部門進行測試使用，有關(guān)重要數(shù)據(jù)請及時備份，由于網(wǎng)絡(luò)運營商、設(shè)備故障等因素引起的服務(wù)器無法正常訪問或數(shù)據(jù)丟失，網(wǎng)絡(luò)信息管理中心不承擔(dān)任何責(zé)任。9、為確保數(shù)據(jù)中心資源的合理利用，僅提供基本配置的虛擬服務(wù)器。如有特殊需求，須另行申請。負(fù)責(zé)人簽字：年月日信息化管理處地址：聯(lián)系電話：此表格使用A4紙雙面打印，正反面簽字。公網(wǎng)訪問安全承諾書本單位因<填寫項目名稱>需開放公網(wǎng)訪問權(quán)限，鄭重承諾遵守本承諾書的所列事項，對所列事項負(fù)責(zé)，如有違反，由本單位承擔(dān)由此帶來的相應(yīng)責(zé)任。1、本單位承諾遵守《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際互聯(lián)安全保護管理辦法》和《信息安全等級保護管理辦法》等國家網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)和行政規(guī)章制度。2、本單位已知悉并承諾執(zhí)行《計算機網(wǎng)絡(luò)管理辦法》、《網(wǎng)絡(luò)與信息安全管理辦法》、《網(wǎng)站建設(shè)管理辦法》、《信息系統(tǒng)建設(shè)管理辦法》等網(wǎng)絡(luò)安全有關(guān)工作的文件規(guī)定。3、本單位保證不利用網(wǎng)絡(luò)危害國家安全、泄露國家秘密，不侵犯國家的、社會的、集體的利益和第三方的合法權(quán)益，不從事違法犯罪活動。4、本單位承諾完善本單位的信息技術(shù)安全管理，建立健全信息技術(shù)安全責(zé)任制和相關(guān)規(guī)章制度、操作規(guī)程；加強信息系統(tǒng)安全，落實信息系統(tǒng)安全等級保護制度，提高信息系統(tǒng)安全防護能力。5、本單位承諾提升應(yīng)急響應(yīng)能力，制定本單位應(yīng)急預(yù)案，對本單位的信息系統(tǒng)進行安全監(jiān)測，并對監(jiān)測發(fā)現(xiàn)和通報的安全問題進行限時整改；當(dāng)信息系統(tǒng)發(fā)生信息技術(shù)安全事件，迅速進行報告與處置，將損害和影響降到最小范圍，并按照要求及時進行整改。6、本承諾書自簽署之日起生效，一式兩份，網(wǎng)絡(luò)信息管理中心、申請單位各執(zhí)一份。信息（軟件）系統(tǒng)主要負(fù)責(zé)人（簽字）：單位主要負(fù)責(zé)人（簽字）：單位蓋章年月日附件2：域名申請/備案表年域名申請/備案登記表登記日期申請系統(tǒng)/網(wǎng)站名稱申請單位名稱處級單位名稱處級單位二級域名類型□域名申請□域名備案本次申請/備案域名域名用途□站群網(wǎng)站□業(yè)務(wù)系統(tǒng)□微信公眾號□其他IP地址使用時間□長期□短期關(guān)閉時間域名備案人姓名工號手機QQ備案單位意見單位負(fù)責(zé)人簽字（蓋章）：年月日附件3：信息安全責(zé)任書信息安全責(zé)任書為落實學(xué)校數(shù)據(jù)資產(chǎn)在使用過程中的安全責(zé)任，確保學(xué)校網(wǎng)絡(luò)安全和信息安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國保守國家秘密法》、《計算機信息網(wǎng)絡(luò)國際互聯(lián)安全保護管理辦法》和《信息安全等級保護管理辦法》，結(jié)合學(xué)校情況，特制定本責(zé)任書。1.本部門行政一把手為網(wǎng)絡(luò)安全和信息安全第一責(zé)任人，負(fù)責(zé)建立和完善本單位網(wǎng)絡(luò)安全和信息安全組織，建立健全相關(guān)管理制度，制定網(wǎng)絡(luò)安全事故處置措施和應(yīng)急預(yù)案，配備兼職信息安全管理人員，具體負(fù)責(zé)本單位網(wǎng)絡(luò)安全和信息安全工作。2.堅持“誰主管，誰負(fù)責(zé)；誰主辦，誰負(fù)責(zé)”的原則，負(fù)責(zé)加強對本部門上網(wǎng)信息的安全和保密信息不泄露。3.本部門在信息（軟件）系統(tǒng)建設(shè)及運行維護過程中，使用學(xué)校數(shù)據(jù)中心提供的數(shù)據(jù)時，只享有使用權(quán)，數(shù)據(jù)的所有權(quán)歸學(xué)校所有。委托第三方開發(fā)的應(yīng)用系統(tǒng)使用本數(shù)據(jù)時，本部門應(yīng)和該企業(yè)簽署數(shù)據(jù)安全保密協(xié)議。4. 本部門在信息（軟件）系統(tǒng)建設(shè)及運行維護過程中，不得有償或無償轉(zhuǎn)讓其從學(xué)校數(shù)據(jù)中心獲得的數(shù)據(jù)，包括用戶對這些數(shù)據(jù)進行換算、介質(zhì)轉(zhuǎn)換或者量度變換后形成的新數(shù)據(jù)等。5. 本部門在信息（軟件）系統(tǒng)建設(shè)及運行維護過程中，本部門系統(tǒng)產(chǎn)生的數(shù)據(jù)不可向外分發(fā)，或用作向外分發(fā)或供外部使用的數(shù)據(jù)庫、產(chǎn)品和服務(wù)的一部分。6. 本部門在信息（軟件）系統(tǒng)建設(shè)及運行維護過程中，從數(shù)據(jù)中心獲得的數(shù)據(jù)用途必須與數(shù)