中原科技学院信息系统管理办法

第一章  总  则

第一条  为规范学校信息系统建设与运行维护工作，加强信息系统管理，根据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》等法律法规，结合学校工作实际，制定本办法。

第二条  本办法所指的信息系统与《中华人民共和国计算机信息系统安全保护条例》中的信息系统定义一致：由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。包括范围：学校各类型的管理信息系统、网站、教学资源系统、用户服务系统等。

第三条  本办法所指的数据是指各类信息系统所覆盖的相关数据，包括但不限于：管理信息系统产生的业务数据、网站数据、教学资源（含多媒体视频、图片、课件等）、用户服务支持系统产生的数据。

第四条  信息系统项目建设依赖于学校校园网建设实施标准、数字化校园平台与学校公共数据标准。学校校园网建设实施标准、数字化校园平台、学校综合服务门户与学校公共数据标准具有权威性和唯一性。为确保新增信息系统项目和学校整体教育教学信息化的正常运转，学校所有信息系统项目的建设必须按照本办法规定要求实施。

第五条  校内各单位所拥有的已建或在建的信息系统（包括管理信息系统和各类网站），无论是否对校外用户开放访问服务，均适用本办法。

第二章 信息系统实施规范

第六条  严格按照学校信息标准管理系统的技术规范要求，完成国家、行业、已经制定的、学校未投入使用但业务系统需要使用的信息编码标准数据库的建立，并实现业务系统与学校信息标准管理系统数据库的同步、更新、统一。对于学校信息标准管理系统已经形成的信息标准，通过实时或定时同步机制实现下载，且无需人工干预，并应用、回写到系统所支撑的业务中，保障业务系统中信息标准与我校信息标准管理系统数据一致性、唯一性。

第七条  要求业务系统中的所有数据（双向交换）均同步到学校中心数据库中，并提供这些数据及数据接口的详细说明文档（包括表名含义、表字段含义、表之前的关联关系等说明）。提供的数据以及接口要求涵盖业务处理结果、业务处理过程，以及业务变更信息。本业务系统可同步业务处理过程中所需要的外部数据。当外部数据涉及重要业务信息时，要求系统能够实现询问业务处理人员是否需要进行进一步处理。对于所同步的外部数据，向外部数据源回写本业务系统以及业务处理人员对外部数据的处理结果，包括但不限于：“接受”“拒绝”等情况。

在数据交换环节要求必须有明确的数据同步方案包括：数据接口提供方式、数据接口详细说明文档、数据交换技术实现可行性、数据推送以及回写频率、回写以及推送时间、回写是否成功标志等要求。

第八条

要求业务系统实现中原科技学院统一身份认证技术标准规范，使学校师生能够使用统一的用户名、密码，即可登录业务系统进行业务办理。

并要求

业务系统按照中原科技学院单点登录集成技术标准规范，向系统外部提供登录本业务系统的URL，同时还提供系统用户进行系统操作的单独功能入口URL（包括申请类、修改类、查询类、办理类、统计类、分析类、维护类等业务功能），此URL页面要求必须能够适应学校门户统一风格要求且提供的URL能够正常操作业务

。

第九条  通过中原科技学院门户系统所支持的技术标准，提供当前登录用户与业务系统有关的所有待办事项、待处理信息、待阅读信息的提醒。按照业务数据集成的要求，将业务系统中与用户有关的所有待办事项、待处理信息、待阅读信息以准实时（60秒之内）的方式同步至学校中心数据库中，并以准实时（60秒之内）的方式同步所有待办事项、待处理信息、待阅读信息的办结信息。

第十条  若业务系统中包含有面向用户的业务门户，则需将业务门户集成到学校统一的门户平台中，若业务系统中包含有面向用户的数据查询、数据报表、综合分析的功能，则需将这些功能集成到学校统一的数据服务门户中。

第三章 信息系统数据管理

第十一条  信息系统数据管理是指利用信息系统对数据进行采集、录入、运维、存储、归档、应用的过程以及制定数据标准、数据安全策略和实施数据审核的管理。

第十二条  信息系统数据管理应遵循以下原则：

（一）统一规范原则。信息系统采集和处理的数据，应符合学校制定的信息系统所要求的特定数据标准。

（二）全程管控原则。建立数据从采集、处理到维护的全过程管控体系，重点把好数据的采集关，确保信息系统数据真实、准确、完整、及时。

（三）定期考评原则。相关业务部门对所管理的数据负责，对其权限范围内所负责的数据管理工作要进行定期的管理考评。

第十三条  信息系统数据管理应达到如下目标：

（一）统一数据语言：要求数据管理有标准，即具备完善的数据标准管理规范，保证在系统建设过程中应用统一的数据标准。

（二）保障数据准确：在数据整个生命周期的各个环节建立完善的数据质量核查机制，制定完善的数据质量管理规范，确保数据的准确性。

（三）防止非法篡改和伪造：明确数据的所有权及更改权限，制定完善的数据所有权管理规范，确保对数据的所有更改均有据可查，对于不可更改的数据，应提供相应的安全技术防篡改和伪造。

（四）建立数据备份、容灾和恢复机制：建立数据的备份、容灾和恢复机制，加强数据存储和归档管理，制定完善的数据安全管理规范，确保所有数据有备份、可恢复。

（五）预防信息泄漏：根据国家和学校的要求，做好数据的保密工作，确保数据安全。

（六）提供数据服务：制定完善的数据服务管理规范，保证数据易获取、易应用，以充分发挥数据作为学校资产的价值。

第十四条  学校数据管理部门包括现代教育技术中心、学校党政系统职能部门、各院部和直属机构与数据管理相关的有关部门或科室。学校数据管理部门根据数据管理的目标设置数据管理具体角色，包括总体规划、数据标准和规范的制定与执行、数据实施和运维、数据应用。

第十五条  数据采集应遵循真实、完整、规范、及时的原则。

（一）真实：操作人员应准确录入相关数据，不得随意修改、增减。数据还必须得到权威部门的审核。

（二）完整：要按照各类应用子系统的有关要求进行数据采集，保证数据齐全，避免数据的缺失。

（三）规范：数据采集应按照相关标准进行。

（四）及时：数据要在规定的时间内采集，确保数据与实际业务同步。

第十六条  学校数据管理部门应统一制定数据采集、录入、审核规范，并在进行数据采集、录入、审核时要求各业务职能部门（含各院部）严格按照规范操作，如果各业务职能部门（含各院部）在执行过程中遇到规范未涉及的问题，应及时向学校数据管理部门上报。

第十七条  在各类信息系统中，要严格按照规定进行岗位设置和授权，严格按照岗位权限进行操作。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关数据录入和修改。各系统用户应当定期更改自己的口令，杜绝弱口令，确保数据的安全。

第十八条  学校各职能部门、各院部应在学校数据管理部门的指导和协助下，结合本部门实际情况，制定数据运维规范，明确数据维护的权限和职责，制定数据维护的规程。凡是进入信息系统中的数据，应严格按照规程进行操作。

第十九条  学校数据管理部门建立数据监控中心，实时统计数据分析结果。以业务需求为驱动，建立技术与业务结合互动的数据分析和长效工作机制，提供方便、快捷的分析、统计工具，加强数据监控，不断提高数据质量。

第二十条  学校数据管理部门建立数据运行平台，提高运行维护工作的实效。数据在系统运行中不可避免地遇见一些实际问题，需要建立统一的运行维护平台，及时、有效地进行信息的反馈和核查，确保信息系统数据运行和维护工作的有效性。

第二十一条  学校数据管理部门制定数据在修正、补充、更新、删除时需要记录的审计日志规范，并将其作为信息系统必须实现的功能。信息系统在记录审计日志的同时，应提供方便简捷的方式实现查询审计日志记录功能。审计记录的访问只能是被授权的只读访问，任何人不得修改。

第二十二条  学校数据管理部门负责保管信息系统产生的数据。

第二十三条  学校数据管理部门应当配备数据存储、管理、服务和安全等必要的软硬件设施，构建统一的数据管理系统，确保数据的完整性和安全。

第二十四条  学校数据管理部门应当按照相关规定建立数据备份制度，制定数据备份恢复方案的容灾系统，对重要数据实行异地备份。

第二十五条  学校数据管理部门应针对重大突发事件的特殊需求，建立数据加工、处理的技术储备与保障，为应急工作提供数据和技术支持。

第二十六条  学校数据管理部门应当配备专业技术人员，设定岗位，履行相关职责。

第二十七条  档案室作为电子数据归档部门，建立数据归档以及归档后的数据查询、交换、复制和维护的管理制度，对电子数据实现有效归档和利用。

第二十八条  学校数据管理部门应建立相应的数据决策支持系统和分布式信息服务系统，提高数据的集成与应用水平，为学校领导提供决策支持服务，以及为社会提供相应的信息服务。

第二十九条  学校数据管理部门应制定数据服务管理和安全规范，明确定义数据服务的用户和提供服务的方式以及相关的安全管理规定。

第三十条  外单位或外部信息系统需要利用或共享信息系统的数据时，需要出具书面申请文件和需求文档，并按照规定经过审批后，由学校数据管理部门提供。

第三十一条  未经批准，任何单位和个人不得擅自提供信息系统的内部数据。对于不能披露数据的利用和服务，数据管理部门应进一步制定相应办法予以明确。对于违反规定、非法披露、提供数据的单位和个人，应依照相关规定予以处罚。

第三十二条  信息系统数据保护是数据安全管理的中心内容，主要指对信息系统用户数据（包括业务数据和系统数据）及安全功能数据的机密性、安全性和可用性的保护。

第三十三条  学校对信息系统数据实施统一安全管理策略，具体包括行政管理和技术管理两方面。行政管理主要包括安全管理机构、制度、人员、责任和监督机制等内容。技术管理贯穿信息系统建设、运行和维护的各环节，如开发、试用、验收和推广各阶段的安全管理，设备网络特别是保密设备和密钥的安全管理等。

第三十四条  学校数据管理部门应根据信息安全等级保护要求对数据建立相关的流程，制定相应的管理制度，信息系统应严格在流程管理和制度管理的约束下实施。

第三十五条  学校数据管理部门应制定介质管理制度，对存储一般数据介质（特别是移动介质）应加强存放管理，对存储关键数据或敏感数据介质应实施全生命周期管理（包括存放、使用、传输、销毁等）。

第三十六条  学校制定相应的奖励制度，对学校改进信息系统安全作出显著贡献的个人或集体进行表彰或奖励。

第三十七条  对于违反本办法造成损失的单位或个人，视情节轻重予以相应行政处分。

第三十八条  对于有危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规和规章规定行为的，由公安、国家安全、保密以及其他监督管理部门依法处理；构成犯罪的，依法追究刑事责任。

信息系统备案管理

第三十九条 各信息系统拥有单位应指定一名本校教职工负责本单位信息系统的建设、维护和管理工作。各信息系统拥有单位应填写《中原科技学院信息系统登记备案及域名申请表》。

第四十条 如果申请开通校外访问服务，需要在备案成功后，填写《中原科技学院网络服务申请表》。

第四十一条 受理信息系统备案申请后，现代教育技术中心应当对信息系统的备案情况进行审核，对审核无误的，应当在收到备案申请之日起的3个工作日内分发校内信息系统备案编号；发现不符合的，应当在收到备案材料之日起的3个工作日内通知备案单位予以纠正并重新备案。

第四十二条 信息系统拥有者应当保证所提供的信息内容合法。

第四十三条 信息系统备案申请表中应载明相应信息系统的备案编号，其格式为：ZYKJ备第×××号。各备案信息系统的拥有单位应在备案申请表首页的页脚处标明该系统的备案编号，作为系统已备案的标记。未标明系统备案编号的，按未备案处理。

第四十四条 各信息系统的备案材料及现代教育技术中心所颁发的备案编号长期有效。

第四十五条 各单位在本单位所拥有的已备案的信息系统发生某些变动或更改，且这些变动或更改涉及本办法所规定的各项备案材料时，系统负责人应在变动发生后的5个工作日内重新填写《中原科技学院信息系统登记备案及域名申请表》。现代教育技术中心在接到申请的3个工作日内，进行备案材料变更处理，并向原备案单位通报变更结果。

第四十六条 现代教育技术中心应采取适当的技术或非技术手段，对校内所有的信息系统进行监控。

（一）如发现已备案的信息系统存在问题时，应及时向系统的备案单位通报，并比照本办法第二章的规定执行。

（二）如发现有未备案的信息系统上线运行时，现代教育技术中心应当及时向系统拥有单位通报，并限期做相应的补充或改正。逾期不做相应的补充或改正，或所做的补充或改正不合格时，现代教育技术中心有权断开其网络连接。

（三）已上线的信息系统连续或累计一周未能正常提供相应服务，现代教育技术中心有权撤销其备案信息并断开网络连接。

第四十七条 本条款所指的未备案的信息系统包括：从未按本办法的规定进行备案的系统；虽已备案，但系统发生变动或更改，且按本办法第四章的规定需要进行重新备案却未备案的系统；虽已备案，但未按本办法第四十五条的规定标注备案编号的系统。

第六章 附则

第四十八条 本办法自发布之日起施行。

第四十九条 本办法的解释权归现代教育技术中心。