第一条 为规范学校信息系统的建设、应用和管理，确保信息系统的安全可靠运行，切实提高管理水平、工作效率，使信息系统更好地服务于教学、科研和管理，特制订本规定。

第二条 本规定所称的信息系统是指根据学校教学、科研、管理需要而购置、研发和部署的信息系统软件，主要包括学校基本业务管理信息系统，满足教学和科研需求的资源平台和共享系统、数字化校园及其相关应用信息系统、校园网运维支撑系统等。

第三条 信息系统是学校数字化校园的组成部分，应根据需要与数字化校园进行集成，实现统一身份认证、与共享数据中心的数据交换。信息系统建设部门有义务作为数据源，为学校数据中心提供数据。

第四条 信息系统采用分级管理制度。现代教育技术与信息管理中心是学校信息系统管理部门，负责信息系统应用监管；信息系统建设部门是信息系统的应用主管部门，负责信息系统的建设和维护；校内其他各单位、部门是信息系统的使用部门。

第五条 现代教育技术与信息管理中心负责贯彻和落实国家、行业及监管部门关于信息系统技术、标准及质量管理等方面的政策和规定。负责信息系统建设项目论证，配合应用主管部门部署信息系统，实现信息系统与数字校园的集成，负责对虚拟化平台各业务系统实施系统备份，并提供系统恢复等技术支持，保障信息系统安全稳定运行。定期对各单位、部门所属信息系统运行和应用情况进行安全检测，如发现漏洞等问题，督促相关单位、部门及时进行整改。

第六条 应用主管部门负责信息系统日常的运行维护、网络安全、业务开展、应用推广及用户操作指导等。组织和编制本部门信息系统的建设、优化、升级需求，获得批准后参与实施。接受学校信息系统管理部门监管，负责督导信息系统业务的开展。负责对各信息系统使用部门提供业务支持与使用指导。

第七条 应用主管部门应积极引导和促进信息系统的使用。能够使用信息系统完成的工作，必须使用信息系统完成。应用主管部门需在系统上线运行一个月内组织各级管理员和普通操作人员进行使用培训。

第八条 应用主管部门应根据业务需要和信息系统的实际情况修改和完善业务工作流程，确保信息系统功能的正常应用。涉及到多个单位、部门的业务，应用主管部门应与相关单位、部门共同制定工作流程、责任分工和信息系统操作规程。严格按照系统操作规范使用信息系统。

第九条 信息系统使用单位、部门应接受应用主管部门管理和指导，积极使用信息系统开展各项业务。

第十条 信息系统上线前，必须进行漏洞扫描，确保安全方可上线运行。

第十一条 应用系统管理人员应自觉加强学习，熟练掌握信息系统的使用方法和技巧，根据各项业务要求及时处理相关信息数据。

第十二条 未经批准，严禁直接对信息系统数据库进行增加、修改、删除等操作。如确属必要修改，由应用主管部门提交书面申请，经现代教育技术与信息管理中心审批备案后进行修改调整。未经批准擅自对信息系统数据库进行改动的，后果自负。

第十三条 对于系统的所有维护（包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加等），应用主管部门必须填写维护记录。

第十四条 信息系统故障处理

系统出现故障时，按照以下流程进行处理：

1、应用主管部门应首先进行处理，判断故障类型和故障程度，协调必要的资源；根据故障恢复需要，向厂商申请技术支持，督促并进行跟踪处理；

2、厂商可进行远程技术支持，必要时应到现场解决故障问题。厂商进行技术支持时，应用主管部门应全程参与、积极协助，并在故障解决后进行书面确认；

3、故障处理完成后，应用主管部门应对故障的产生原因、解决方案进行详细记录；组织分析总结，制定防范措施并执行；

4、当故障对业务影响较大时，应及时通知各业务相关部门做好各自数据备份工作并发布通知公告，以确保各项工作的正常进行。

第十五条 信息系统变更时，按照以下流程进行处理：

1、信息系统变更包括更换软件厂商、硬件扩容或搬迁、系统升级、模块更改、软件升级、数据维护等工作以及安全策略、部署的改变等；

2、信息系统变更原则上由应用主管部门发起，经审核同意后进行；

3、信息系统变更前应制定实施方案和故障预案，并告知信息系统使用人员；变更不能影响业务正常开展，应在非工作时间进行；对变更后的系统要进行测试，并完成相关文档资料的更新；

4、系统大版本升级或厂商更换时，应做好原系统的数据备份和清洗工作，按照学校数据标准进入新系统运行。

第十六条 学校根据国家有关计算机信息系统安全等级保护的法律法规和文件要求，积极开展信息系统安全等级保护工作。

第十七条 应用主管部门应对系统数据和参数（包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置等）实施严格的安全与保密管理，防止系统数据和参数的非法生成、变更、泄露与丢失。关闭或禁用信息系统所在操作系统中不必要的服务、端口和用户，定期对操作系统进行安全漏洞扫描并修补漏洞。

第十八条 用户采用实名制管理。信息系统账号为各操作节点人员认证的唯一凭证，账号拥有者应重视账号安全，不得转借他人。信息系统中任何登录账号所进行的操作，均视为账号拥有者本人操作，出现的任何责任由账号拥有者承担。如本单位人员变化，业务管理人员应及时变更离职或调职人员的信息系统相关权限。

第十九条 加强服务器和信息系统用户账号信息保护，用户首次登录系统必须更改初始密码，不得使用弱口令，用户密码使用周期不得超过六个月。

第二十条 未经授权，任何人不得打印或复制学校各信息系统中的信息数据等内部资料给非授权人员。

第二十一条 现代教育技术与信息管理中心会同应用主管部门做好备份策略和恢复计划，保障系统故障时能快速恢复系统，避免数据丢失。备份数据应包括信息系统软件、业务数据、操作日志。

第二十二条 根据学校管理需要和上级部门要求保留操作系统日志和信息系统日志。日志保留期限不低于180天。操作系统日志包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全事件。信息系统日志记录对信息系统（含数据库）的各项操作，包括操作人、操作时间和操作内容等详细信息。

第二十三条 因工作人员个人原因导致信息系统信息泄露等安全事故并造成重大损失的，按照国家有关法律法规和学校有关规定处理。

第二十四条 以往规定中与本规定内容冲突之处，以本规定为准。相关单位、部门可依据本规定制定相关管理细则。

第二十五条 此规定自颁布之日起施行。

第二十六条 此规定由现代教育技术与信息管理中心负责解释。