應(yīng)用系統(tǒng)管理制度第一章總則第一條為規(guī)范本單位應(yīng)用系統(tǒng)的規(guī)劃、建設(shè)、部署、運(yùn)行、維護(hù)、變更及廢止全生命周期管理，保障系統(tǒng)安全穩(wěn)定、高效運(yùn)行，保護(hù)數(shù)據(jù)資產(chǎn)安全，支撐業(yè)務(wù)高質(zhì)量發(fā)展，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《信息系統(tǒng)等級保護(hù)管理辦法》等相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，結(jié)合本單位實(shí)際，制定本制度。第二條本制度所稱應(yīng)用系統(tǒng)，是指由本單位自主開發(fā)、合作開發(fā)或外購，用于支撐業(yè)務(wù)開展、內(nèi)部管理、公共服務(wù)等各類信息化系統(tǒng)，包括業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)、決策支持系統(tǒng)、移動應(yīng)用程序等。第三條本制度適用于本單位應(yīng)用系統(tǒng)全生命周期管理相關(guān)的所有部門及人員，包括系統(tǒng)建設(shè)部門、運(yùn)維部門、業(yè)務(wù)使用部門、安全管理部門及全體系統(tǒng)用戶。第四條應(yīng)用系統(tǒng)管理遵循以下原則：戰(zhàn)略引領(lǐng)原則：貼合單位發(fā)展戰(zhàn)略，服務(wù)業(yè)務(wù)需求，實(shí)現(xiàn)技術(shù)與業(yè)務(wù)深度融合。安全優(yōu)先原則：將安全理念貫穿全生命周期，落實(shí)等級保護(hù)要求，防范各類安全風(fēng)險(xiǎn)。規(guī)范高效原則：建立標(biāo)準(zhǔn)化管理流程，明確各環(huán)節(jié)職責(zé)，提升系統(tǒng)建設(shè)與運(yùn)維效率。權(quán)責(zé)明晰原則：明確各部門、各崗位在系統(tǒng)管理中的職責(zé)權(quán)限，做到權(quán)責(zé)統(tǒng)一、追溯可查。持續(xù)優(yōu)化原則：定期評估系統(tǒng)運(yùn)行效能，根據(jù)業(yè)務(wù)發(fā)展和技術(shù)迭代及時優(yōu)化升級。第二章組織與職責(zé)第五條成立應(yīng)用系統(tǒng)管理工作小組，由單位分管信息化工作領(lǐng)導(dǎo)任組長，成員包括信息化管理部門、業(yè)務(wù)主管部門、安全管理部門、財(cái)務(wù)部門等負(fù)責(zé)人。工作小組主要職責(zé)：統(tǒng)籌規(guī)劃應(yīng)用系統(tǒng)建設(shè)與發(fā)展布局；審議應(yīng)用系統(tǒng)建設(shè)、重大變更、廢止等重大事項(xiàng)；協(xié)調(diào)解決系統(tǒng)管理中的重大問題；監(jiān)督本制度的執(zhí)行落實(shí)。第六條信息化管理部門是應(yīng)用系統(tǒng)管理的歸口部門，主要職責(zé)：牽頭組織應(yīng)用系統(tǒng)的規(guī)劃、立項(xiàng)、招標(biāo)采購等工作；負(fù)責(zé)系統(tǒng)建設(shè)過程的技術(shù)管控、質(zhì)量監(jiān)督與進(jìn)度管理；承擔(dān)系統(tǒng)部署、運(yùn)維保障、變更管理、技術(shù)支持等工作；建立系統(tǒng)管理臺賬，記錄全生命周期管理信息；組織開展系統(tǒng)操作培訓(xùn)與技術(shù)交流。第七條業(yè)務(wù)主管部門主要職責(zé)：提出應(yīng)用系統(tǒng)的業(yè)務(wù)需求，參與系統(tǒng)規(guī)劃與設(shè)計(jì)；配合開展系統(tǒng)測試、驗(yàn)收等工作，驗(yàn)證系統(tǒng)是否滿足業(yè)務(wù)需求；組織本部門用戶規(guī)范使用系統(tǒng)，制定業(yè)務(wù)操作細(xì)則；反饋系統(tǒng)運(yùn)行中的業(yè)務(wù)問題，提出優(yōu)化建議。第八條安全管理部門主要職責(zé)：負(fù)責(zé)應(yīng)用系統(tǒng)安全規(guī)劃、安全策略制定與實(shí)施；開展系統(tǒng)安全測評、風(fēng)險(xiǎn)評估與安全審計(jì)；監(jiān)督系統(tǒng)安全措施的落實(shí)，指導(dǎo)安全漏洞整改；參與系統(tǒng)安全事件的應(yīng)急處置。第九條系統(tǒng)用戶主要職責(zé)：遵守系統(tǒng)使用規(guī)范，妥善保管個人賬號密碼，嚴(yán)禁轉(zhuǎn)借他人使用；規(guī)范錄入、處理系統(tǒng)數(shù)據(jù)，確保數(shù)據(jù)真實(shí)、準(zhǔn)確、完整；發(fā)現(xiàn)系統(tǒng)異常、安全隱患或數(shù)據(jù)問題時，及時向信息化管理部門或業(yè)務(wù)主管部門報(bào)告；參加系統(tǒng)相關(guān)培訓(xùn)，提升規(guī)范使用與風(fēng)險(xiǎn)防范意識。第三章規(guī)劃與建設(shè)管理第十條應(yīng)用系統(tǒng)規(guī)劃應(yīng)結(jié)合單位發(fā)展戰(zhàn)略和業(yè)務(wù)需求，由信息化管理部門牽頭，聯(lián)合各業(yè)務(wù)主管部門編制年度應(yīng)用系統(tǒng)建設(shè)規(guī)劃，報(bào)工作小組審議通過后實(shí)施。規(guī)劃應(yīng)明確系統(tǒng)建設(shè)目標(biāo)、功能需求、技術(shù)架構(gòu)、實(shí)施計(jì)劃、資源保障、安全要求等內(nèi)容。第十一條應(yīng)用系統(tǒng)建設(shè)實(shí)行立項(xiàng)審批制度。業(yè)務(wù)主管部門提出建設(shè)需求，提交《應(yīng)用系統(tǒng)建設(shè)立項(xiàng)申請表》，說明項(xiàng)目背景、業(yè)務(wù)需求、預(yù)期效益、預(yù)算估算、安全需求等信息，經(jīng)信息化管理部門審核、財(cái)務(wù)部門預(yù)算審核后，報(bào)工作小組審批。重大建設(shè)項(xiàng)目需按單位重大事項(xiàng)決策程序?qū)徟?。第十二條系統(tǒng)建設(shè)應(yīng)優(yōu)先采用成熟、可靠、安全的技術(shù)和產(chǎn)品，遵循相關(guān)國家標(biāo)準(zhǔn)和行業(yè)規(guī)范。自主開發(fā)項(xiàng)目需建立規(guī)范的開發(fā)流程，落實(shí)需求分析、系統(tǒng)設(shè)計(jì)、編碼實(shí)現(xiàn)、單元測試、集成測試等環(huán)節(jié)的質(zhì)量管控；外購或合作開發(fā)項(xiàng)目需嚴(yán)格篩選服務(wù)商，明確雙方權(quán)責(zé)、技術(shù)標(biāo)準(zhǔn)、安全要求、交付成果及售后服務(wù)等內(nèi)容，簽訂正式合同。第十三條系統(tǒng)建設(shè)過程中，信息化管理部門應(yīng)定期檢查項(xiàng)目進(jìn)度、質(zhì)量與安全情況，協(xié)調(diào)解決建設(shè)過程中的問題。業(yè)務(wù)主管部門應(yīng)全程參與，配合完成需求確認(rèn)、原型評審、測試驗(yàn)證等工作。第十四條應(yīng)用系統(tǒng)建成后，需開展驗(yàn)收工作。驗(yàn)收由信息化管理部門牽頭，組織業(yè)務(wù)主管部門、安全管理部門、服務(wù)商及相關(guān)專家組成驗(yàn)收小組，依據(jù)立項(xiàng)方案、合同要求、功能需求說明書等資料，對系統(tǒng)功能、性能、安全、文檔等進(jìn)行全面驗(yàn)收。驗(yàn)收合格后出具《應(yīng)用系統(tǒng)驗(yàn)收報(bào)告》，方可正式投入使用；驗(yàn)收不合格的，需明確整改要求和時限，整改完成后重新驗(yàn)收。第四章運(yùn)行與維護(hù)管理第十五條信息化管理部門應(yīng)建立應(yīng)用系統(tǒng)運(yùn)行臺賬，詳細(xì)記錄系統(tǒng)名稱、版本、部署環(huán)境、建設(shè)單位、運(yùn)維責(zé)任人、運(yùn)行狀態(tài)等信息，實(shí)行動態(tài)更新與管理。第十六條系統(tǒng)運(yùn)行環(huán)境（包括服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等）由信息化管理部門負(fù)責(zé)維護(hù)，定期開展設(shè)備巡檢、性能監(jiān)控、日志審計(jì)，及時處理運(yùn)行異常，保障運(yùn)行環(huán)境穩(wěn)定可靠。第十七條信息化管理部門應(yīng)建立規(guī)范的運(yùn)維流程，提供7×24小時或約定時效的運(yùn)維支持服務(wù)，受理系統(tǒng)用戶的咨詢、故障報(bào)修等需求，記錄問題描述、處理過程、解決結(jié)果等信息，形成運(yùn)維記錄歸檔管理。一般故障應(yīng)在約定時限內(nèi)解決，重大故障應(yīng)立即啟動應(yīng)急處置程序。第十八條應(yīng)用系統(tǒng)數(shù)據(jù)管理應(yīng)遵循數(shù)據(jù)分類分級管理要求，信息化管理部門負(fù)責(zé)數(shù)據(jù)存儲、備份、恢復(fù)等技術(shù)保障，業(yè)務(wù)主管部門負(fù)責(zé)數(shù)據(jù)的產(chǎn)生、審核、使用等業(yè)務(wù)管控，確保數(shù)據(jù)安全合規(guī)。應(yīng)建立數(shù)據(jù)備份機(jī)制，定期開展數(shù)據(jù)備份與恢復(fù)測試，備份介質(zhì)應(yīng)異地存放，保障數(shù)據(jù)可恢復(fù)性。第十九條信息化管理部門應(yīng)定期對應(yīng)用系統(tǒng)運(yùn)行效能進(jìn)行評估，分析系統(tǒng)響應(yīng)速度、處理能力、資源占用等情況，結(jié)合業(yè)務(wù)需求變化，提出優(yōu)化建議，報(bào)工作小組審批后實(shí)施優(yōu)化升級。第五章變更與版本管理應(yīng)用系統(tǒng)的功能調(diào)整、參數(shù)配置修改、版本升級、漏洞修復(fù)等變更行為，實(shí)行變更審批制度。變更申請由業(yè)務(wù)主管部門或信息化管理部門提出，提交《應(yīng)用系統(tǒng)變更申請表》，說明變更原因、變更內(nèi)容、影響范圍、實(shí)施計(jì)劃、安全風(fēng)險(xiǎn)及應(yīng)對措施等信息。變更分為一般變更和重大變更：一般變更（不影響系統(tǒng)核心功能、無重大安全風(fēng)險(xiǎn)）由信息化管理部門審核批準(zhǔn)；重大變更（涉及核心功能調(diào)整、架構(gòu)重構(gòu)、重大安全策略變更或可能影響業(yè)務(wù)正常運(yùn)行）需經(jīng)安全管理部門評估、工作小組審批。變更實(shí)施前，應(yīng)做好充分的測試驗(yàn)證和數(shù)據(jù)備份工作；實(shí)施過程中，應(yīng)嚴(yán)格按照變更計(jì)劃執(zhí)行，做好過程記錄；實(shí)施完成后，需由申請部門、信息化管理部門共同驗(yàn)證變更效果，確認(rèn)無誤后正式上線。變更失敗時，應(yīng)立即啟動回滾機(jī)制，恢復(fù)系統(tǒng)至變更前狀態(tài)。信息化管理部門應(yīng)建立系統(tǒng)版本管理臺賬，記錄版本號、版本更新內(nèi)容、更新時間、變更審批信息、實(shí)施人員等內(nèi)容，對系統(tǒng)版本進(jìn)行規(guī)范管理，確保版本可追溯。第六章安全管理應(yīng)用系統(tǒng)應(yīng)按照信息系統(tǒng)等級保護(hù)相關(guān)要求，開展等級保護(hù)定級、備案、測評和整改工作，落實(shí)相應(yīng)等級的安全保護(hù)措施。系統(tǒng)應(yīng)建立嚴(yán)格的身份認(rèn)證機(jī)制，采用用戶名密碼、動態(tài)口令、生物識別等一種或多種認(rèn)證方式，強(qiáng)化賬號權(quán)限管理。信息化管理部門應(yīng)根據(jù)“最小權(quán)限”和“按需分配”原則，為用戶分配賬號權(quán)限；用戶離職、調(diào)崗時，業(yè)務(wù)主管部門應(yīng)及時通知信息化管理部門辦理賬號注銷或權(quán)限調(diào)整手續(xù)。系統(tǒng)應(yīng)采取數(shù)據(jù)加密、訪問控制、安全審計(jì)、漏洞掃描等安全技術(shù)措施，防范數(shù)據(jù)泄露、篡改、丟失及惡意攻擊等安全風(fēng)險(xiǎn)。對涉及敏感信息的數(shù)據(jù)，應(yīng)采取加密存儲、傳輸?shù)阮~外安全保護(hù)措施。安全管理部門應(yīng)定期開展應(yīng)用系統(tǒng)安全審計(jì)，檢查用戶操作行為、系統(tǒng)訪問日志、數(shù)據(jù)處理記錄等，及時發(fā)現(xiàn)和處置違規(guī)操作、安全隱患。審計(jì)記錄應(yīng)至少保存6個月。嚴(yán)禁在應(yīng)用系統(tǒng)中存儲、處理、傳輸違反法律法規(guī)、單位規(guī)章制度的信息，嚴(yán)禁接入未經(jīng)安全認(rèn)證的外部設(shè)備或系統(tǒng)，嚴(yán)禁私自對系統(tǒng)進(jìn)行破解、篡改或安裝未經(jīng)授權(quán)的軟件。第七章應(yīng)急處置與災(zāi)備管理信息化管理部門牽頭制定應(yīng)用系統(tǒng)突發(fā)事件應(yīng)急預(yù)案，明確應(yīng)急組織機(jī)構(gòu)、應(yīng)急響應(yīng)流程、處置措施、責(zé)任分工、應(yīng)急資源保障等內(nèi)容，報(bào)工作小組審批后實(shí)施。應(yīng)急預(yù)案應(yīng)定期組織演練，每年至少演練1次，根據(jù)演練情況及時修訂完善。系統(tǒng)發(fā)生故障、安全攻擊、數(shù)據(jù)泄露等突發(fā)事件時，相關(guān)部門及人員應(yīng)立即啟動應(yīng)急預(yù)案，按照“先止損、后處置、再恢復(fù)”的原則，及時采取應(yīng)急措施，控制事態(tài)發(fā)展，減少損失。同時，及時向工作小組報(bào)告事件情況，重大突發(fā)事件需按規(guī)定向相關(guān)監(jiān)管部門報(bào)告。建立應(yīng)用系統(tǒng)災(zāi)備體系，根據(jù)系統(tǒng)重要程度和業(yè)務(wù)連續(xù)性要求，制定相應(yīng)的災(zāi)備策略（包括數(shù)據(jù)備份、冷備份、熱備份等），定期開展災(zāi)備演練，確保災(zāi)難發(fā)生時能夠快速恢復(fù)系統(tǒng)運(yùn)行和業(yè)務(wù)處理。第八章廢止與歸檔管理應(yīng)用系統(tǒng)因業(yè)務(wù)調(diào)整、技術(shù)淘汰、功能替代等原因不再使用的，應(yīng)由業(yè)務(wù)主管部門或信息化管理部門提出廢止申請，提交《應(yīng)用系統(tǒng)廢止申請表》，說明廢止原因、數(shù)據(jù)處置方案、資產(chǎn)處理建議等信息，經(jīng)信息化管理部門、安全管理部門審核后，報(bào)工作小組審批。系統(tǒng)廢止前，信息化管理部門應(yīng)做好數(shù)據(jù)備份與遷移工作，按照數(shù)據(jù)分類分級管理要求，對系統(tǒng)數(shù)據(jù)進(jìn)行整理、歸檔或銷毀，確保數(shù)據(jù)安全合規(guī)。涉及硬件設(shè)備的，應(yīng)進(jìn)行資產(chǎn)清查、處置，符合報(bào)廢條件的按單位資產(chǎn)報(bào)廢流程處理。系統(tǒng)全生命周期管理過程中形成的各類文檔資料（包括規(guī)劃方案、立項(xiàng)申請、需求說明書、設(shè)計(jì)文檔、測試報(bào)告、驗(yàn)收報(bào)告、運(yùn)維記錄、變更記錄、應(yīng)急預(yù)案、審計(jì)報(bào)告等），由信息化管理部門負(fù)責(zé)整理歸檔，建立完整的系統(tǒng)檔案，妥善保管，保管期限符合相關(guān)規(guī)定。第九章監(jiān)督與考核工作小組定期對應(yīng)用系統(tǒng)管理工作進(jìn)行監(jiān)督檢查，重點(diǎn)檢查本制度執(zhí)行情況、系統(tǒng)建設(shè)與運(yùn)維質(zhì)量、安全措施落實(shí)情況、數(shù)據(jù)管理規(guī)范性等，對發(fā)現(xiàn)的問題責(zé)令相關(guān)部門限期整