第一章總則   

第一條為保證河北藝術(shù)職業(yè)學(xué)院（以下簡稱“河北藝校”）信息化項(xiàng)目的技術(shù)維護(hù)服務(wù)供應(yīng)商服務(wù)質(zhì)量，規(guī)范技術(shù)維護(hù)服務(wù)供應(yīng)商服務(wù)的流程，制定本制度。   

第二章適用范圍   

第二條本制度適用于河北藝術(shù)職業(yè)學(xué)院各部門，規(guī)范非涉密信息系統(tǒng)外部技術(shù)維護(hù)服務(wù)管理。   

第三條技術(shù)維護(hù)服務(wù)供應(yīng)商包括：第三方軟件開發(fā)商、運(yùn)維服務(wù)供應(yīng)商、安全服務(wù)供應(yīng)商等。   

第三章職責(zé)   

第四條信息化項(xiàng)目所屬部門負(fù)責(zé)信息化項(xiàng)目的外包軟件開發(fā)、工程施工、測試驗(yàn)收和交付過程中的管理工作。   

第五條項(xiàng)目的測試驗(yàn)收和系統(tǒng)交付工作要堅(jiān)持嚴(yán)謹(jǐn)求實(shí)、客觀公正、簡便易行、注重質(zhì)量原則。   

第四章技術(shù)維護(hù)服務(wù)供應(yīng)商管理   

第六條確保技術(shù)維護(hù)服務(wù)供應(yīng)商的選擇符合國家電子政務(wù)信息系統(tǒng)建設(shè)的相關(guān)規(guī)定。   

第七條在產(chǎn)品采購、外包軟件、系統(tǒng)集成和安全測評前對選定的技術(shù)維護(hù)服務(wù)供應(yīng)商以書面文檔形式（如安全責(zé)任合同書或保密協(xié)議）規(guī)范技術(shù)維護(hù)服務(wù)供應(yīng)商的安全行為以及質(zhì)量、服務(wù)承諾等相關(guān)內(nèi)容。   

第八條與技術(shù)維護(hù)服務(wù)供應(yīng)商簽訂為系統(tǒng)運(yùn)維人員提供技術(shù)培訓(xùn)、技術(shù)支持或安全服務(wù)的安全服務(wù)合同。   

第九條應(yīng)檢查安全責(zé)任合同書或保密協(xié)議，查看保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。   

第十條應(yīng)檢查服務(wù)合同，查看是否包括服務(wù)內(nèi)容、服務(wù)期限、雙方簽字或蓋章等。   

第五章外包軟件開發(fā)安全管理   

第十一條與承包方簽署協(xié)議，明確軟件許可權(quán)協(xié)議、代碼所有關(guān)系以及知識產(chǎn)權(quán)。   

第十二條選擇信譽(yù)與質(zhì)量保證能力良好的軟件開發(fā)商。   

第十三條簽署協(xié)議中應(yīng)包括承包方違約時應(yīng)采取的措施。   

第十四條簽署協(xié)議里應(yīng)包括代碼質(zhì)量，如對編程標(biāo)準(zhǔn)的要求。   

第十五條在安裝之前進(jìn)行測試，以檢測后門、邏輯炸彈和特洛伊代碼，并將檢測結(jié)果備案。   

第十六條運(yùn)行操作日志中應(yīng)記錄變更事件以備后查。   

第十七條承包方應(yīng)承諾提供軟件培訓(xùn)、操作指南和售后服務(wù)。   

第十八條承包方應(yīng)提供軟件開發(fā)設(shè)計(jì)的相關(guān)文檔。   

第六章工程實(shí)施安全管理   

第十九條信息化項(xiàng)目所屬部門負(fù)責(zé)項(xiàng)目的工程實(shí)施管理，信息安全執(zhí)行小組對工程實(shí)施的信息安全管理進(jìn)行指導(dǎo)和監(jiān)督。   

第二十條工程實(shí)施如需外包服務(wù)，應(yīng)進(jìn)行廠商、服務(wù)商及集成商的選擇，選擇過程中針對廠家資質(zhì)、信譽(yù)及以往工程實(shí)施質(zhì)量和本次工程實(shí)施方案等進(jìn)行詳細(xì)分析、評審及選擇。   

第二十一條選定工程實(shí)施方后，應(yīng)與其簽訂合同，詳細(xì)描述工程實(shí)施規(guī)范及雙方責(zé)任，明確其任務(wù)要求，并規(guī)定工程實(shí)施過程中的安全規(guī)范、環(huán)境要求、工程質(zhì)量以及實(shí)施后的服務(wù)承諾等內(nèi)容。   

第二十二條工程實(shí)施過程中，工程實(shí)施方應(yīng)嚴(yán)格遵守工程實(shí)施計(jì)劃，保證工程實(shí)施質(zhì)量并接受項(xiàng)目監(jiān)理方的監(jiān)理。   

第二十三條項(xiàng)目實(shí)施過程中，如有時間延期、人員調(diào)整、項(xiàng)目目標(biāo)調(diào)整等變更情況發(fā)生，應(yīng)進(jìn)行項(xiàng)目變更的申請和審批。   

第七章測試驗(yàn)收內(nèi)容   

第二十四條應(yīng)用系統(tǒng)項(xiàng)目驗(yàn)收應(yīng)審查如下內(nèi)容：   

1、功能檢查：對軟件功能完整性、正確性進(jìn)行審查和評價。   

2、項(xiàng)目管理審查：對項(xiàng)目計(jì)劃、采用標(biāo)準(zhǔn)、需求方案及其執(zhí)行情況進(jìn)行審查和評價。   

3、測試結(jié)果審查：對項(xiàng)目測試報(bào)告、監(jiān)理單位出具的監(jiān)理報(bào)告等進(jìn)行審查。   

4、技術(shù)文檔檢查：對承包方交付的文檔資料（紙質(zhì)文檔和電子文檔）進(jìn)行審查。   

第二十五條項(xiàng)目驗(yàn)收時項(xiàng)目所屬部門應(yīng)組織檢查施工情況，主要檢查網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、安全系統(tǒng)的施工質(zhì)量。   

第二十六條項(xiàng)目驗(yàn)收時項(xiàng)目所屬部門應(yīng)組織檢查法律法規(guī)和標(biāo)準(zhǔn)執(zhí)行情況，主要檢查項(xiàng)目建設(shè)和管理是否符合有關(guān)法律、法規(guī)和XXXX信息化建設(shè)相關(guān)規(guī)范。   

第二十七條系統(tǒng)的安全性測試驗(yàn)收應(yīng)獨(dú)立進(jìn)行，應(yīng)委托國家認(rèn)可的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告，至少應(yīng)審查主機(jī)端口開放情況是否符合系統(tǒng)說明、使用網(wǎng)絡(luò)偵聽工具審查通訊數(shù)據(jù)包是否符合系統(tǒng)說明，設(shè)備配置是否符合安全技術(shù)標(biāo)準(zhǔn)，以及使用惡意代碼軟件檢測軟件包中可能存在的惡意代碼等。   

第八章測試驗(yàn)收程序   

第二十八條技術(shù)及服務(wù)供應(yīng)商在項(xiàng)目完成后向項(xiàng)目所屬部門提出項(xiàng)目竣工驗(yàn)收申請。   

第二十九條系統(tǒng)測試驗(yàn)收需具備如下前提：   

1、系統(tǒng)建設(shè)項(xiàng)目確定的網(wǎng)絡(luò)、應(yīng)用、信息安全等已按照設(shè)計(jì)要求建成，并能滿足系統(tǒng)運(yùn)行的需要。   

2、系統(tǒng)建設(shè)項(xiàng)目包括的網(wǎng)絡(luò)、應(yīng)用、安全等經(jīng)測試和試運(yùn)行合格。   

3、系統(tǒng)建設(shè)項(xiàng)目完成相關(guān)的培訓(xùn)工作，落實(shí)售后服務(wù)措施。   

第三十條項(xiàng)目驗(yàn)收程序分為專家組驗(yàn)收和項(xiàng)目組驗(yàn)收兩種。   

1、專家組驗(yàn)收：專家組由外聘專家、信息安全領(lǐng)導(dǎo)小組和項(xiàng)目所屬部門相關(guān)人員組成，專家組成員人數(shù)為5人以上單數(shù)，設(shè)組長一名。   

2、項(xiàng)目組驗(yàn)收：項(xiàng)目組主要由項(xiàng)目審批部門、項(xiàng)目所屬部門和信息安全領(lǐng)導(dǎo)小組相關(guān)人員組成，項(xiàng)目組成員人數(shù)為5人以上單數(shù)，設(shè)組長一名。   

第三十一條測試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案，測試驗(yàn)收方案應(yīng)對參與測試部門、人員、現(xiàn)場操作過程等進(jìn)行要求并確保測試和接受標(biāo)準(zhǔn)被清晰定義并文檔化。   

第三十二條嚴(yán)格依據(jù)測試方案進(jìn)行測試，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試結(jié)果并最終形成正式的，經(jīng)過簽字確認(rèn)的驗(yàn)收測試報(bào)告。   

第三十三條項(xiàng)目驗(yàn)收組根據(jù)審查驗(yàn)收情況，召開評審論證會，對項(xiàng)目進(jìn)行綜合評價，形成項(xiàng)目驗(yàn)收報(bào)告，由驗(yàn)收組全體成員簽字，驗(yàn)收組組長根據(jù)驗(yàn)收表決情況簽署驗(yàn)收意見。   

第三十四條系統(tǒng)驗(yàn)收并移交后，必須立即修改系統(tǒng)中相關(guān)賬戶口令。   

第三十五條項(xiàng)目所屬部門將通過驗(yàn)收的項(xiàng)目各種文件資料及最終驗(yàn)收審批報(bào)告，歸類整理并列出清單，按照有關(guān)規(guī)定歸檔保存。   

第九章測試驗(yàn)收結(jié)論   

第三十六條測試驗(yàn)收結(jié)論分為“通過驗(yàn)收”、“需要復(fù)議”、“未通過驗(yàn)收”。   

第三十七條通過驗(yàn)收標(biāo)準(zhǔn)：完成所有建設(shè)內(nèi)容，技術(shù)指標(biāo)達(dá)到設(shè)計(jì)要求，建設(shè)標(biāo)準(zhǔn)達(dá)到XXXX信息化和信息安全相關(guān)建設(shè)標(biāo)準(zhǔn)，系統(tǒng)運(yùn)行安全穩(wěn)定，建設(shè)過程符合XXXX有關(guān)規(guī)定。   

第三十八條需要復(fù)議標(biāo)準(zhǔn)：建設(shè)內(nèi)容和技術(shù)指標(biāo)基本達(dá)到設(shè)計(jì)要求，但提供的驗(yàn)收文件資料不齊全或者對驗(yàn)收結(jié)論存在爭議。   

第三十九條系統(tǒng)建設(shè)項(xiàng)目有下列情況之一，不能通過驗(yàn)收。   

1、驗(yàn)收文件、資料、數(shù)據(jù)不真實(shí)。   

2、未達(dá)到設(shè)計(jì)要求。   

3、設(shè)計(jì)不符合XXXX信息化建設(shè)相關(guān)標(biāo)準(zhǔn)要求。   

4、擅自修改設(shè)計(jì)目標(biāo)和建設(shè)內(nèi)容。   

5、系統(tǒng)建設(shè)過程中出現(xiàn)重大問題，未能解決和做出說明，或存在糾紛尚未解決的。   

第十章系統(tǒng)交付   

第四十條系統(tǒng)交付時，技術(shù)及服務(wù)供應(yīng)商應(yīng)制定系統(tǒng)交付的清單，依據(jù)交付清單進(jìn)行清點(diǎn)，系統(tǒng)交付物至少應(yīng)包括：   

1、系統(tǒng)運(yùn)行所需要的全部設(shè)備。   

2、系統(tǒng)運(yùn)行所需要的全部軟件。   

3、系統(tǒng)文檔，包括系統(tǒng)建設(shè)過程中的文檔以及詳細(xì)的系統(tǒng)使用和維護(hù)文檔。   

4、系統(tǒng)使用培訓(xùn)教材。   

第四十一條系統(tǒng)交付完畢后，項(xiàng)目所屬部門負(fù)責(zé)組織系統(tǒng)使用和維護(hù)人員進(jìn)行相應(yīng)培訓(xùn)。   

第四十二條項(xiàng)目所屬部門應(yīng)對系統(tǒng)交付物和系統(tǒng)維護(hù)使用培訓(xùn)進(jìn)行書面確認(rèn)，確保系統(tǒng)交付后系統(tǒng)的穩(wěn)定運(yùn)行及使用。   

第十一章相關(guān)文件   

第四十三條無   

第十二章附則   

第四十四條本制度自發(fā)布之日起執(zhí)行。   

第四十五條本制度的解釋和修改權(quán)屬于信息安全領(lǐng)導(dǎo)小組。   

第四十六條信息安全領(lǐng)導(dǎo)小組每年統(tǒng)一檢查和評估本制度，并做出適當(dāng)更新。在業(yè)務(wù)環(huán)境和安全需求發(fā)生重大變化時，也將對本制度進(jìn)行檢查和更新。   

參考文獻(xiàn)  

[1] 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院令第147號）  

[2] 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)[2003]27號）  

[3] 關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字[2004]66號）  

[4] 關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知（公通字[2007]43號）  

[5] GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則  

[6]GBT22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系要求  

[7] GBT22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則  

[8] GBT25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南  

[9] GBT22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求  

[10]GBZ20986-2007 信息安全技術(shù) 信息安全事件分類分級指南  

[11] GBT20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求