随着我省教育考试招生工作快速发展,信息技术要求和管理方式都发生了变化,为进一步提高信息管理工作水平,确保考试招生信息安全、真实、准确、可靠,我们重新修订了《陕西省考试招生信息管理工作实施细则》。现印发你们,请遵照执行。
第二十一条 考试招生信息管理人员培训
(一)针对不同岗位应定期、不定期进行安全教育和技术培训,确保信息管理人员能够熟练掌握政策和系统管理知识。
(二)培训内容包括应用系统操作培训、硬件设备维护培训、软件开发技术培训、信息安全培训和政策法规培训等。
(三)培训应以专题培训为主,也可以通过召开工作会、研讨会等,以会代训。
第二十二条 第三方人员管理
第三方人员指对硬件和软件维护人员、咨询人员、临时性的短期职员等。
(一)第三方人员应签署保密协议并规定活动范围,进入计算机房须填写《第三方人员进出机房审批单》(附件1),同意后方可进入。需要进行逻辑访问时,应划定范围并由负责系统管理的信息管理人员或安全管理人员全程监督。
(二)关键区域不允许第三方人员进入或进行逻辑访问。如确有必要,应按①提出书面申请②信息管理部门领导审批③专人代为操作的程序执行,对结果进行必要的过滤并进行审计后再提供给第三方人员,上述过程应进行签字记录备案。
第三章 设备和系统管理
第二十三条 各级考试招生机构要结合工作需要和自身条件,按照全省统一的信息系统技术标准采购设备,建立与考试招生信息化发展要求相适应的软硬件环境。
第二十四条 软硬件环境基本要求
(一)配置满足考试招生信息采集与管理工作需要的硬件设备,包括机房设备、服务器、网络设备、安全设备、存储设备、视频与网络监控设备、视频会议设备、身份识别设备、作弊防控设备、GPS定位设备、计算机(台式或便携式)、不间断电源、打印机、扫描仪、光电阅读器、数码摄像设备等。
(二)合理规划网络结构,搭建满足考试招生信息采集与管理工作需要的系统、网络环境,购置正版的操作系统、数据库软件、工具软件和应用软件等,保证各类考试招生信息系统安全稳定运行。
(三)建立规范的设备采购、保管、维护、更新制度,确保设备数量配置合理,状况良好,避免由于设备陈旧、运行环境恶劣造成数据处理不及时、不稳定等情况的发生。
(四)建立规范的软件开发、安装、维护、更新制度,确保系统配置搭建合理,运行状况良好稳定,避免由于软件冲突、配置环境不合理造成数据处理缓慢、不稳定等情况发生。
第二十五条 设备采购基本要求
(一)涉及考试招生信息处理的设备必须符合国家采购相关规定,在掌握技术资料、性能、价格等信息之后,由相关领域技术专家进行论证和审定,履行相关程序后方可采购。
(二)重要设备采购合同应确保系统安全运行和后续升级维保。
(三)需要与上级考试招生机构进行互联互通的设备采购前,应提前进行联通性测试,以确保拟采购设备能接入现有系统。
第二十六条 设备使用基本要求
(一)重要设备需加装安全保密软件或硬件,并经国家安全部门或保密部门认证。
(二)设备实行专人专管,若需要将设备带离原置场所,必须履行审批手续。带离的存储介质中如有涉密内容应进行加密和监控管理。
(三)更换安全设备的硬件和软件,必须履行审批手续,不得使用来历不明的设备和软件。
(四)不得随意开启和关闭安全设备。对终端计算机、工作站、系统、网络等设备的操作严格按规定程序进行,要有专人保管设备相关文档和使用指南,并且严格记录使用情况。
(五)不得随意更改安全设备的配置。更改设置省级考试招生机构须经信息管理部门领导批准,市、县级考试招生机构须经分管信息工作的领导批准,由专人更改,并作详细记录。
第二十七条 各级考试招生机构应根据自身工作需要配备相应的网络及安全设备,包括交换机、路由器、防火墙等,并由系统管理人员负责管理。
第二十八条 加强网络安全防范,以防止黑客攻击为重点,通过防火墙、入侵检测、入侵防御、流量实时监控等技术措施,构建网络安全立体防范体系,确保网络和服务器的安全。
第二十九条 部署考试招生信息系统前,必须划分网络安全区域,进行系统间的访问控制。并根据系统的安全等级,部署防火墙、入侵防御系统等网络安全产品。
第三十条 工作用计算机未进行安全配置、未安装防火墙及防病毒软件前不得接入网络。禁止下载和使用未经测试和来历不明的电子邮件和软件,禁止未授权用户接入单位计算机网络及访问网络中的资源。
第三十一条 网络管理工作职责
(一)对网络运行情况进行持续监控,定期对网络、服务器等设备进行安全检查和测试。
(二)建立网络安全实时监控系统和突发安全事件应急处置预案。
(三)发现异常流量、异常链接、异常登录等异常情况时要立即查明原因并上报。
第三十二条 各级考试招生机构应根据自身情况建设与工作相适应的信息机房,并由机房管理员负责管理。
第三十三条 机房物理位置的选择、物理访问控制、防盗和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、供电、电磁防护等应符合国家标准和相关规定。
第三十四条 机房物理环境管理要求
(一)机房附近不应有污染气体、强电磁场、强震动源、强噪声源及所有危害系统正常运行的因素。
(二)机房的洁净程度必须满足主机设备制造厂家要求的工作条件,地面整洁,门窗封闭。
(三)机房必须保持清洁,设备有序,布线整齐,工具到位,资料齐全。
(四)机房重要设备必须配备UPS,保证断电情况下UPS可持续供电至少30分钟。
(五)机房的温度、湿度应符合国家相关标准。
(六)机房有足够的照明设备、通信设施和良好的防静电设施。
(七)机房必须配备灭火装置,并定期检查更新。
第三十五条 机房管理工作职责
(一)负责机房日常维护工作,定期检查和保养机房设备。
(二)负责机房设备安全管理,定期检查防火防盗防水防鼠害措施,发现问题及时处理。
(三)发生紧急情况时,应第一时间按照应急预案进行处置,并及时上报。
第三十六条 机房内部管理要求
(一)所有人员出入机房须填写《机房进出人员登记表》(附件2)。
(二)机房内严禁吸烟和使用明火。
(三)保持机房内整洁卫生。
(四)机房设备专人分工负责操作。
(五)第三方人员检修机房设备时应符合相关要求。
第三十七条 信息系统建设要求
(一)考试招生信息系统的设计、开发必须进行严格的质量控制,保证信息系统安全、可靠、高效。在系统开发前,业务管理部门应进行充分的需求调研分析,编制需求说明书。信息管理部门根据需求说明书设计系统总体方案。
(二)由各级考试招生机构自行开发的信息系统软件,应符合全省统一的信息系统技术标准,满足设计功能,接口统一。
(三)外包开发的信息系统,应审查开发单位的资质,经过相关领域技术专家论证,在掌握技术资料、性能、价格等信息之后按规定程序选择,签订合同,确保系统安全运行和后续升级维保。
第三十八条 信息系统管理要求
(一)信息系统管理实行责任制,信息管理部门要制定相应的规章制度,根据业务需要指定专人负责操作系统、应用系统和数据库的管理工作。严格审查信息管理人员资格,定期培训和考核,保持人员相对稳定。
(二)任何人不得使用未经安全测试的软件。涉密的信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。对保密数据和软件采取加密存储并分类、标识管理。
(三)加强病毒防范,定期对系统进行安全检查,发现问题及时报告并积极采取措施尽快解决。
(四)建立软件存档备份制度,系统维护前应进行数据备份。
(五)建立突发事件应急预案制度,在发生停电、网络中断、设备故障、自然灾害等情况时,应迅速启动应急预案。
第三十九条 操作系统管理工作职责
(一)对操作系统登录帐号、权限、帐号使用人进行登记分配管理。
(二)制定并实施操作系统的备份和恢复计划。
(三)管理系统资源,根据实际需要提出系统变更、升级计划。
(四)监控系统运行状况,发现不良侵入立即采取措施制止。
(五)检查系统漏洞,根据实际需要提出版本升级计划,及时安装系统补丁,并记录。
(六)检查系统CPU、内存、文件系统空间的使用情况等。
(七)检查服务器端口的开放情况。
(八)分析系统日志和告警信息,根据分析结果提出解决方案。
第四十条 应用系统管理工作职责
(一)管理和维护应用系统账户,按照工作需要分配功能和权限。
(二)做好应用系统日常运行维护工作。
(三)按照业务需求更新或升级系统功能。
(四)制定并实施应用系统的备份和恢复计划。
(五)监控系统运行状况,发现不良侵入立即采取措施制止。
第四十一条 数据库管理工作职责
(一)管理和维护数据库用户,不同业务应设置不同的用户。
(二)管理数据库系统存储空间,对数据库系统性能进行分析、监测,优化数据库的性能。必要时进行数据库空间扩容、碎片整理、重建索引等。
(三)管理和维护数据库运行情况,监测数据库对主机系统CPU、内存的占用情况;数据库告警时,检查并分析数据库系统日志,及时解决并记录日志。
(四)制定并实施数据库的备份及恢复计划,根据备份计划进行数据库数据和配置备份,并检查数据库备份是否成功。
(五)管理和维护数据库版本,按时进行升级,需要时安装数据库系统补丁,并做好记录。
第四十二条 关键事务尽量配备多人共同管理,重要岗位不可兼职。
第四章 信息管理
第四十三条 全省考试招生信息的采集、交接、处理、发布和上报,坚持统一、准确、规范、及时的原则,严格按照国家和陕西省颁布的有关规定和技术要求执行。
第四十四条 全省各级考试招生机构应严格按照全省统一的信息采集方案,认真、及时地做好各类考试招生信息采集工作,严格按程序操作,坚持信息采集考生确认制度,确保信息采集的质量。信息采集要求完整、准确、及时。
第四十五条 考试招生信息实行分类采集。主要包括网上信息采集、读卡器采集、光电阅读器采集、图像扫描采集、照相采集、摄像采集、指纹采集器采集、人工录入采集等。
第四十六条 网上信息采集
(一)网上信息采集是基于互联网或局域网,通过信息系统将零散的信息批量提取并保存到数据库的信息采集方式。
(二)网上信息采集要求:网络安全并畅通,程序合理,系统具有自动保存、校验及基本纠错功能,人员操作熟练,信息采集系统设有专门的信息采集确认机制对考生进行告知,必要时可由考试招生机构或报名点打印信息确认单由考生本人签字确认。
第四十七条 读卡器采集
(一)读卡器采集是指利用读卡器设备对卡片信息进行识别、读取的信息采集方式。
(二)读卡程序应具备实时显示读卡内容,以及查询、统计、删除、导入、导出、备份等功能;读卡器设备应由省考试管理中心会同专业机构进行测试,合格后各级考试招生机构方可使用。
第四十八条 光电阅读器采集
(一)光电阅读器采集是指利用光电阅读器设备对信息卡上的填涂信息进行读取的信息采集方式。
(二)光电阅读器采集技术要求:读卡前要认真检查调试系统和设备,由专人负责,保证不错读、不漏读;采用对照表表示含义的信息卡,使用光电阅读器录入后要打印出与代码相对应的校对表,经考生本人核对签字确认后存档;考生填涂的信息卡要由专人管理。
第四十九条 图像扫描采集
(一)图像扫描采集是指利用高速图像扫描设备对大量不可量化信息(如考生体检表、高等教育自学考试考生信息确认卡、采用网上阅卷的各科答题卡等)进行集中采集,并将其数字化的信息采集方式。
(二)图像扫描采集要在安全、保密的前提下,保证采集的图像信息完整、准确、清晰。
第五十条 照相采集
(一)照相采集是指利用具有照相功能的设备获取考生照片、试卷图像等的信息采集方式。
(二)照相采集的照片图像大小、比例、分辨率、感光度等技术参数必须符合相关规定;采集考生像片时,头部占照片尺寸的2/3,不着制式服装或白色上衣,常戴眼镜的应配戴眼镜,白色背景无边框,人像清晰,层次丰富,神态自然,无明显畸变;采集的照片信息须打印并经考生本人签字确认后方为有效。
第五十一条 摄像采集
(一)摄像采集是指利用摄像机、摄像头等具有摄像功能的设备对保密室、试题试卷分发回收场所、考场、评卷场所等监控视频信息进行采集的信息采集方式。
(二)通过摄像方式采集的视频信息应保证画面清晰、时间连续、覆盖全面,OSD菜单应使用统一的命名规则,能够准确标识监控画面的时间和地点。
第五十二条 指纹采集器采集
(一)身份证中包含指纹信息的,可以通过身份证读卡器采集指纹信息;身份证中不含指纹信息的,可以通过专用指纹采集设备采集。
(二)指纹采集应多次,选优。采集完成后应进行现场比对。
第五十三条 人工录入采集
(一)人工录入采集是指对不可量化且不便于扫描的信息采用键盘录入形式进行的信息采集方式。
(二)键盘录入软件要有录入校验功能,最大限度减少录入误差,保证信息采集准确、快速、方便。录入软件须通过测试,方可正式投入使用。人工录入采集要坚持录入、打印、校对、修改、确认的操作程序。成绩等重要信息的录入应由两人共同操作,一录一校,签字备查。同时打印录入校对单,发现错误,由专人及时更正、确认。
第五十四条 信息采集的内容包括考生基本信息、体检信息、志愿信息、答卷及成绩信息、视频信息、诚信记录信息、计划信息、录取信息、考籍及毕业信息等。
第五十五条 基本信息
(一)考生基本信息包括考生自然信息、生物识别信息、报名信息和照片图像信息等。考生自然信息、报名信息可采用网上信息采集、光电阅读器采集、图像扫描采集、人工录入采集等多种方式采集;生物识别信息可采用专用设备采集;考生照片图像信息可采用读卡器读取考生二代身份证照片或照相采集方式采集。
(二)考生自然信息、照片信息必须符合技术标准的要求,信息录入后打印,经考生本人校对无误并签字确认后存档。
(三)享受各类录取照顾政策的特殊考生信息由市级考试招生机构和有关高校提供。省考试管理中心审核、公示、使用。
第五十六条 体检信息
(一)考生体检信息可采用图像扫描方式或网上采集方式采集。
(二)图像扫描方式采集:考生体检结束后,由主检医生签署体检结论、加盖体检医院印章,县级考试招生机构检查,省考试管理中心统一组织采集;县级考试招生机构要会同体检医院制定体检信息采集与确认的目标管理责任制,保证体检信息采集的准确性和完整性;电子版体检表在信息内容上要保证与原始体检表完全一致,任何人不得擅自修改。若因特殊情况需要重新采集,须由县级考试招生机构及体检医院提供书面材料。
(三)网上采集方式采集:考生体检时,由体检医生按照系统分配的权限填写、提交体检信息,定时备份。
第五十七条 志愿信息
(一)考生志愿信息可采用考生网上填报志愿即网上信息采集方式,或使用志愿卡即光电阅读器采集方式采集。
(二)采用网上填报志愿时,应通过填报程序对考生输入的信息进行校验,确保填报规范;对报考条件有限制的应进行提示,通过技术手段防止不符合条件的考生填报;需要考生进行签字确认的,应能打印确认表,经考生签字确认后生效。
(三)采用填涂志愿卡扫描的,要指导考生根据专业目录准确查找所报志愿的代码,按照对应代码规范填涂,仔细校对,确保无误;考生志愿卡扫描后应妥善保存并备份数据。
第五十八条 答卷及成绩信息
(一)考生卷面图像信息采用图像扫描方式采集,是考生答卷的数字化形式,主要用于网上阅卷和考生答卷的存档保管;考生卷面图像信息采集工作要在安全、保密的前提下,保证采集的答卷图像信息完整、准确、清晰。
(二)网上阅卷的成绩信息由评卷教师在电子试卷的评阅过程中实时采集;系统管理员等具有较高权限账户的密码应由业务管理部门、信息管理部门和技术服务商三段录入,使用上述账户进行操作时须三方同时在场方可进行,操作内容要记录备查;网上阅卷系统所使用的考生号,须经过加密转换,其对应关系由专人管理,任何人不得越权使用和查询。
(三)自学考试网上评卷过程中使用扫描仪对考生准考证号、课程代码、课程名称、书写笔迹内容等信息进行采集,审核办理毕业证书时用于比对考生笔迹信息。
(四)使用答题卡填涂的客观题答卷信息,通过光电阅读器(OMR)采集方式采集。阅卡前应认真检查调试,保证计算机及光电阅读器等设备正常工作;标准答案与评分标准等关键信息的录入,必须由两人以上同时操作,打印、校对、签字确认生成标准答案文件;对OMR信息的识别须采用两种或两种以上不同方法进行相互确认,识别结果不符的应由多人进行人工判定,按规定签字确认;所有工作人员必须参加纪律教育和技术培训,考核通过后方可上岗工作。
(五)未采用网上阅卷的主观题部分,应采用人工录入方式采集,直接将试题分值通过键盘录入计算机。人工录入分数时,应以考场为单位,分科目登录,不得重场、漏场或错场。键盘录入软件要有校验功能,保证准确。录入软件须测试合格后方可使用。录入分数前应对工作人员进行纪律教育和技术培训,考核通过后方可上岗工作。
第五十九条 视频信息
(一)视频信息主要是指保密室、试题试卷分发回收场所、考场、评卷场所及考试管理工作过程的视频监控信息,采用摄像采集方式进行采集。
(二)视频监控录像资料必须采用专用移动硬盘存储,并按要求及时报送省考试管理中心,存储监控录像的介质内不得存放其它无关数据,监控录像资料应至少保存一年。
第六十条 诚信记录信息
(一)考生诚信记录信息可采用人工录入方式采集。
(二)考生诚信记录信息由业务管理部门提供,信息管理部门汇总处理。
第六十一条 计划信息
(一)招生计划信息是考生填报志愿的依据,课程计划信息是考生选报课程的依据,严格计划编制管理流程,确保计划信息的完整性和准确性。
(二)计划信息由业务管理部门负责采集和管理,并保证公布的计划和实际使用的计划信息数据库的一致性。
(三)公布后的计划信息如需修改或调整,由相关部门按照程序办理,及时更新相应的计划信息数据库。
第六十二条 录取信息
(一)录取信息管理是录取管理的重要内容,是录取工作顺利进行的重要保证,是录取公正、公平的重要基础。录取信息包括考生电子档案信息、档案运转信息、计划执行信息、录取结果信息和录取统计信息等。
(二)录取信息是在录取过程中由系统生成的,按照录取工作分工和岗位职责,实行严格的身份认证和权限控制。
(三)考生电子档案是招生录取专用信息,仅限于学校作为录取学生的依据。
第六十三条 考籍信息
(一)普通高中学业水平考试考籍信息采用网上信息采集方式完成,实行电子化管理,各级考试机构分级管理。
(二)自学考试档案信息实行电子化管理,省级考试机构负责管理全省自学考试在籍考生电子档案信息。市级考试机构负责管理本市(区)在籍考生电子档案(含照片)信息,及时处理考生信息修改申请,确保考生顺利参加考试、办理毕业证书。
(三)省级考试机构负责自学考试在籍考生当次考试成绩导入及归档工作,负责免考、转考以及考籍变更的审批。市级考试机构负责实践环节考核成绩录入,负责免考、转考以及考籍变更手续的录入和审核。
第六十四条 自学考试毕业信息
(一)毕业生审核工作由省、市两级考试机构、主考院校共同完成。具备毕业条件的考生,通过自学考试考务考籍管理系统提交毕业申请。
市级考试机构负责考生毕业申请的审核。省考试机构、主考院校负责毕业证书的审定,毕业证书号的生成,负责《毕业生名册》、《毕业生登记表》和《毕业证书》的打印,负责表、册、证的署印,负责毕业证书电子注册工作。
(二)主考院校依据《毕业生名册》、《毕业生登记表》和《毕业证书》审查毕业生资格。对毕业生资格有疑问者,书面向省考试机构提出意见。省、市两级考试招生机构共同复审确认。
(三)毕业生库有关信息的修正必须经省级考试机构分管领导批准。
第六十五条 各类考试招生信息实行分级管理模式。考生在信息卡上填涂或在网上填报的信息项,经考生确认后由考生本人负责;各级考试招生机构报送给上级考试招生机构的数据由本级考试招生机构负责。各级考试招生机构在规定时间内按要求逐级汇总、审核和报送有关信息,并实行负责人签名确认制度。
第六十六条 各类考试招生信息采集工作结束后,应立即对原始数据进行备份,然后才能进行复查、汇总、交接工作。数据交接时须采取只读光盘形式,由送交人填写《陕西省考试招生数据信息交接表》(附件3),并在光盘上填写数据内容并签名确认。
第六十七条 对于在陕西招生考试信息管理与服务平台各系统中运行的数据,各级考试招生机构必须在省考试管理中心规定的时间内按系统权限和功能设置完成相关操作,认真复查核对,确认准确无误后,通过系统下载本级部门所辖数据信息,确认完成数据上报。非规定时间,省考试管理中心将关闭各级考试招生机构的数据处理功能。
第六十八条 对于未在陕西招生考试信息管理与服务平台各系统中运行,由各级考试招生机构采集并处理产生的数据,如需要向省考试管理中心上报,须由市级考试招生机构以只读光盘形式上报省考试管理中心业务管理部门,并填写《陕西省考试招生数据信息交接表》(附件3)。业务管理部门在接收数据并检查无误后,将全省数据进行汇总后交信息管理部门保存。
第六十九条 各级考试招生机构和有关学校必须按各类考试规定时间和规定数据格式报送考试招生信息。各级考试招生机构向上级单位报送材料时,要注明报送时间、报送人员、并经主要领导审查签字。报送材料必须真实、准确,手续完备,不得虚报、瞒报、伪造、篡改。
第七十条 各级考试招生机构在接收下级机构报送的信息时,必须进行检查与核实,办理交接手续,对整理、汇总生成的数据应及时备份。重要数据须有两人以上共同签字验收存档。
第七十一条 省考试管理中心向教育部上报各类信息应严格按照教育部要求执行。
第七十二条 同级考试招生机构之间转入或转出考籍信息应按相关规定执行。
第七十三条 各类考试招生信息由各级考试招生机构分级管理、分级负责。考试招生数据信息处理必须严格按程序规范操作,做到有序、有据、准确、可靠,严防违规操作和信息泄密。数据处理软件要经过反复模拟测试,并有详细的使用说明。
第七十四条 各级考试招生机构和学校应采取多种手段保证计划、成绩、志愿等重要信息的采集与使用准确无误。各种数据采集、处理和使用要实行岗位责任制,关键岗位由不同人员担任,并建立监督制约机制。未经授权,任何人不得操作数据,更不允许改动、删除数据。数据更改必须填写《陕西省考试招生信息更改审批表》(附件4),报经主要领导批准,且有两名工作人员在场进行操作,更改后共同签字确认,存档备查。
第七十五条 数据采集或处理完毕后,应及时刻录光盘,分别交由业务管理部门、信息管理部门和分管领导保存。网上评卷、网上录取等重要数据每工作时段结束后都应进行数据备份和存档。
第七十六条 应做好原始数据和过程数据安全保密和备份管理工作,禁止数据信息与操作系统存储在同一硬盘分区,避免由于系统故障导致数据损坏或丢失。
第七十七条 各类考试招生数据、程序源代码及相关文档,应及时整理,长期保存。对于考生报名、成绩、志愿、录取、考籍等重要数据制作多个备份由多人分别保管,互相监督,保证数据的一致性。
第七十八条 数据确认或交接前,确认单位或送交方应认真核对。已经确认或上报的信息,如因特殊情况需要进行更改的,必须由确认单位或数据送交方写明情况,填写《陕西省考试招生信息更改审批表》(附件4),经省考试管理中心业务管理部门审查,中心领导批准同意后,信息管理部门方可更改,并存档备查。
第七十九条 各级考试招生机构应当遵循公正、安全、准确、及时、便民的原则,建立健全考试招生信息公开机制,完善各项工作制度,规范信息发布办法,按规定及时发布本辖区内考试招生信息。未经各级考试招生机构授权,任何单位及个人不得使用和发布考试招生信息。
第八十条 各级考试招生机构应加强考试招生信息发布管理,明确发布及审查的程序和责任,严格实行考试招生信息发布审批制度。各级考试招生机构对其发布的内容负责。
第八十一条 招生学校应建立考试招生信息发布机制,并对本单位发布信息的内容真实性负责。
第八十二条 需要阶段性保密的考试招生信息,在正式公布之前,按国家有关保密法规管理。
第八十三条 信息的发布以方便考生、服务考生、保护考生合法权益为原则。未经教育行政部门和物价部门批准,不得向考生收取或变相收取信息查询费用。
第五章 信息质量控制
第八十四条 各类考试招生信息系统的设计、开发、测试、运行都必须进行严格的质量控制,保证信息系统安全、可靠、高效。
第八十五条 在信息系统软件开发之前,应确定系统的整体质量目标,对系统的各项技术指标提出明确要求。
第八十六条 在软件开发过程中,应要求开发单位采用科学的软件工程方法和工具来保证所开发软件的质量;在软件开发的每个阶段结束后,应组织评审,及早发现和解决软件开发过程中可能存在的质量问题。
第八十七条 在信息系统试运行阶段,应对照系统总体设计方案和需求说明书,严格审查信息系统产品的质量是否达到技术要求标准和用户需求,并进行严格测试。对发现的问题及时处理。
第八十八条 信息系统验收时,应要求开发单位提供完整的验收资料,包括:系统总体设计方案、用户需求说明书、合同、用户使用说明书、需求分析规格说明书、设计方案、应用软件开发过程文档、系统调试报告、系统测试报告等相关文档。
第八十九条为保证验收质量,重要信息系统应由第三方机构进行独立的测试并提交报告,或者由三方共同组织测试、验收。
第九十条 对验收中发现的质量问题进行评估,根据质量问题的性质和影响范围,确定整改要求和整改后的验收方式,必要时应组织重新验收。
第九十一条 在信息系统运行过程中,应重视信息系统的运行状态,对其进行在线监控,确保系统稳定运行。
第九十二条 在信息系统运行过程中,应重视版本控制,根据实际情况及时对系统进行完善、升级。
第九十三条 在信息系统运行过程中,应重视用户培训,不断提高用户操作水平,从而有效利用系统功能,逐步提高系统运行质量,保证系统安全稳定。
第九十四条 为了保证及时准确地采集考试招生信息,必须加强信息采集过程中各环节误差的控制与管理,严格执行采集后确认,上报前复查的质量控制方法。
第九十五条 各级考试招生机构、报名点对本单位各类考试招生信息采集的质量负责,包括指导考生规范地进行网上信息填报(如网上报名、网上填报志愿)和填涂信息卡、答题卡,对各类考试招生原始信息表格(如体检表)内容的完整性进行检查,对各种基础数据库中的数据进行检查和校验等。
第九十六条 各类信息卡、答题卡须用黑色字迹的签字笔或钢笔准确规范填写,用2B铅笔规范填涂,保持卡面整洁。信息卡、答题卡的填涂要保证不漏项、不错项。各级考试招生机构、报名点要妥善保管各类考生信息卡,做到不丢失、不折叠、不污染、不受潮、不破损,确保能准确阅读和扫描。阅卡和扫描前要认真检查调试机器,由专人负责,保证不错阅、不错扫、不漏阅、不漏扫。
第九十七条 各信息采集点应采用多种方法保证信息采集完整;必须对采集到的各类信息进行验证,如身份证号的位数、校验码,出生年月的格式,各类代码是否符合代码表的要求等。
第九十八条 考生成绩等重要信息采用人工录入时必须两人共同操作,一人录入,一人校对,签字备查;每份答卷的卷首分必须由不同机组录入两次,当两次录入结果不一致时,必须按答卷核实无误后再次录入。
第九十九条 网上采集软件和人工录入软件要有录入校验功能,有效减少录入误差,确保信息采集准确。采集软件使用前必须经过测试。
第一百条 采用人工录入方式进行的信息采集要严格执行录入、打印、校对、修改、确认等工作程序,实行录入后打印,校对后签字,确认后存档,建立并不断完善信息采集确认制度。
第一百零一条 采用摄像方式进行视频信息采集的基本要求:选择符合技术标准的摄像头;摄像头安装位置合理;设备线路铺设合理;具有足够的网络带宽;具有稳压设备;配置足够的硬盘存储空间;图像清晰,储存完整;能准确标识采集视频信息的时间和地点。
第一百零二条 信息采集过程中,数据必须定时备份,并保证每天异地备份,以防数据信息丢失。
第一百零三条 数据合成和整理质量控制
(一)考试招生数据合成和整理必须严格按程序操作。数据处理软件要经过反复模拟测试,并有详细的使用说明。数据合成和整理要有序、有据、准确、可靠。
(二)考生成绩合成过程中的错误更正,须由考试招生机构和评卷点双方指定的专人负责,过程须有记录,双方签字,存档备查。
(三)成绩合成后,应根据省考试管理中心的信息标准和要求,进行认真复查和逻辑校验,准确无误后生成考生成绩库,刻录成光盘,一式三份,由考试招生机构分管领导、业务管理部门和信息管理部门分别保存。
(四)坚持对各类考试招生数据处理过程进行复查,可采取随机抽样检查方法和重点环节重新处理检查的方法,确保数据准确。重要数据实行多次检查,即由多人采用不同方法进行检查。数据检查无误后,处理人员和复查人员应签字确认备查。
第一百零四条 数据操作和保管质量控制
(一)数据操作和保管实行岗位责任制,数据由专人管理,并建立监督制约机制。数据更改必须经本级考试招生机构领导批准,且由两名工作人员共同进行操作,并对更改内容和时间签字确认,存档备查。
(二)各类考试招生信息系统在处理数据时必须有详细的日志记录,包括时间、操作人员、操作项目、IP地址、原数据、修改后数据等详细内容。在发现问题时,应可通过这些日志记录追溯错误发生的原因,并能恢复正确数据。
(三)各类考试招生数据、程序源代码及相应文档,应及时整理、备份,由专人长期保存。考生报名、成绩、志愿、考籍等重要数据应多重备份,分别保管,互相监督,保证数据的一致性。原始数据和过程数据也应进行备份。
(四)报名信息中凡考生姓名汉字在计算机字库中找不到的,应根据系统要求以两个半角字符“??”或大写拼音代替。县级以上考试招生机构应有完整正确的文字记录,并在准考证、体检表、考生录取名册等重要文本的考生姓名处,用黑色字迹钢笔或签字笔正确填写后加盖公章。
(五)考生照片图像信息一经采集,不得进行图像编辑。要保证考生照片与考生本人信息的一致性,防止利用替换照片进行冒名顶替。省、市级考试招生机构保管的考生照片图像信息要刻录光盘,长期保存备查。
第一百零五条 网上评卷信息质量控制,执行教育部、陕西省考试招生网上评卷实施细则要求。
第一百零六条 网上录取信息质量控制
(一)录取工作开始前,必须完整、准确、规范地做好数据准备工作。数据修改必须履行审批程序并在数据导入前完成,数据一经导入,原则上不再进行修改和追加操作。全部数据导入后,要与原始数据进行核对,无误后立即备份,作为录取初始数据存档,录取过程数据坚持每天定时备份,异地保管。
(二)录取工作中,在进行投档等重要操作前必须制定详细的操作方案,并由专人对数据库进行备份,备份完成后才能进行操作。
(三)录取期间要加强对机房、服务器、网络设备的安全保护,并做好各项应急预案。
(四)录取期间要加强对网络的监测,防止恶意入侵和破坏。一旦发现,立即进行处理。对造成严重后果,影响录取工作正常进行的,移交公安机关依法处理。
(五)录取期间要对所有用户行为进行记录和审计,用户要对系统日志中的操作负责。因此,用户要妥善保管自己的账号和密码,防止他人盗取密码进行操作,做到人走锁机,下班关机。
(六)录取结束后,按照教育部要求整理上报数据并备份保存。
第六章 信息安全
第一百零七条 考试招生管理信息系统属于国家事务信息系统,受国家法律保护。各类考试招生信息处理行为,包括信息采集、转移、存储、使用、销毁等活动,应遵守国家现有法律规定,不得侵害考生、学校的合法权益,不得损害国家利益和社会公共利益。
第一百零八条 信息管理要坚持安全第一的原则。各级考试招生机构要制定相应的信息管理制度,指定专门的安全管理员负责信息安全保密工作,确保各类考试招生信息的安全。
第一百零九条 采集和使用考生个人信息应明确将信息的使用目的、使用范围、公开方式等重要事项告知考生,不得收集与考试招生信息使用目的无关的信息。
第一百一十条 未经教育行政部门审定,各级考试招生机构及个人不得向第三方转移考生个人信息等考试招生敏感信息,不得超出信息采集时所告知考生的使用目的和范围加工或使用信息。
第一百一十一条 加工和使用信息注意事项
(一)避免任何对信息未经授权的访问。
(二)避免任何对信息未经授权的披露、复制、修改、删除。
(三)核实处理操作的合法性。
第一百一十二条 发生或者可能发生信息泄露、损毁、丢失时,应立即采取补救措施,防止损失扩大;造成或者可能造成严重后果的,应立即暂停信息采集和处理工作,并向主管部门报告。
第一百一十三条 各级考试招生机构应指定专人负责数据处理和安全保密工作。因工作人员玩忽职守造成数据错误、丢失,致使考试招生工作受到严重影响,或违反信息管理规定及考试招生工作纪律造成严重后果的,将视其情节轻重给予通报批评、调离信息管理工作岗位及必要的行政处分,直至追究法律责任。
第一百一十四条 对保存考试招生信息数据的计算机实行严格控制,认真落实用户识别、授权操作、上机登记等措施,防止非法侵入、改动及人为破坏和失泄密情况的发生。
第一百一十五条 工作人员计算机内的资料涉及单位秘密的,应设定开机密码并将文件加密;涉及单位秘密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。工作人员离开工作岗位时,应将其所有工作资料交还给所在部门。
第一百一十六条 各类考试招生管理信息系统及其文档,必须长期保存,使用时办理交接手续,签订保密责任书,不得擅自复制、传播。
第一百一十七条 考试招生信息数据库由系统管理员和安全管理员共同负责。系统管理员密码和安全管理员密码各自独立保管,数据服务器必须由两人以上共同管理,相互监督制约。重要信息系统的口令必须由专人管理,并定期更换。
第一百一十八条 建立和完善数据备份与恢复管理制度,制定数据备份与恢复操作规程,根据考试招生数据的重要程度合理制定备份计划并妥善保存备份数据。
第一百一十九条 系统管理员应定期对重要工作数据进行备份,并由系统管理员和安全管理员分别妥善保存;安全管理员应定期对信息系统安全情况进行检查,防止系统数据丢失、损坏以及硬件失效等情况发生。
第一百二十条 对提供在线服务的重要信息系统的数据,系统管理员应设置数据冗余并定期进行备份、定期检查备份介质,测试恢复程序,确保发生故障时能使用备份数据迅速恢复系统。对网上报名、网上填报志愿、网上评卷、网上录取等重要工作环节中产生的数据必须坚持每天进行至少两次备份,并将至少一份数据进行异地存储。历史数据应使用光盘、硬盘等介质进行多次备份,并做到异地存储、多人保管。
第一百二十一条 各级考试招生机构都应建立和完善病毒防范机制,为工作用计算机安装防病毒软件,并定期更新病毒库,发现病毒应及时处理并防止扩散。
第一百二十二条 安装软件或使用移动存储介质(U盘、移动硬盘等)前必须进行病毒检查,确认无病毒后再进行操作。
第一百二十三条 工作用计算机发现病毒后,应立即切断网络连接,使用杀毒软件进行全盘查杀,确认无病毒后才能接入网络。
第一百二十四条 对于网络系统、服务器、操作系统、数据库、应用系统、存储系统,都必须通过用户名和密码认证方可访问。
第一百二十五条 具有重要权限的帐号密码设置必须符合以下安全要求:
(一)密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容。
(二)密码长度至少是六个字符,组成上必须包含大小写字母、数字、标点等不同的字符。
(三)数据库系统、应用系统须提供密码安全周期机制,帐户密码定期修改。
(四)同一密码不得被给定账户在一年内重复使用。
(五)重要系统须提供密码安全机制,如果用户在短时间内出现多次无效登录尝试,暂时锁定其账户,身份验证无误后方可重新启用。
(六)厂商默认密码必须在软件或硬件安装调试完毕后进行修改。
第一百二十六条 密码保护与备份策略
(一)密码按照重要程度实施分级管理。
A级:核心密码,如数据库密码、安装数据库软
件的服务器操作系统密码、核心网络设备管理密码等,采用双人分段管理模式。
B级:重要密码,如业务系统管理员密码,采用在编人员专人管理模式。
C级:普通密码,如业务系统普通用户密码,采用多人共同管理模式。
(二)密码必须实施严格管理,重要系统、核心数据库密码必须由两人以上分段掌握,且其中一人为信息管理部门负责人。必须采取有效措施保护好个人密码,做好备份,确保安全保密。
第一百二十七条 各级考试招生机构应按照应用系统的重要程度、规模及面临的风险来确定合适的职责分工机制,以限制对计算机、操作系统、数据库、程序及文件的访问,减少由于个人操作所带来的潜在危害。
第一百二十八条 为保证考试招生信息的真实性和准确性,防止考试招生机构内部工作人员非法使用和恶意篡改数据,必须对信息管理关键岗位人员实施严格管理和有效约束,防止个人单独完全控制一项业务数据和流程。
第一百二十九条 考试招生信息系统管理工作关键岗位人员的职责与权限应通过规章制度加以明确,不同职责由不同人员承担,确保人员之间的工作可以相互检查和监督。对因工作需要接触秘密数据的工作人员必须签订保密协议书,对具有唯一性、关键性的业务必须配备后备人员,对关键技术、关键信息的掌握者应有相应的制约措施,关键技术有多人掌握。
第一百三十条 考试招生信息系统必须按照全面有效、及时审慎的原则设计独立的控制机制,将内部控制融合在业务流程之中。无论采取何种流程设计,都必须确保原始数据不修改,业务操作可追溯,操作结果可验证。所有操作必须记录详细日志。
第一百三十一条 考试招生数据必须实施严格的内部控制,所有对业务数据进行的操作必须通过应用系统进行;如需使用数据库管理工具对数据库进行修改操作,应严格履行审批程序,必须有信息管理部门负责人在场并记录在案。
第一百三十二条 跨系统数据交接必须采用只读光盘形式,交接双方各自保留备份。重要数据交接应向主管领导或纪检监察部门提供备份。
第一百三十三条 信息系统管理人员离岗后,应归还所有的设备、文档、数据、代码和书籍。系统管理员应及时删除离岗人员的账号和口令,修改离岗人员曾掌握的各类密码。
第一百三十四条 重要考试招生信息系统应依据《信息安全等级保护管理办法》等文件要求做好安全等级保护工作。
第一百三十五条 各级考试招生机构应做好信息系统自主定级、信息填报、系统备案、安全测评和整改等工作。
第一百三十六条 根据考试招生信息系统的使用范围和重要程度进行合理定级,一般系统应定为第二级,重要系统应定为第三级。
第七章 责任制及责任追究制
第一百三十七条 各级考试招生机构和学校要结合本地或本单位信息管理工作实际,逐级建立信息管理责任制和责任追究制。实行谁主管谁负责,层层签订责任书,明确工作责任,落实责任制和责任追究制,主要领导与分管领导,分管领导与业务管理部门负责人、信息管理部门负责人、业务工作人员、信息管理工作人员和关键岗位工作人员签订工作责任书,形成信息管理和信息安全的有效工作机制。
第一百三十八条 各级考试招生机构主要领导对本级考试招生信息管理工作负总责;分管领导是主要责任人,对分管工作负主要责任;信息管理部门负责人是第一责任人,对信息管理工作负全责,业务管理部门负责人负相应责任;信息管理人员、安全管理人员和业务工作人员是直接责任人,对本职工作负直接责任。
第一百三十九条 有下列情形之一的,追究其直接责任人和有关领导责任:
(一)信息管理工作中不履行职责的;
(二)因粗心造成工作失误或出现错误的;
(三)因主观因素造成信息泄露,篡改信息或信息造假的;
(四)发生问题后隐瞒事实或故意拖延报告的;
(五)其他违反规定应当进行责任追究的行为。
第一百四十条 对于以上情形,按情节与后果严重程度进行责任追究:
(一)情节较轻、影响较小的,对直接责任人给予告诫或批评教育,并限期改正;
(二)情节较为严重、影响大的,对其工作部门或所在考试招生机构提出批评,对有关责任人予以通报批评;
(三)情节严重、影响较大,或对社会秩序造成一定影响的,对其工作部门或所在考试招生机构给予通报批评,责令限期整改;对其主要领导给予通报批评;对直接责任人要按有关规定严肃查处。构成犯罪的,由司法机关依法处理追究刑事责任。
第八章 附 则
第一百四十一条 本实施细则由陕西省考试管理中心解释。
第一百四十二条 本实施细则自发布之日起执行,原《陕西省招生考试信息管理工作实施细则(试行)》(陕试字〔2011〕1号)同时废止。