第一章 总则
第一条 为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求,规范数据管理工作,保障数据安全,促进数据开放共享,发挥数据价值,以数据赋能助力学校治理体系和治理能力现代化,特制定本细则。
第二条 本细则所指的数据是皇冠welcome体育校属各部门履行教学管理、科研管理、行政管理等职责过程中生产和使用的各类信息化数据,包括但不限于系统研发、运维服务等过程中生成和使用的数据,主要为结构化数据(如数据库表等)和非结构化数据(如图表文件等)。涉及国家秘密信息的数据,应当遵守保密法律法规,不适用于本细则。
第三条 数据管理包括对上述数据的采集、传输、存储、共享、应用等管理,数据分类分级、质量管理、安全监督及相关标准规范和规章制度建设。
第二章 组织机构与职责
第四条 皇冠welcome体育网络安全和信息化领导小组是全校数据管理工作的决策机构,负责全校数据管理工作的顶层规划。其具体工作由学校网络安全和信息化领导小组办公室(挂靠信息化建设管理处)落实。
第五条 信息化建设管理处负责制定数据管理规范、数据标准、编码标准、技术规范等规章制度;负责建立校级数据中心和数据共享平台,负责公共数据的采集、使用、维护、存储、备份和恢复等;负责提供数据共享服务和技术支持;负责部署相应的安全技术保障措施;负责组织开展数据安全风险评估和安全管理审查等。
第六条 校属各部门承担本部门范围内的数据管理,应指定本部门数据管理工作的分管责任领导和管理员。
第七条 数据管理涉及的校属各部门根据数据职能分为:数据管理部门、数据生产部门、数据使用部门。其中,数据管理部门指对数据管理和数据服务提供技术支撑和保障的部门;数据生产部门是指根据职能产生某类数据的部门,是该类数据的唯一权威来源;数据使用部门指因履行职责需要申请使用数据的部门。
第三章 数据质量
第八条 数据质量管理是指通过技术手段保证数据在全生命周期管理的过程中的准确性、完整性所实施的全部措施。
第九条 遵循“谁生产,谁负责”的原则,数据生产部门承担本单位相关数据资源的完整性、一致性、及时性、重复性、准确性和可用性等质量责任,负责对数据质量进行提升和优化。
第十条 遵循“谁使用,谁反馈”的原则,数据使用部门对获取的共享数据,在使用过程中有疑义(是否及时、完整、规范等)或发现有明显错误的数据质量问题,应及时将意见和建议反馈数据管理部门。
第十一条 数据管理部门负责对数据质量进行安全监管;负责收集数据质量反馈意见,追溯数据源头并送达数据生产部门,协调和督促数据生产部门进行数据质量整改。负责核对数据质量问题,定期检查跟踪反馈记录,形成数据质量报告。
第四章 数据分类分级
第十二条 数据分类指根据数据的属性或特征,将数据按一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程。数据分级是根据数据重要性及敏感性高低对数据资源进行等级划分的过程。
第十三条 按照数据主题和数据服务进行分类,将数据资源分为以下大类:基础数据、教工数据、学生数据、教学管理、科研管理、财务管理、资产管理、办公管理和公共服务。
第十四条 根据不同类别数据遭篡改、破坏、泄露和非法利用后,可能带来潜在的影响,将数据分为第一级数据、第二级数、第三级数据、第四级数据、第五级数据等5个级别,具体情况详见表1。
等级 |
危害程度 |
敏感程度 |
是否开放(查询) |
是否共享(同步) |
一 |
无 |
无 |
完全开放 |
完全共享 |
二 |
轻微危害 |
低 |
校内完全开放 |
校内完全共享 |
三 |
一般危害 |
中等 |
校内授权开放 |
校内有条件共享 |
四 |
严重危害 |
高 |
严格控制开放 |
严格控制共享 |
五 |
灾难危害 |
最高 |
不开放 |
不共享 |
表1 数据分级详细情况表
第十五条 数据管理部门负责制定学校信息标准和编码标准以及分类分级制度,负责指导、协调数据生产部门、数据使用部门根据学校标准制度和实际情况,开展数据分类分级工作。
第十六条 数据生产部门在系统数据发生重大变更时,应及时向数据管理部门提交申请,更新分类分级结果。
第五章 数据共享
第十七条 数据共享指通过数据开放服务平台向校属各部门提供数据资源的服务。
第十八条 数据资源是学校公共资源,所有权和使用权归学校所有,数据共享原则上必须通过学校数据平台进行。校属各部门在履行职责过程中各负其责,在确保数据安全的前提下,实行以充分共享为原则。
第十九条 数据共享类型分为无条件共享、有条件共享、不予共享三种类型,由数据管理部门和数据生产部门共同商议确定数据共享类型。(一)无条件共享类:符合法律法规和学校规章制度确定的,数据生产部门明确可以共享的基础性数据。无需数据生产部门授权,经数据管理部门审核可共享的数据资源。(二)有条件共享类:内容涉及业务系统的重要数据和敏感数据,且只能按照特定模式提供给数据使用部门的数据,需经数据生产部门审核授权的数据资源。(三)不予共享类:有法律法规、学校规章制度或其他依据明确规定不允许共享的数据资源。
第二十条 数据生产部门不得单独向数据使用部门直接提供数据,已建成的需进行资源整合,避免存在冗余共享通道。
第二十一条 数据使用部门向数据管理部门申请数据,并依据规定流程获得数据使用权;数据使用部门对获取的数据,不得重复维护,不得以任何形式篡改、泄露、滥用、转让、损毁数据。
第二十二条 数据生产部门和数据使用部门的数据共享执行情况作为信息化项目立项和验收的重要依据。
第六章 数据安全
第二十三条 健全数据安全管理工作制度。数据管理部门定期组织开展数据安全培训教育,提高数据安全管理人员的防范意识及安全技能。数据生产部门对负责数据进行定期巡检、对数据和数据日志进行备份和恢复,确保数据安全可靠。任何部门、个人不得窃取或者其他非法方式获取数据,应当采取合法、正当方式。
第二十四条 加强安全和保密意识。校属各部门应提高本部门人员数据安全意识,加强对数据使用、维护等相关工作人员的数据安全教育,严禁在未按规定授权的情况下委托他人以本人的账号录入或修改数据。校属各部门委托第三方公司开发应用系统使用学校数据资源时,必须和该公司签署数据保密协议。
第二十五条 构建技术防护体系。在校园网络出入口、数据中心、重要信息系统等重要节点,安装必要的安全防御检测工具,进行实时监测和定期扫描,发现异常情况及时防范处理并逐级报告。同时做好数据备份、恢复、定期演练、安全审计等工作,保障数据安全。
第二十六条 预防为主、强化保障。坚持事件处置和预防工作相结合,做好学校数据安全事件预防、预判、预警工作,加强学校数据安全应急支撑保障能力建设。
第七章 附 则
第二十七条 本细则由信息化建设管理处负责解释,自发布之日起施行。