信息系统数据安全管理办法(试行)

来源:信息技术中心日期:2023-11-15人气:44

第一章  则

第一条 为适应校园信息化发展要求,充分利用数据为学校教学、科研、管理和决策提供信息服务和技术保障,统一管控各信息系统数据,保证各类数据的完整合理,提高数据的利用效率,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数字中国建设整体布局规划》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术个人信息安全规范》(GB/T35273-2020)和教育部等七部门《关于加强教育系统数据安全工作的通知》(教科信函〔2021〕20号)等文件要求,特制定本管理办法。

第二条 信息系统数据是指学校各类信息化业务系统(以下简称信息系统)建设、使用过程中产生或获取的各类数据,但不包含《中华人民共和国保守国家秘密法》及其他各项法规规定的涉密数据(以下简称数据),是进行教育、科研、管理和决策的重要基础,必须加强管理,使数据的采集传输、日常维护、数据中心建设、数据整合、数据共享、数据决策等方面,做到可持续发展,不断提高数据的管理和使用水平。

第三条 本管理办法所涵盖的数据范畴,主要是指湖州师范学院内部的各类信息系统或相关数据管理平台对教学、科研、管理和服务等业务数据进行收集、归集、存储、加工、传输、共享、开放、利用、保护等数据管理的工作。

管理原则:

(一)统一标准原则。信息系统数据管理应符合国家、教育部、行业、学校等制定的相关标准与规范。

(二)归口管理原则。各类数据在纳入统一平台管理的基础上,按业务属性由学校各业务管理部门进行归口管理。

(三)安全共享原则。在保证数据安全的前提下,实现数据共享以及衍生数据应用服务,使数据能够满足各种业务使用需要。

(四)全程管控原则。建立数据从采集、维护、存储、归档、应用、保护的全过程管控平台和制度体系,确保数据真实、准确、完整、及时。

管理目标:

(一)确保数据完整准确。按照部门业务要求和数据质量管理规范,建立数据质量核查机制,保障数据准确、真实、完整和规范。

(二)确保数据安全可靠。按照数据安全管理规范,建立数据分级管理与备份、容灾和恢复机制;明确数据的所有权和管理权限,做好数据操作日志记录,保证数据更改可追溯;根据国家、教育部和学校的相关要求,做好数据保密安全工作。

(三)提升数据服务质量。规范数据使用,建立数据共享管理机制。全面提高数据质量和提升管理服务水平,充分发挥数据在学校发展中的重要作用。

第二章 组织机构与职责分工

第四条 学校数字化改革和网络安全工作领导小组(以下简“领导小组”)是我校信息化建设与管理工作的最高领导机构,负责政策制定、顶层设计和学校数 据管理等重大事项决策。

第五条 学校数字化改革和网络安全工作领导小组下设办公室,挂靠信息技术中心,负责信息化建设与管理的日常事务。负责协调和推动学校数据管理各项具体工作,主要包括:

1.制定信息系统数据资源的总体规划,制定和执行学校信息编码标准、技术规范、管理规程等;

2.信息系统数据中心平台软硬件建设,做好数据中心安全运维工作;

3.协助各部门做好各类数据维护和使用,统筹协调推进信息系统数据共享等工作。

第六条 按照“谁生产、谁治理、谁负责”的原则,各部门根据部门职责和业务分工,是相应数据的生产部门和权威单一来源部门,负责本部门数据的规划、生产、治理等各项数据管理工作,对数据质量负责,并按要求向公共数据中心提供权威数据。

第三章 数据中心建设

第七条 建立数据中心是实施数据整合、进行有效数据管理的基本策略。数据中心是各单位发布、访问、共享数据的工作平台。信息技术中心负责建立数据中心,主要由数据资产平台、数据治理平台、数据交换平台、数据应用平台等组成,定期从各部门集成数据信息。将各单位内自管数据、部门间共享数据、外购数据全部接入数据平台。各单位有责任支持和配合数据中心的建设工作。

第八条 信息技术中心负责数据中心管理和服务,并组织汇总各业务部门需要其他部门提供的数据,建立全校数据中心,对各种数据进行归类,对各单位需要其他部门提供的数据归纳为部门间共享数据(下称“部门间共享数据”),理顺数据来源和数据使用渠道,并分别反馈给各单位核对认可。

第九条 信息技术中心负责数据中心的运行和维护,及时进行数据的收集、清洗、整理、归档、分发、备份、恢复、共享等处理,保证数据的畅通交流、充分共享。跨业务系统的数据共享应根据需求,由信息技术中心协调共享数据资源,各业务部门有义务实时提供本部门业务系统所产生的权威数据到学校数据中心。各业务系统可以从数据中心获取到所需要的基础数据和业务变更数据。

第四章 数据分类分级

第十条 信息技术中心根据学校业务系统的类别及数据重要性和敏感性,对信息系统数据进行分类分级管理。

数据分类如下:

(一)教师类。教职工基本信息、人员招聘、入职离校、职务评聘、考核管理、培训管理、人才管理、奖惩管理、薪资管理、党团工作、出国证件管理、出国(境)出访以及离退休等相关数据。

(二)学生类。本科生、研究生、国际学生等所有与学生相关的基本信息,以及迎新、奖惩、奖学金、党团、毕业、就业、校友和生活等相关数据。

(三)教学类。本科生、研究生、国际学生等所有与学生相关的招生、学籍、教学计划、排课、选课、成绩、学位等;学生评教、教学改革、专业、课程、教学资源等相关数据。

(四)科研类。科研项目管理、合同管理、各类成果管理、科研机构管理、科研平台、科研团队、科研经费管理、科研业绩考核等相关数据。

(五)社会服务类。教育合作、教育培训、其他产学研合作、校企(政)科研机构管理、科技成果转化等相关数据。

(六)财务类。财务管理、经费管理、教职工薪资发放、学生收费信息等。

(七)资产类。采购管理、固定资产管理(含图书文献资料)、实验室管理、设备管理、房产管理、土地管理等相关数据。

(八)数字档案类。人事档案管理、学生档案管理、文件档案管理、科研档案管理等相关数据。

(九)公共类。校园一卡通、校园网络服务、门禁信息、网站信息、电子邮件、水电气能耗、车辆信息等。

(十)系统数据类。包括网络出口数据、访问数据、数据库连接数据、应用系统安全数据等实现网络连接、操作系统管理、数据库管理、应用系统功能等相关数据。

(十一)其他数据。学校日常管理产生的其他相关数据。

数据分级:基于数据重要性、敏感性、影响对象及程度确定数据等级,根据数据等级明确保护措施。

(一)第一级数据。即公开数据,是指国家、教育行业、学校公开的数据标准、代码信息,以及学校主动公开和依申请公开的行政数据和业务数据。

(二)第二级数据。即内部数据,是指不予公开,但可在一定范围内共享的数据,包括各部门、学院、附属医院和特定对象间共享的数据。按照职能收集并为教学、科研、管理决策等提供支撑的数据。

(三)第三级数据。即敏感数据,是指涉及学校秘密的相关数据,一旦遭篡改、泄露、丢失、损毁后,对学校安全或利益造成损害的数据。

(四)第四级数据。即高敏数据,是指一旦遭篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据。业务部门须根据分级要求确定数据等级,并报信息中心备案。

第五章 数据存储与维护

第十一条 信息技术中心利用学校数据中心平台,负责全校各类信息系统数据的采集、清洗、整合、归档、存储、备份、恢复、共享等工作。

十二 数据维护是指学校各部门利用相应的信息系统等数据管理平台(如各部门建设管理的信息系统、学校数据中心提供的数据接口、学校数据中心提供的数据管理平台等),根据数据归口管理权限,遵照本部门业务规范及学校信息编码标准,进行统一的数据采集录入、补充更新等操作。

十三 各部门应根据部门实际,分类制定和实施信息系统数据维护的技术性方案和操作办法。

(一)已建立信息系统的部门。提供相应信息系统的设计文档、数据字典和数据接口等资料,通过系统集成,将各类业务数据维护至学校数据中心平台。相关信息系统在变更其数据结构等操作时,须提前向信息化中心报备,避免数据混乱及服务异常。

(二)未建立业务系统的部门。数据归口管理部门应根据实际需要提出需求,联合信息化中心制定数据采集和集成的标准,依托学校数据中心平台,通过技术开发制定数据导入的接口,相关部门利用接口做好数据导入维护,逐步实现相关数据的集成。

十四 各部门进行数据维护时,建立数据审核机制,保证数据的真实、完整、规范和时效。各数据产生单位应当明确责任人,做到录入审核过程可追溯。

(一)真实:各部门应准确维护相关数据,不得随意修改、增减。

(二)完整:各部门须确保数据完整、齐全,避免数据缺失。

(三)规范:各部门在进行数据维护时须保证数据的规范可用。

(四)时效:各部门须在规定的时间内进行数据维护,确保数据与实际业务同步,防止产生无效数据、过时数据。

第十 在各类信息系统中,应严格按照岗位设置数据维护权限,规范权限的分配和管理。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。各系统用户应当定期更改自己的口令,确保数据的安全。各信息系统对数据新增、删除和修改应记录审计日志,同时提供方便简捷的日志查询功能。审计日志的访问只能是被授权的只读访问,任何人不得修改。

第六章 数据管理与使用

十六 为了保证数据管理的科学性,保证数据提供的准确性、及时性和使用的便捷性,符合安全、保密要求,必须建立、健全数据质量反馈制度,以保证数据的质量。

十七 信息技术中心负责统筹规划全校信息化数据管理工作。包括学校信息化数据资源的总体规划,数据标准、编码标准、技术规范、管理规范的制定;学校数据中心公共数据的使用、维护、存储、备份和恢复等。

十八 信息技术中心负责组织有关数据质量反馈意见的收集,数据使用部门负责提出关于数据准确性、时效操作性和一致性的意见,由信息技术中心汇总并分别送达各数据提供部门,协助和督促数据提供部门不断提高共享数据的质量,同时不断完善数据平台的性能和功能,并定期检查跟踪反馈记录。

十九 学校各单位应指定本单位数据管理的联络人和责任人,协助信息技术中心建立以业务需求为驱动,技术与业务相结合的数据管理和利用的长效工作机制,加强数据监控,及时、有效地进行信息的反馈和核查,不断提高数据质量。

二十  各业务系统产生的数据均为学校所有,任何部门无权独占。业务系统建设期间建设方需提供数据库的结构设计、表结构、数据字典、数据库管理账号及密码等。系统验收移交到用户单位后必须修改用户名密码。各业务系统数据应遵从学校统一数据标准规范设计,数据源头单位有义务确保各自所维护数据及时性和准确性,按照需求向数据中心共享数据。

二十一 信息技术中心负责建立和运营统一的数据中心管理平台,协助相关部门开展信息系统数据日常使用与管理工作。

1.建立学校公共数据中心数据存储、数据交换、数据共享平台,提高业务系统的数据集成、共享与应用水平;

2.逐步建立数据决策支持平台,为学校提高管理效率和科学决策,提供数据信息服务;

3.逐步建立分布式信息服务平台,建立面向师生个人服务的个人数据中心,全面展示师生个人在校内的工作、学习和生活等方面的数据和信息,在此基础上逐步提供各类网上办事审批业务等简化师生填表服务。

二十二 各单位需要使用数据,应向信息技术中心提出申请,信息技术中心会同数据源头单位协商后制定数据共享使用方案,明确各方责任和义务,由信息技术中心负责方案的实施,共同促进数据的高效利用。各系统数据只能与校内业务系统通过数据中心进行业务基础数据交换,未经信息技术中心审批,严禁将学校业务数据与校外系统交换。

二十三 校内各部门因工作需要须通过学校数据中心获取跨部门信息系统数据的,应根据“按需够用”原则,填报《湖州师范学院信息系统数据使用审批单》(附件1)、《湖州师范学院数据共享保密协议》(附件2),经相关数据归口管理部门审核同意后,信息技术中心根据数据处理工作量大小,在5—15 个工作日内通过数据接口或数据导出等形式提供数据。对不符合技术规范的或影响学校数据安全的或以个人(含项目组)名义申请使用数据的,信息技术中心不予提供数据。对技术条件限制等,无法按指定规格提供数据的,信息技术中心应及时反馈申请部门。

(一)数据使用单位依据职能获得的共享数据仅限内部使用,如需对外提供或发布,应当向学校数字化改革和网络安全工作领导小组提出申请,经同意后方可对外提供或发布。

数据使用单位不得超出申请范围使用共享数据,不得以任何方式用于社会有偿服务或其他商业活动,并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担相应责任。

第七章 数据安全

第二十 学校数字化改革和网络安全工作领导小组组长为学校数据安全第一责任人,各信息系统主管部门负责人为直接责任人。

第二十 信息中心负责落实数字化改革和网络安全工作领导小组关于信息系统数据安全管理的业务指导意见,协调数据管理全过程的安全保障工作,防止未经授权的数据活动,开展信息系统数据安全风险评估、安全管理审查、安全质量考核及安全宣传教育,推进常态化数据安全监管机制,建立学校数据中心数据安全日志审计机制,运用高危操作监测与预警技术,及时对发现的违规行为进行核实处置,建立《数据安全事件应急预案》(附件 3),定期开展应急演练。按照信息安全等级保护要求,建立相应的安全管理技术方案,并负责学校数据中心安全的软硬件建设,逐步建立数据容灾备份中心,为信息系统数据安全管理提供系统支撑。

第二十 各信息系统管理部门应建立和严格执行信息系统安全运行、数据维护流程等制度,明确责任人,开展数据风险评估,落实安全管理责任制,按照网络安全等级保护制度,从技术和管理的各个层面执行数据安全管理制度,提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。定期开展数据安全检查并做好检查记录,配合开展网络信息安全漏洞排查工作。建立数据访问权限运行管理机制,做好数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等申请审批、执行和记录工作,严格落实数据访问权限的时效性管理,加强高 风险数据操作权限管理。信息系统应保留至少六个月的日志信息,信息系统的所有操作都要作为日志信息予以存储。日志信息的访问只能被授权的对象只读访问,任何人不得修改。

第二十 建立健全数据脱敏脱密处理机制,确需在非 密环境下使用的涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。

第二十 各信息系统后台管理权限配置,应严格按照“按需够用”原则进行授权,确保管理用户仅限查阅或操作与岗位职责相关的数据和业务。各部门使用信息系统数据时,应加强数据管理和使用人员的信息安全教育,应注意保护师生个人隐私和学校业务数据。未经批准,任何单位和个人不得擅自将获得的数据公开、转给他人使用或用于申请授权范围以外的用途。业务部门因开发对接需要,把数据接口密钥信息交给第三方时,必须与第三方签订网络安全保障与信息保密协议。

第二十 注销的信息化系统或报废的存储设备,应确保承载的信息数据被彻底或有效删除且无法通过任何手段恢复,方可进行注销或报废处理。

章 数据监督

十条 各部门及个人违反本办法规定,有下列情形之一的,由信息技术中心根据实际情况责令限期改正。造成严重不良后果的,由领导小组按照相关规定予以追责:

(一)未按规定开放或使用数据的;

(二)未按规定随意采集数据,扩大数据采集范围,造成重复采集数据,引起师生投诉的;

(三)提供数据目录和数据内容的质量不达标的,或未按照规定时限发布、更新数据目录和数据内容的;

(四)数据使用管理失控,致使出现滥用、盗用及泄漏的;

(五)未经授权,擅自将学校数据用于本部门履行职责所需范围以外的,或擅自转让给第三方的,或利用学校数据开展经营性活动的。

 对于违反法律、法规和学校相关规定,擅自泄露或篡改信息系统中的数据,且将数据信息用于申请用途以外的活动,造成国家、学校和个人损失的,学校将视情节轻重依法依规追究相关单位及个人的责任。

章 附则

    第 本办法由信息技术中心负责解释。

    第 本办法经自印发之日起施行。