第一章 总 则
第一条 为适应学校信息化发展要求,充分利用数据为学校教学、科研、管理和决策提供信息服务和技术保障,统一管控各信息系统数据,保证各类数据的完整合理,提高数据的利用效率,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数字中国建设整体布局规划》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术个人信息安全规范》(GB/T35273-2020)和教育部等七部门《关于加强教育系统数据安全工作的通知》(教科信函〔2021〕20号)等文件要求,特制定本管理办法。
第二条 信息系统数据是指学校各类信息化业务系统(以下简称信息系统)建设、使用过程中产生或获取的各类数据(以下简称数据)。
第三条 本管理办法所涵盖的数据安全管理,主要是指信息系统对教学、科研、管理和服务等业务数据进行收集、归集、存储、加工、传输、共享、开放、利用、保护等数据管理的工作。
管理原则:
1. 统一标准原则。信息系统数据管理应符合国家、教育部、行业、学校等制定的相关标准与规范。
2. 归口管理原则。各类数据在纳入统一平台管理的基础上,按业务属性由学校各业务管理单位进行归口管理。
3. 安全共享原则。在保证数据安全的前提下,实现数据共享以及衍生数据应用服务,使数据能够满足各种业务使用需要。
4. 全程管控原则。建立数据从采集、维护、存储、归档、应用、保护的全过程管控平台和制度体系,确保数据真实、准确、完整、及时。
管理目标:
1. 确保数据完整准确。按照各单位业务要求和数据质量管理规范,建立数据质量核查机制,保障数据准确、真实、完整和规范。
2. 确保数据安全可靠。按照数据安全管理规范,建立数据分级管理与备份、容灾和恢复机制;明确数据的所有权和管理权限,做好数据操作日志记录,保证数据更改可追溯;根据国家、教育部、浙江省教育厅和学校的相关要求,做好数据保密安全工作。
3. 提升数据服务质量。规范数据使用,建立数据共享管理机制,全面提高数据质量和提升管理服务水平,充分发挥数据在学校发展中的重要作用。
第二章 组织机构与职责分工
第四条 学校数字化改革和网络安全工作领导小组(以下简称领导小组)是我校信息化建设与管理工作的最高领导机构,负责政策制定、顶层设计和学校数据管理等重大事项决策。
第五条 信息技术中心在领导小组的领导下负责协调和推动信息系统数据管理各项具体工作,主要包括:
1. 制定数据中心数据资源的建设方案,执行学校信息编码标准、技术规范、管理规程等;
2. 建设数据中心软硬件平台,做好数据安全运维工作;
3. 协助各二级单位做好各类数据维护和使用,统筹协调推进信息系统数据共享等工作。
第六条 按照“谁生产、谁治理、谁负责”的原则,各二级单位根据单位职责和业务分工,是相应数据的生产者和权威单一来源,负责本单位数据的规划、生产、治理等各项数据管理工作,对数据质量负责,并按要求向数据中心提供权威数据。
第三章 数据中心建设
第七条 数据中心是各单位发布、访问、共享数据的工作平台,主要由数据资产平台、数据治理平台、数据交换平台、数据应用平台等组成。信息技术中心负责建立数据中心,定期从各二级单位集成数据信息,将自管数据、部门间共享数据、外购数据全部接入数据中心平台,各单位有责任支持和配合数据中心的建设工作。
第八条 信息技术中心负责数据中心的管理和服务,对各种数据进行归类,对各单位需要其他单位提供的数据归纳为单位间共享数据,理顺数据来源和数据使用渠道,并反馈给各单位核实。
第九条 信息技术中心负责数据中心的运行和维护,及时进行数据的收集、清洗、整理、归档、分发、备份、恢复、共享等处理,保证数据的畅通交流、充分共享。信息技术中心协调跨业务系统的数据共享,各单位有义务向学校数据中心提供本单位业务系统所产生的权威数据。各业务系统可以从数据中心获取所需要的基础数据和业务变更数据。
第四章 数据分类分级
第十条 信息技术中心根据学校业务系统的类别及数据重要性和敏感性,对信息系统数据进行分类分级管理。
数据分类:
1. 教师类。教职工基本信息、人员招聘、入职离校、职务评聘、考核管理、培训管理、人才管理、奖惩管理、薪资管理、党团工作、出国证件管理、出国(境)出访以及离退休等相关数据。
2. 学生类。本科生、研究生、国际学生、继续教育学生等所有与学生相关的基本信息,以及迎新、奖惩、奖学金、党团、毕业、就业、校友和生活等相关数据。
3. 教学类。本科生、研究生、国际学生、继续教育学生等所有与学生相关的招生、学籍、教学计划、排课、选课、成绩、学位等;学生评教、教学改革、专业、课程、教学资源等相关数据。
4. 科研类。科研项目管理、合同管理、各类成果管理、科研机构管理、科研平台、科研团队、科研经费管理、科研业绩考核等相关数据。
5. 社会服务类。教育合作、教育培训、其他产学研合作、校企(政)科研机构管理、科技成果转化等相关数据。
6. 财务类。财务管理、经费管理、教职工薪资发放、学生收费信息等相关数据。
7. 资产类。采购管理、固定资产管理(含图书文献资料)、实验室管理、设备管理、房产管理、土地管理等相关数据。
8. 数字档案类。人事档案管理、学生档案管理、文件档案管理、科研档案管理等相关数据。
9. 公共类。校园一卡通、校园网络服务、门禁信息、网站信息、电子邮件、水电气能耗、车辆信息等相关数据。
10. 系统数据类。包括网络出口数据、访问数据、数据库连接数据、应用系统安全数据等实现网络连接、操作系统管理、数据库管理、应用系统功能等相关数据。
11. 其他数据。学校日常管理产生的其他相关数据。
数据分级:基于数据重要性、敏感性、影响对象及程度确定数据等级,根据数据等级明确保护措施。
1. 第一级数据。即公开数据,是指国家、教育行业、学校公开的数据标准、代码信息,以及学校主动公开和依申请公开的行政数据和业务数据。
2. 第二级数据。即内部数据,是指不予公开,但可在一定范围内共享的数据,包括各部门、学院、附属医院和特定对象间共享的数据。按照职能收集并为教学、科研、管理决策等提供支撑的数据。
3. 第三级数据。即敏感数据,是指涉及学校秘密的相关数据,一旦遭篡改、泄露、丢失、损毁后,对学校安全或利益造成损害的数据。
4. 第四级数据。即高敏数据,是指一旦遭篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据。
第五章 数据存储与维护
第十一条 信息技术中心利用学校数据中心平台,负责全校各类信息系统数据的采集、清洗、整合、归档、存储、备份、恢复、共享等工作。
第十二条 数据维护是指学校各二级单位利用相应的数据管理平台(如各单位建设管理的信息系统、学校数据中心提供的数据接口、学校数据中心提供的数据管理平台等),根据数据归口管理权限,遵照本单位业务规范及学校信息编码标准,进行统一的数据采集录入、补充更新等操作。
第十三条 各二级单位应根据实际,在信息技术中心协助下分类制定和实施信息系统数据维护的技术性方案和操作办法。
1. 已建立信息系统的单位:提供相应信息系统的设计文档、数据字典和数据接口等资料,通过系统集成,将各类业务数据维护至学校数据中心平台。相关信息系统在变更其数据结构等操作时,须提前向信息技术中心报备,避免数据混乱及服务异常。
2. 未建立信息系统的单位:数据归口管理部门应根据实际需要提出需求,联合信息技术中心制定数据采集和集成的标准,依托学校数据中心平台,通过技术开发制定数据导入的接口,相关单位利用接口做好数据导入维护,逐步实现数据的集成。
第十四条 各单位进行数据维护时,应建立数据审核机制,保证数据的真实、完整、规范和时效。各数据产生单位应当明确责任人,做到录入审核过程可追溯。
1. 真实:各单位应准确维护相关数据,不得随意修改、增减。
2. 完整:各单位须确保数据完整、齐全,避免数据缺失。
3. 规范:各单位在进行数据维护时须保证数据的规范可用。
4. 时效:各单位须在规定的时间内进行数据维护,确保数据与实际业务同步,防止产生无效数据、过时数据。
第十五条 各类信息系统应严格按照岗位设置数据维护权限,规范权限的分配和管理。严禁在未授权的情况下委托他人以本人的账户和口令进行数据录入和修改。各信息系统用户应当定期更改口令,确保数据的安全。各信息系统对数据新增、删除和修改应记录审计日志,同时提供方便简捷的日志查询功能。审计日志的访问只能是被授权的只读访问,任何人不得修改。
第六章 数据管理与使用
第十六条 为了保证数据管理的科学性,保证数据提供的准确性、及时性和使用的便捷性,符合安全、保密要求,必须建立、健全数据质量反馈机制。
第十七条 信息技术中心负责统筹规划信息系统的数据管理,包括信息系统数据资源的总体规划,数据标准、编码标准、技术规范、管理规范的制定,学校数据中心公共数据的使用、维护、存储、备份和恢复等。
第十八条 信息技术中心负责组织有关数据质量反馈意见的收集,数据使用部门负责提出相关意见,由信息技术中心汇总并分别送达各数据提供部门,协助和督促数据提供部门不断提高共享数据的质量,同时不断完善数据平台的性能和功能,并定期检查跟踪反馈记录。
第十九条 学校各二级单位应指定本单位数据管理的责任人和信息员,协助信息技术中心建立以业务需求为驱动,技术与业务相结合的数据管理长效工作机制,加强数据监控,及时、有效地进行信息的反馈和核查,不断提高数据质量。
第二十条 各业务系统产生的数据均为学校所有,任何单位无权独占。业务系统建设期间建设方需提供数据库的结构设计、表结构、数据字典、数据库管理账号及密码等。系统验收移交到用户单位后必须修改用户名密码。各信息系统数据应遵从学校统一数据标准规范设计,数据源头单位有义务确保各自所维护数据的及时性和准确性,按照需求向数据中心共享数据。
第二十一条 信息技术中心负责协助各单位开展信息系统数据日常使用与管理工作。
1. 建立学校数据存储、数据交换、数据共享平台,提高业务系统的数据集成、共享与应用水平;
2. 逐步建立数据决策支持平台,为学校提高管理效率和科学决策,提供数据信息服务;
3. 逐步建立分布式信息服务平台,建立面向师生个人服务的个人数据中心,全面展示师生个人在校内的工作、学习和生活等方面的数据和信息,在此基础上逐步提供各类网上办事审批业务等简化师生填表服务。
第二十二条 各二级单位需要使用数据,应向信息技术中心提出申请,信息技术中心会同数据源头单位协商后制定数据共享使用方案,明确各方责任和义务。各系统数据只能与校内业务系统通过数据中心进行业务基础数据交换,未经审批,严禁将学校业务数据与校外系统交换。
第二十三条 校内各单位因工作需要须通过学校数据中心获取跨单位信息系统数据的,应根据“按需够用”原则,填报《信息系统数据使用审批单》(附件),签订《信息系统数据共享保密协议》,经相关数据归口管理单位审核同意后,信息技术中心根据数据处理工作量大小,在15 个工作日内通过数据接口或数据导出等形式提供数据。对不符合技术规范的或影响学校数据安全的或以个人(含项目组)名义申请使用数据的,信息技术中心不予受理。对于技术条件限制等无法按指定规格提供数据的情况,信息技术中心应及时反馈申请部门。
1. 数据使用单位依据职能获得的共享数据仅限内部使用,如需对外提供或发布,应当向领导小组提出申请,经同意后方可对外提供或发布。
2. 数据使用单位不得超出申请范围使用共享数据,不得以任何方式用于社会有偿服务或其他商业活动,并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担相应责任。
第七章 数据安全
第二十四条 学校数字化改革和网络安全工作领导小组组长为学校数据安全第一责任人,各信息系统主管部门负责人为直接责任人。
第二十五条 信息技术中心负责落实领导小组关于信息系统数据安全管理的业务指导意见,协调数据管理全过程的安全保障工作,防止未经授权的数据活动。按照信息安全等级保护要求,建立相应的安全管理技术方案,并负责学校数据中心安全工作的软硬件建设,为信息系统数据安全管理提供系统支撑。
第二十六条 各信息系统管理部门应建立和严格执行信息系统安全运行、数据维护流程等制度,明确责任人。定期开展数据安全检查并做好检查记录,配合开展网络信息安全漏洞排查工作。信息系统应保留至少六个月的日志信息,信息系统的所有操作都要作为日志信息予以存储。日志信息的访问只能授权只读访问,任何人不得修改。
第二十七条 建立健全数据脱敏脱密处理机制,对确需在非密环境下使用的涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
第二十八条 各信息系统后台管理权限配置,应严格按照“按需够用”原则进行授权,确保管理用户仅限查阅或操作与岗位职责相关的数据和业务。各单位使用信息系统数据时,应加强数据管理和使用人员的信息安全教育,应注意保护师生个人隐私和学校业务数据。未经批准,任何单位和个人不得擅自将获得的数据公开、转给他人使用或用于申请授权范围以外的用途。各单位因开发对接需要,把数据接口密钥信息交给第三方时,必须与第三方签订《网络安全保障与信息保密协议》。
第二十九条 注销的信息化系统或报废的存储设备,应确保承载的信息数据被彻底或有效删除且无法通过任何手段恢复,方可进行注销或报废处理。
第八章 数据监督
第三十条 各单位及个人违反本办法规定,有下列情形之一的,由领导小组根据实际情况责令限期整改。造成严重不良后果的,按照相关规定予以追责:
1. 未按规定开放或使用数据的;
2. 未按规定随意采集数据,扩大数据采集范围,造成重复采集数据,引起师生投诉的;
3. 提供数据目录和数据内容的质量不达标的,或未按照规定时限发布、更新数据目录和数据内容的;
4. 数据使用管理失控,致使出现滥用、盗用及泄漏的;
5. 未经授权,擅自将学校数据用于本单位履行职责所需范围以外的,或擅自转让给第三方的,或利用学校数据开展经营性活动的。
第三十一条 对于违反法律、法规和学校相关规定,擅自泄露或篡改信息系统中的数据,且将数据信息用于申请用途以外的活动,造成国家、学校和个人损失的,学校将视情节轻重,依法依规追究相关单位及个人的责任。
第九章 附 则
第三十二条 本办法自印发之日起施行。
第三十三条 本办法由校行政负责解释,信息技术中心具体承办。