第一章 总则
第一条 为有力推进学校数字化改革、“智慧工大”建设,加强学校信息系统数据的规范管理、互联互通与共享开放,发挥数据资源在学校事业发展中的重要作用,提高学校公共服务水平和综合治理能力,根据《教育部等七部门关于加强教育系统数据安全工作的通知》(教科信函〔2021〕20 号)和《浙江省教育数据暂行管理办法》等相关文件精神和法律法规规定,结合学校实际,特制定本办法。
第二条 本办法所称数据是指各部门(单位)信息系统在履行教学管理、科研管理、行政管理等职责过程中直接产生或通过第三方采集获取的、依法授权管理使用的各类业务数据资源,包括但不限于:信息系统运行所必须采集的数据,信息系统运行产生的业务数据、网站数据和日志、教学资源数据等。
第三条 本办法所称数据管理是指对上述数据的采集、存储、共享、使用、质量管理、安全管理等,信息系统数据实行分类分级管理。
第四条 数据管理涉及的部门主体分为数据管理领导机构、数据管理部门、数据生产部门和数据消费部门。
第五条 数据管理应遵循以下原则:
(一)统一规范管理。全校信息系统数据应集中统一管理,具备规范标准,保障安全,推动共享;各部门(单位)应按规范标准提供数据,确保数据真实性、准确性、完整性、及时性,并合理合规使用数据。
(二)权威数据来源。学校确定数据的权威来源,各部门(单位)按照“一数一源,一次采集,多次使用”的原则,进行数据采集、存储、共享和使用。
(三)保障数据安全。各部门(单位)需建立从数据采集、处理到使用的全过程管控体系,建立日志管理、数据备份、容灾机制,制定完整的数据安全管理规范和监督核查管理规范,落实安全责任到人,防止信息篡改,预防信息泄露,保障数据资源安全。
(四)提高共享能力。数据是学校公共资源,所有权和使用权归学校所有;各部门(单位)应在保证数据安全的前提下,实行“以充分共享为原则,不共享为例外”的授权共享机制,提高各类信息系统数据的共享互通能力,促进学校信息系统的整体发展。
第六条 所有部门(单位)和个人应严格遵循数据管理要求,合理使用数据,不得利用数据从事危害学校利益、部门(单位)利益和他人合法权益的活动,不得侵犯师生员工和校友个人隐私、个人信息权益。
第二章 组织机构及职责
第七条 学校数字化改革工作领导小组办公室(以下简称 “数改办”)是数据管理领导机构,其职责包括:
(一)负责审议信息系统数据管理的相关政策与制度。
(二)负责审议信息系统数据标准规范与公共数据资源目录,根据“一数一源”原则,确定数据权威来源。
(三)负责确定信息系统数据管理的战略方向,审议总体规划、重大问题和重大决策。
第八条 信息化办公室(以下简称“信息办”)是数改办领导下的数据管理部门,其职责包括:
(一)负责制订信息系统数据管理的相关政策,完善相关制度。
(二)负责数据的统一规划、统一建设、统一管理。
(三)负责编制学校信息系统数据标准规范,包括编码标准、语言标准、处理标准、共享标准等。
(四)根据审批规则,统一为数据消费部门提供共享数据。
(五)负责学校数据中心安全保障工作,组织开展数据安全宣传教育,指导各部门(单位)信息系统的数据安全管理工作。
第九条 数据权威来源部门(单位)是数据生产部门,是本部门(单位)信息系统数据管理的责任主体,遵循“谁建设,谁提供,谁负责”的原则,负责本部门(单位)信息系统数据的全周期管理,其职责包括:
(一)负责本部门(单位)信息系统数据采集、加工与维护,明确数据管理责任人,指定专人作为数据管理员,确保数据的真实性、准确性、完整性、及时性。
(二)负责本部门(单位)信息系统数据与学校数据中心的对接与互通。
(三)负责本部门(单位)数据安全管理,制定相应的数据安全管理规定或办法。
第十条 数据使用部门(单位)是数据消费部门,合理合规使用数据,其职责包括:
(一)向数据管理部门提出数据使用申请,按照规定的流程,获得数据的使用权。
(二)严格遵守数据保密规范,并保证数据用途与申请用途一致。
(三)负责保障数据在使用过程中的安全性,不得将数据传播给第三方使用。
第十一条 学校全体师生和校友应按照学校有关信息系统数据管理要求,及时录入和更新维护本人数据,及时报告问题数据。
第三章 部门(单位)信息系统数据管理
第十二条 数据采集。学校各部门(单位)在信息系统建设时必须严格按照学校数据中心的数据标准进行数据采集,保证信息系统数据的真实性、完整性、准确性和时效性;凡属于学校公共数据资源目录已有数据,优先通过共享渠道获取,不得重复采集。
第十三条 权限管理。各部门(单位)应按照“最小必要”原则明确信息系统数据录入、查看、修改和删除等权限,采用身份认证、访问控制等技术措施,防止未经授权的数据活动,实现数据管理、使用和安全审计的权限分离。
第十四条 数据共享。各部门(单位)信息系统数据仅对校内各部门(单位)共享,不向任何个人或校外单位开放;信息系统数据根据其共享条件分为无条件共享数据、有条件共享数据和不予共享数据三个等级,具体如下:
(一)无条件共享数据:是指无需数据生产部门授权,经数据管理部门审核后,可提供给所有数据消费部门直接共享使用的数据资源。
(二)有条件共享数据:是指经数据生产部门授权,经数据管理部门审核后,可提供给数据消费部门共享使用的数据资源。
(三)不予共享数据:是指不宜提供给所有数据消费部门共享使用的数据资源;凡列入不予共享类的数据资源,必须有校级发文或国家相关法律法规等依据。
第四章 学校数据中心数据管理
第十五条 学校数据中心是学校各类数据资源建设的主要载体,提供数据标准管理、数据使用管理等服务,是学校唯一的数据共享、数据交换、数据服务提供平台,未经允许不得在各部门(单位)信息系统之间进行数据交互。
第十六条 公共数据资源目录是学校数据中心提供给学校各信息系统和全校师生、校友共享的开放数据索引;数据管理部门定期公布公共数据资源目录,明确公开和共享的数据内容和范围。
第十七条 数据生产部门必须按学校数据中心的数据标准做好数据接口,提供数据资源;学校数据中心根据公共数据资源目录对各部门(单位)信息系统提供的数据进行归集操作。
第十八条 数据消费部门原则上需通过学校数据中心提供的对接方式使用共享数据,鼓励通过在线接口和“用而不存”的方式使用数据;数据消费部门应遵守数据管理部门和数据生产部门的防护要求,并接受数据管理部门和数据生产部门的监督,严格按照申请的用途进行数据利用,不得以直接或间接等方式将信息系统数据提供给任何第三方,也不得将数据用于或变相用于其他非法目的,违者追究相应责任。
第十九条 学校各部门(单位)、全体师生和校友应依法依规使用信息系统提供的数据,不得采用非法手段获取本人使用权限之外的各类数据;在使用数据过程中如有违反法律法规或规章制度的情况,依法追究相关法律责任。
第二十条 鼓励学校各部门(单位)利用学校数据中心在人才培养、科学研究、学科建设、校务治理等领域开展数据分析与应用,各部门(单位)可向数据管理领导机构提出数据开发申请,数据管理部门提供必要的技术支撑。
第五章 数据质量和安全管理
第二十一条 数据质量监督。数据质量是工作质量的重要指标之一,数据管理部门有权对各部门(单位)信息系统数据质量进行监督,对数据质量存在问题的信息系统提出整改要求;数据生产部门应及时处理来自数据管理部门的整改要求;整改不到位、逾期未改或拒不整改的,将予以通报。
第二十二条 问题数据处理。学校各部门(单位)和全体师生在使用过程中,如对数据有疑义或发现数据错误,可通过学校数据中心提供的问题数据申报渠道及时进行报告;数据管理部门负责在学校数据中心建立问题数据变更流程,处理问题数据申报并及时反馈给数据生产部门;数据生产部门应及时接收来自学校数据中心的问题数据变更流程的审核申请,按数据变更规范化流程进行数据变更审核确认。
第二十三条 数据安全保障。数据生产部门对本部门信息系统数据负安全责任,明确数据维护责任人、权限和具体职责,制定和执行数据质量管理规范,规范数据维护操作程序,定期更改系统认证口令,定期清查弱口令,严禁在未按规定授权的情况下委托第三方进行数据维护,确保学校数据安全;因系统故障、误操作等原因导致数据维护重大问题的,应及时向数据管理部门报告,以便及时处理。
第二十四条 敏感信息管理。数据生产部门需要收集必要的个人信息的,在收集个人信息时应当遵守《中华人民共和国个人信息保护法》等相关法律法规;因工作需要收集个人敏感信息(如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息),须向当事人告知收集个人敏感信息的必要性以及对个人权益的影响并取得本人同意。各部门(单位)对重要敏感数据,特别是师生和校友个人信息的存储应进行加密,对重要敏感数据的使用应进行脱敏,相关要求按《信息安全技术网络安全等级保护基本要求》二级(含)以上规定执行。
第二十五条 存储传输管理。各部门(单位)在数据存储传输过程中,应当制定数据存储传输、备份恢复的安全策略;存在敏感数据的存储空间被释放或重新分配前应确保得到完全清除,保证数据安全。
第二十六条 安全事件报告。学校各部门(单位)应提高本部门(单位)人员数据安全意识,加强对数据管理全流程相关工作人员的数据安全教育和培训。各部门(单位)信息系统数据发生泄露、破坏等数据安全事件须纳入学校校园网络与信息安全应急预案,发生数据安全事件应按规定及时告知用户并向数据管理部门报告;如属于信息系统违法犯罪案件,在报数据管理部门后,在 24 小时内经学校保卫处向当地公安机关报告。
第六章 附则
第二十七条 学校各部门(单位)管理的涉密、敏感类数据,依照有关保密管理规定执行。
第二十八条 学校各部门(单位)可在本办法及学校相关数据标准规范框架下,制定或调整本部门(单位)的数据管理细则及数据安全规范。
第二十九条 本办法未尽事宜,依照国家和学校有关网络和数据安全管理规定执行;国家有新的规定,从其规定。
第三十条 本办法自公布之日起试行一年,由信息化办公室负责解释。
(浙江工业大学办公室2022年1月20日印发)
