晋中学院数据共享及安全管理办法

第一章  总则

第一条为进一步加强学校数字化数据资源的统一管理和质量控制,规范数据处理活动，保障数据安全，促进数据开发利用，加快学校数字校园建设的步伐，推动和规范公共数据的采集、管理、共享和维护，建立公共数据管理的长效机制，提升数字化条件下学校的治理能力和公共服务水平，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《教育部机关及直属事业单位教育数据管理办法》等法律法规及《信息安全技术网络安全等级保护基本要求（ GB /T22239-2019)》《信息安全技术个人信息安全规范( GB /T35273-2020)》等相关国家标准，结合学校实际，制定本办法。

第二条  本办法所称的数据，是指任何以电子或者其他方式对信息的记录。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。公共数据是指学校在教学、科研、管理和服务过程中，通过计算机信息系统采集、加工而产生的或计算机周边设备和外部系统输入的有价值的数据，主要包括学校信息、教工信息、学生信息、教务信息、财务信息、资产信息、图书信息、招生信息、就业信息、业务工作信息等。

第三条本办法所称的数据中台，是指用以实现数据归集、存储、交换、共享、治理、分析、应用等功能的技术能力平台，包括数据资源的组织、制度、标准、流程、工具等方面的集合。数据中台是学校各类信息系统实现数据交换共享的支撑平台、是为学校各级管理层提供辅助决策依据的支撑平台、是为学校广大师生提供便捷信息服务的支撑平台。

第四条  本办法所称的数据管理是指统筹、协调、部署、实施和检查监督学校信息系统的数据采集、数据传输、数据存储、数据的备份和恢复、数据维护、数据安全管理、数据的加工和使用等工作内容。

第五条  本办法适用于全校公共数据的采集、管理、共享和维护。

第二章 公共数据管理机构

第六条信息化工作领导小组负责学校数据安全工作的决策和议事协调，研究制定、指导实施学校数据安全战略和有关方针政策，统筹协调学校数据安全的重大事项和重要工作，建立学校数据安全工作协调机制，具体工作由信息化工作领导小组办公室完成。

第七条  各业务信息系统归口到相应职能部门（系、院）（以下简称业务部门）进行管理。公共数据属于学校的公共资源，各业务部门既是公共数据的建设者，也是使用者。各业务部门对各自采集、管理和维护的系统数据的准确性和完整性负完全责任，并根据学校数据中台的需要提供权威数据来源。

第八条学校保护个人、组织与数据有关的权益，鼓励数据合理有效利用，保障数据有序自由流动，促进以数据为关键要素的数字化发展。各业务部门应按照学校的数据管理办法，对本部门工作中收集和产生的数据及数据安全负责，对各自工作范围内的数据进行采集、管理和维护，并负有向其他具有共享权限的单位提供相关数据的责任。各业务部门可向其他业务部门申请获取所需数据，并对所获取的数据负有安全保密责任。

第三章  公共数据采集

第九条信息化工作领导小组办公室按照统筹规划、统一组织的原则，明确各单位的数据采集职责，以保证数据源头的唯一性，避免重复采集、多头采集。

第十条  数据采集环节承担着数据的收集、录入工作，是保证数据真实性、准确性、完整性的基础，也是产生数据质量问题的主要源头。各级业务部门根据工作需要，提出拟采集的系统数据指标体系、具体内容和质量标准。各级系统管理员根据业务部门业务系统需要制订数据采集的格式、方法和步骤等，并定期向业务部门通报所采集数据的指标内容变化情况，以便业务部门根据采集指标提出数据加工需求。系统数据采集人员应强化数据质量意识, 熟练掌握正确的采集和审核方法，严格按照相关技术规范采集各类数据。各信息系统主管部门负责对数据质量及完整性进行检查，检查合格后方可入库。

第十一条  系统数据采集工作主要集中在各业务系统的操作环节，为保证数据质量和采集及时性，各业务系统的数据录入应遵循及时性、完整性和准确性的原则，严格以原始资料为依据，做到数据真实无误，并且逻辑相符。采集数据时应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

第十二条  系统数据采集应制订切实可行的核对制度，操作人员应及时将录入的数据与原始资料进行核对，对错误数据及时处理，确保数据质量。各业务部门需制订相应数据采集规程，明确数据采集的及时期限与操作规程。

第四章  数据传输

第十三条  数据传输应当使用学校内部计算机网络完成，未经批准不得借助其它公共计算机网络平台进行数据传输。

第十四条  数据传输原则上由学校数据中台从各信息系统自动抽取，如因系统故障未能及时自动抽取的数据，经业务部门向信息化工作领导小组办公室提出书面申请后，可以通过移动介质进行数据传输。数据的发送方和接收方须履行严格的交接手续，以确保数据流转的严肃性及安全性。

第五章 数据的存储、备份和恢复

第十五条数据原则上由各业务部门进行存储。

第十六条  各业务部门应加强对系统数据存储和备份的管理，定期对存储和备份的数据进行优化，以保障信息系统的正常运行，提高系统运行和数据处理的效率，并保存完整的历史数据。

第十七条  各业务部门应根据不同类型数据的更新频率、数据量、重要程度、保存时间，制定相应备份、恢复策略和操作规范。

第十八条  数据备份文件必须存储在非本机磁盘的其它介质中，并建立登记制度，由专人保管。备份介质必须保存在符合条件的环境中，重要数据应异地存放。数据备份文件应定期进行恢复测试，以确保所备份的数据能够及时、准确、完整地恢复。

第十九条  普通数据与保密数据要分开存放（保密数据只在保密室中存放，设专用电脑、移动硬盘和专柜存放），涉密电脑应单机使用，不得与互联网连接，不得安装无线网卡。存储保密数据的介质（如U盘、光盘、磁盘等）须在显眼位置标示密级标识（标明编号、密级、建立日期、保存期限、备份数等），建立案卷清单，并按有关规定进行管理。存放过保密数据的计算机媒体不能降低密级使用。

第六章 数据维护

第二十条数据维护包括对系统数据中错误数据的修正、不完整数据的补充、垃圾数据的清理及历史数据的迁移、销毁等。

第二十一条  各业务部门应结合各信息系统制定详细的数据维护工作制度，明确数据维护的权限、职责，严格按照工作制度进行数据维护。

第二十二条  实施数据维护之前应对数据做好相应备份工作，能够通过系统管理员处理的，由系统管理员按照操作规范进行维护；需要信息化工作领导小组办公室协助处理的，由责任单位或责任人提出书面申请，按照相关运维规程进行处理。各业务部门应根据信息系统管理职责适时做好历史数据的迁移和归档工作，以提高信息系统的运行效率，确保历史信息的完整有效。信息系统数据维护工作应严格备案，对每项数据维护的内容、时间、维护原因、责任人等进行详细记录，涉及的书面材料必须登记存档。

第二十三条  已经进入学校数据中台的数据，未经批准不得擅自修改、删除。确需修改、删除时，由数据权属单位提出书面申请（说明修改理由、依据和内容，并附修改方案），报业务系统主管校领导批准后以文件形式通知信息化工作领导小组办公室进行修改和删除。

第二十四条  对已过期确无保存价值的数据需销毁时，由数据管理人员提出数据销毁申请（并附销毁数据目录清单），经数据权属单位审核、主管领导审批信息化工作领导小组办公室核对确认后方可销毁。涉密数据销毁时，应依据保密法相关条例实施销毁。数据销毁时，必须填写“数据销毁目录”，并有两人以上在场和签名。数据销毁后，数据管理人员应及时整理销毁过程有关资料归档。

第七章 数据安全管理

第二十五条数据所属业务的业务部门是数据的主管单位，应明确数据使用处理规则和防护要求；存储数据的信息系统主管单位是数据的运营单位，应制定信息系统安全准则，落实数据主管单位的防护要求；利用数据开展业务的单位是数据的使用单位，应遵守数据使用处理规则和信息系统安全准则要求。利用第三方平台开展数据活动的，应由数据运营单位和第三方平台提供者签订数据使用和保密协议，明确使用方式、应用场景和使用边界，落实数据安全责任。

第二十六条各业务部门应全面梳理本部门的数据，特别是涉及个人健康的信息和科学研究数据，要形成数据资源目录，做到底数清、情况明。要按照数据重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害性程度确定数据等级，对数据实行分类分级保护。数据公开、共享应明确公开和共享的数据内容和范围。

第二十七条  各业务系统的使用必须实行用户身份验证，各用户应注意对自己的用户名和密码进行保密，定期或不定期修改登录密码并保持密码复杂度。对数据库的管理实行数据库管理员制度，关键数据库管理岗位应设两人或两人以上。

第二十八条  对涉密数据的流转、存储，严格按照相关规定进行加密处理。

第二十九条  对各类数据应严格执行保密制度，不得泄露。

第三十条  对数据的各项操作实行日志管理，严格监控操作过程，对发现的数据安全问题，要及时处理和上报。

第三十一条  应切实加强网络安全管理，采取严格措施,做好计算机病毒的预防、检测、清除工作，防止针对基础网络和信息系统的各类攻击，保证数据传输和存储安全。

第八章 数据加工和使用

第三十二条  数据加工是指根据工作需要，用科学的方法对数据进行抽取、统计、挖掘，获得知识和规律，为学校科学管理和决策提供依据和参考。

第三十三条  数据加工包括数据的抽取、集中、归类、比对、统计，并以报表、图形、文字等形式展现数据处理结果。

第三十四条  数据加工由信息化工作领导小组办公室提供技术支持，业务部门有特殊需求时也可由信息化工作领导小组办公室提供数据并由业务部门自行加工。业务部门提出的数据加工需求，由信息化工作领导小组办公室就需求的可行性和规范性进行研究，根据具体情况提出修改和完善的意见，经主管领导及协调部门同意后，由信息化工作领导小组办公室会同业务部门进行数据加工。

第三十五条  加强数据使用授权管理。信息化工作领导小组办公室提供已集中的数据列表，各业务部门提出使用数据的意见，报分管校领导审批。信息化工作领导小组办公室根据校领导批准的数据使用授权，进行数据使用权限配置。

第三十六条  数据使用单位和人员必须严格按照授权使用数据，负责管理本单位、本人口令，不得越权使用数据；不得采取任何方法破坏数据；对所使用的涉密数据负有保密责任；对外公布数据必须经数据权属业务部门和信息化工作领导小组办公室共同审核，并报信息化工作领导小组办公室分管校领导审批，未经批准不得擅自对外公布数据。

第三十七条  各业务部门和信息化工作领导小组办公室应充分利用数据集中的优势，加强数据利用，不断提高学校管理和决策水平，并减轻基层单位统计和上报报表数据的工作负担。

第九章  考核和责任追究

第三十八条  信息系统数据管理是教育信息化和管理现代化的重要内容，各业务部门应根据本办法所涉及的内容制订具体的数据管理考核办法。

第三十九条  数据权属单位在数据生产、修改和更新过程中，不认真履行职责，造成数据失实的，追究有关人员责任；造成保密数据泄密的，追究有关人员法律责任。

第四十条  数据管理人员在数据管理维护过程中，不认真履行职责，造成数据管理混乱，追究有关人员责任；造成保密数据泄密的，追究有关人员的法律责任。

第十章  附则

第四十一条  本办法由信息化工作领导小组办公室负责解释。

第四十二条  本办法自发布之日起执行。