杭师大发〔2023〕7号
杭州师范大学关于印发信息系统数据
管理办法(修订)的通知
各学院(部)、部门:
现将《杭州师范大学信息系统数据管理办法(修订)》印发给你们,请认真遵照执行。
杭州师范大学
2023年5月31日
杭州师范大学信息系统数据管理办法
(修订)
第一章 总则
第一条 为进一步加强学校信息化建设统筹规划,建立有效的信息系统数据共建、共享与保障体系,提高数据质量和利用效率,为学校推进数字化改革提供安全可靠、完整统一的数据信息,根据相关法律、法规及规范要求,结合学校实际,修订本办法。
第二条 本办法所指的信息系统数据是指学校各类信息化业务系统(以下简称信息系统)建设、使用过程中产生或获取的各类数据,但不包含《中华人民共和国保守国家秘密法》及其他各项法规规定的涉密数据。
第三条 信息系统数据管理是指学校各部门利用信息系统或相关数据管理平台对教学、科研、管理和服务等业务数据进行收集、归集、存储、加工、传输、共享、开放、利用、保护等数据管理的工作。
第四条 管理原则
(一)统一标准原则。信息系统数据管理应符合国家、教育部、行业、学校等制定的相关标准与规范。
(二)归口管理原则。各类数据在纳入统一平台管理的基础上,按业务属性由学校各业务管理部门进行归口管理。
(三)安全共享原则。在保证数据安全的前提下,实现数据共享以及衍生数据应用服务,使数据能够满足各种业务使用需要。
(四)全程管控原则。建立数据从采集、维护、存储、归档、应用、保护的全过程管控平台和制度体系,确保数据真实、准确、完整、及时。
第五条 管理目标
(一)确保数据完整准确。按照部门业务要求和数据质量管理规范,建立数据质量核查机制,保障数据准确、真实、完整和规范。
(二)确保数据安全可靠。按照数据安全管理规范,建立数据分级管理与备份、容灾和恢复机制;明确数据的所有权和管理权限,做好数据操作日志记录,保证数据更改可追溯;根据国家、教育部和学校的相关要求,做好数据保密安全工作。
(三)提升数据服务质量。规范数据使用,建立数据共享管理机制。全面提高数据质量和提升管理服务水平,充分发挥数据在学校发展中的重要作用。
第二章 职责分工
第六条 学校网络安全和信息化工作领导小组是学校信息系统数据管理的领导机构,负责政策制定、顶层设计和学校数据管理等重大事项决策。
第七条 信息中心在领导小组领导下,负责协调和推动学校信息系统数据管理具体工作,负责全校信息系统数据管理总体规划和技术平台支撑等工作,主要包括:
1.制定信息系统数据资源的总体规划,制定和执行学校信息编码标准、技术规范、管理规程等;
2.信息系统数据中心平台软硬件建设,做好数据中心安全运维工作;
3.协助各部门做好各类数据维护和使用,统筹协调推进信息系统数据共享等工作。
第八条 按照“谁生产、谁治理、谁负责”原则,各部门根据部门职责和业务分工,是相应数据的生产部门和权威单一来源部门,负责本部门数据规划、生产、治理等各项数据管理工作,对数据质量负责,并按要求向学校数据中心提供权威数据。
第三章 数据分类分级
第九条 数据分类:根据学校业务分类,信息系统数据分类与归口管理如下:
(一)教师类。教职工基本信息、人员招聘、入职离校、职务评聘、考核管理、培训管理、人才管理、奖惩管理、薪资管理、党团工作、出国证件管理、出国(境)出访以及离退休等相关数据。
(二)学生类。本科生、研究生、函授生、国际学生等所有与学生相关的基本信息,以及迎新、奖惩、奖学金、党团、毕业、就业、校友和生活等相关数据。
(三)教学类。本科生、研究生、国际学生等所有与学生相关的招生、学籍、教学计划、排课、选课、成绩、学位等;学生评教、教学改革、专业、课程、教学资源等相关数据。
(四)科研类。科研项目管理、合同管理、各类成果管理、科研机构管理、科研平台、科研团队、科研经费管理、科研业绩考核等相关数据。
(五)社会服务类。教育合作、教育培训、其他产学研合作、校企(政)科研机构管理、科技成果转化等相关数据。
(六)财务类。财务管理、经费管理、教职工薪资发放、学生收费信息等。
(七)资产类。采购管理、固定资产管理(含图书文献资料)、实验室管理、设备管理、房产管理、土地管理等相关数据。
(八)数字档案类。人事档案管理、学生档案管理、文件档案管理、科研档案管理等相关数据。
(九)公共类。校园一卡通、校园网络服务、门禁信息、网站信息、电子邮件、水电气能耗、车辆信息等。
(十)系统数据类。包括网络出口数据、访问数据、数据库连接数据、应用系统安全数据等实现网络连接、操作系统管理、数据库管理、应用系统功能等相关数据。
(十一)其他数据。学校日常管理产生的其他相关数据。
第十条 数据分级:基于数据重要性、敏感性、影响对象及程度确定数据等级,根据数据等级明确保护措施。
(一)第一级数据。即公开数据,是指国家、教育行业、学校公开的数据标准、代码信息,以及学校主动公开和依申请公开的行政数据和业务数据。
(二)第二级数据。即内部数据,是指不予公开,但可在一定范围内共享的数据,包括各部门、学院、附属医院和特定对象间共享的数据。按照职能收集并为教学、科研、管理决策等提供支撑的数据。
(三)第三级数据。即敏感数据,是指涉及学校秘密的相关数据,一旦遭篡改、泄露、丢失、损毁后,对学校安全或利益造成损害的数据。
(四)第四级数据。即高敏数据,是指一旦遭篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据。
业务部门须根据分级要求确定数据等级,并报信息中心备案。确定为第三、四级数据的,经信息中心审核后,报网络安全和信息化工作领导小组审定。
第四章 数据维护
第十一条 数据维护是指学校各部门利用相应的信息系统等数据管理平台(如各部门建设管理的信息系统、学校数据中心提供的数据接口、学校数据中心提供的数据管理平台等),根据数据归口管理权限,遵照本部门业务规范及学校信息编码标准,进行统一的数据采集录入、补充更新等操作。
第十二条 各部门应根据部门实际,分类制定和实施信息系统数据维护的技术性方案和操作办法。
(一)已建立信息系统的部门。提供相应信息系统的设计文档、数据字典和数据接口等资料,通过系统集成,将各类业务数据维护至学校数据中心平台。相关信息系统在变更其数据结构等操作时,须提前向信息中心报备,避免数据混乱及服务异常。
(二)未建立业务系统的部门。数据归口管理部门应根据实际需要提出需求,联合信息中心制定数据采集和集成标准,依托学校数据中心平台,通过技术开发制定数据导入接口,相关部门利用接口做好数据导入维护,逐步实现相关数据集成。
第十三条 各部门进行数据维护时,应保证数据的真实性、完整性、规范性和时效性。
(一)真实性。各部门应准确维护相关数据,不得随意修改、增减。
(二)完整性。各部门须确保数据完整、齐全,避免数据缺失。
(三)规范性。各部门遵循“一数一源”的原则,学校数据中心平台可以获取的数据,原则上不得重复采集,确保数据规范可用。
(四)时效性。各部门须在规定的时间内进行数据维护,确保数据与实际业务同步,防止产生无效数据、过时数据。
第十四条 各部门应明确数据维护责任人、权限和具体职责,制定和执行数据质量管理规范,规范数据维护操作程序。数据维护相关人员,应严格按照规程及时维护数据,定期更改系统认证口令,严禁在未按规定授权的情况下委托他人进行数据维护,确保学校数据安全。因系统故障、误操作、信息泄露等原因导致数据维护重大问题的,应及时向信息中心报告,以便及时处理。
第五章 数据存储
第十五条 信息中心利用学校数据中心平台,负责全校各类信息系统数据的采集、清洗、整合、归档、存储、备份、恢复、共享等工作。
第十六条 暂未纳入学校公共数据中心统一存储的信息系统数据,由归口管理部门负责数据本地备份和归档等各项数据维护工作。
第十七条 档案馆应根据上级有关规定和行业规范,建立独立于学校数据中心电子档案数据管理平台,独立开展电子档案数据维护、存储、归档、使用、保护等工作。
第六章 数据共享使用
第十八条 信息中心负责建立和运营统一的数据中心管理平台,协助相关部门开展信息系统数据日常使用与管理工作。
1.建立学校公共数据中心数据存储、数据交换、数据共享平台,提高业务系统的数据集成、共享与应用水平;
2.逐步建立数据决策支持平台,为学校提高管理效率和科学决策,提供数据信息服务;
3.逐步建立分布式信息服务平台,建立面向师生个人服务的个人数据中心,全面展示师生个人在校内的工作、学习和生活等方面的数据和信息,在此基础上逐步提供各类网上办事审批业务等简化师生填表服务。
第十九条 校内各部门因工作需要须通过学校数据中心获取跨部门信息系统数据的,应根据“按需够用”原则,填报《杭州师范大学信息系统数据使用审批单》(附件1)、《杭州师范大学数据共享保密协议》(附件2),经相关数据归口管理部门审核同意后,信息中心根据数据处理工作量大小,在5—15个工作日内通过数据接口或数据导出等形式提供数据。对不符合技术规范的或影响学校数据安全的或以个人(含项目组)名义申请使用数据的,信息中心不予提供数据。对技术条件限制等,无法按指定规格提供数据的,信息中心应及时反馈申请部门。
第二十条 使用单位依据职能获得的共享数据仅限内部使用,如需对外提供或发布,应当向学校网络安全和信息化工作领导小组提出申请,经同意后方可对外提供或发布。
第二十一条 使用单位不得超出申请范围使用共享数据,不得以任何方式用于社会有偿服务或其他商业活动,并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担相应责任。
第七章 数据安全
第二十二条 学校网络安全和信息化工作领导小组组长为学校数据安全第一责任人,各信息系统主管部门负责人为直接责任人。
第二十三条 信息中心负责落实网络安全和信息化工作领导小组关于信息系统数据安全管理的业务指导意见,协调数据管理全过程的安全保障工作,防止未经授权的数据活动,开展信息系统数据安全风险评估、安全管理审查、安全质量考核及安全宣传教育,推进常态化数据安全监管机制,建立学校数据中心数据安全日志审计机制,运用高危操作监测与预警技术,及时对发现的违规行为进行核实处置,建立《数据安全事件应急预案》(附件3),定期开展应急演练。按照信息安全等级保护要求,建立相应的安全管理技术方案,并负责学校数据中心安全的软硬件建设,逐步建立数据容灾备份中心,为信息系统数据安全管理提供系统支撑。
第二十四条 各信息系统管理部门应建立和严格执行信息系统安全运行、数据维护流程等制度,明确责任人,开展数据风险评估,落实安全管理责任制,按照网络安全等级保护制度,从技术和管理的各个层面执行数据安全管理制度,提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。定期开展数据安全检查并做好检查记录,配合开展网络信息安全漏洞排查工作。建立数据访问权限运行管理机制,做好数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等申请审批、执行和记录工作,严格落实数据访问权限的时效性管理,加强高风险数据操作权限管理。信息系统应保留至少六个月的日志信息,信息系统的所有操作都要作为日志信息予以存储。日志信息的访问只能被授权的对象只读访问,任何人不得修改。
第二十五条 数据使用单位应当遵守有关保密和权益维护的法律法规和学校制度,承担下发数据的安全保障责任,落实使用完毕的数据清理和销毁工作,发现违规违法问题应及时报告有关部门依法依规处置。
第二十六条 只有相关法律法规和学校制度有明确规定需要公开的个人信息,方可进行公开。涉及个人信息的数据活动中,相关主体具有知情、决定、查询、更正、删除等权利。个人信息处理应当遵循合法、正当、必要、诚信的原则,按照“告知—同意”规则,在事先充分告知的前提下取得个人同意。公开个人信息遵循最小化原则,严禁超范围公开其他相关信息。
第二十七条 建立健全数据脱敏脱密处理机制,确需在非密环境下使用的涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
第二十八条 学校严格信息网络安全管理制度,定期排查学校各类网络信息安全漏洞。对存在高风险网络信息安全漏洞的网站或系统,信息中心有权关闭相应网站或系统,以确保信息系统数据安全。
第二十九条 各信息系统后台管理权限配置,应严格按照“按需够用”原则进行授权,确保管理用户仅限查阅或操作与岗位职责相关的数据和业务。各部门使用信息系统数据时,应加强数据管理和使用人员的信息安全教育,应注意保护师生个人隐私和学校业务数据。未经批准,任何单位和个人不得擅自将获得的数据公开、转给他人使用或用于申请授权范围以外的用途。业务部门因开发对接需要,把数据接口密钥信息交给第三方时,必须与第三方签订网络安全保障与信息保密协议。
第三十条 注销的信息化系统或报废的存储设备,应确保承载的信息数据被彻底或有效删除且无法通过任何手段恢复,方可进行注销或报废处理。
第八章 数据管理监督
第三十一条 各部门及个人违反本办法规定,有下列情形之一的,由信息中心根据实际情况责令限期改正。造成严重不良后果的,按照相关规定予以追责:
1.未按规定开放或使用数据的;
2.提供数据目录和数据内容的质量不达标的,或未按照规定时限发布、更新数据目录和数据内容的;
3.数据使用管理失控,致使出现滥用、盗用及泄漏的;
4.未经授权,擅自将学校数据用于本部门履行职责所需范围以外的,或擅自转让给第三方的,或利用学校数据开展经营性活动的;
5.封锁、瞒报数据安全事件,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的。
第三十二条 对于违反法律、法规和学校相关规定,造成国家、学校和个人损失的,学校将依法依规追究相关单位及个人的责任。
第九章 附则
第三十三条 本办法自印发之日起开始施行,由信息中心负责解释,原《杭州师范大学信息系统数据管理办法》(杭师大发〔2017〕43号)同时废止。
主送:各学院(部)、部门。
主送:各学院(部)、部门。
杭州师范大学校长办公室 2023年5月31日印发 |
各类附件详见:《杭州师范大学信息系统数据管理办法(修订)》杭师大发〔2023〕7 号
