根据学校数据资源实际情况,为适应数据时代校园建设发展需要,依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,参照国家标准《智慧校园总体框架》,制定本办法。
本办法适用于学校的非涉密数据收集、存储、传输、处理、使用等活动,以及数据的安全保护和监督管理等。本办法中的数据资源是指由学校拥有和控制的,以电子方式记录的各类数据资源,具体包括但不限于教务管理、人事管理、学生管理、研究生管理、科研管理、财务管理、国有资产管理、校园安防、一卡通、上网行为、图书借阅管理、实验室管理、网络教学资源管理、微信平台、校园APP等系统的原始数据和增值数据。增值数据是指对原始数据进行加工生成的数据,主要包括由信息系统、网站、应用系统或人工加工后生成的数据。
一、权责管理
(一)数据资源按照“谁采集,谁负责;谁使用,谁负责;谁生成,谁负责”的原则进行分级管理。数据资源所有单位(部门)和使用单位(部门)主要负责人为数据资源第一责任人,单位(部门)分管领导为数据资源直接责任人。
(二)网络与信息技术中心(以下简称“网络中心”)负责学校数据资源管理工作,负责数据资源有关政策制定、顶层设计,推进学校数据资源的有效共享和治理,主要包括:制定数据资源的总体规划,制定和执行学校数据编码标准、技术规范、管理规程等;负责学校数据中心平台软硬件建设,负责数据中心安全运维工作;协助各单位(部门)开展数据维护和使用,统筹协调推进数据资源共享;开展数据安全检查等。
(三)数据采集单位(部门)负责原始数据的维护、更新和安全管理,对原始数据的真实性及标准化负责,对原始数据的共享属性实施界定,及时更新原始数据。
(四)增值数据生成单位(部门)负责增值数据的维护、更新和安全管理,对增值数据的真实性及时效性负责,对增值数据的共享属性实施界定。
(五)数据使用单位(部门)遵循国家、行业、学校有关数据使用规范,合理合规使用数据,防止使用不当导致数据泄露。
(六)档案馆应根据上级有关规定和行业规范,建立独立于学校数据中心的电子档案数据资源管理平台,独立开展电子档案数据的维护、存储、归档、使用、保护等工作。
二、数据管理员
(一)数据采集单位(部门)和数据使用单位(部门)均须配备数据管理员,并报网络中心登记备案。数据管理员须为本部门在职员工,不得指定学生、兼职人员、外部运维人员等。重要信息系统的管理要实行数据管理员双人互备。
(二)数据管理员负责维护数据资源,保证数据资源安全,保障存储数据资源的各类系统、网站、服务器、数据库的安全稳定运行。数据管理员要自觉遵守国家法律法规,具有较强的保密意识和安全防范意识;采取必要手段,防止信息泄露与未授权操作等安全风险;设置并保管好自己的用户名与密码;离开操作岗位时,退出应用软件操作界面或锁定计算机,以防他人利用数据管理员权限进行非法操作。
(三)数据管理员调离或更换岗位时,要按规定移交全部技术资料和数据。涉及重要业务的人员调离时,要履行相关离职审批手续。
(四)数据管理员缺岗或无法履行职责时,所属单位(部门)应及时指定新的数据管理员,并报网络中心登记备案。对不能履职尽责的数据管理员要及时更换。
(五)发生重大数据安全事故,数据管理员要立即上报本部门数据资源第一责任人与直接责任人,同时报告网络中心处理。
三、数据采集和使用
(一)采集原始数据前,数据采集单位(部门)须向网络中心递交书面申请。经批准后,根据网络中心制定的数据标准实施数据采集。
(二)数据采集遵循最小化原则按需采集,避免过度采集导致相关数据风险。
(三)使用原始和增值数据时,数据使用单位(部门)根据“按需够用”原则提出数据使用申请。经数据所有单位(部门)和网络中心批准后,依据网络中心制定的数据标准实施数据共享和使用。对不符合技术规范的或影响学校数据安全的或以个人(含项目组)名义申请使用数据的,不予提供数据。
(四)数据采集单位(部门)和使用单位(部门)要保证数据采集和使用安全,设定用户访问权限,严禁跨岗位越权操作,严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等操作。
四、数据维护
(一)数据维护包括数据保管、整理、导入、导出、备份、恢复和共享等操作。
(二)各单位(部门)进行数据维护时,应保证数据的真实、完整、规范和时效。原始数据采集单位(部门)负责维护采集的原始数据;数据使用单位(部门)负责维护本单位(部门)的增值数据。
(三)网络中心负责数字校园平台系统数据和公共交换数据的定期备份,数据采集单位(部门)和使用单位(部门)负责原始数据和增值数据进行定期备份。重要数据应有多个备份,对特别重要的数据要异地备份。当数据发生变化时,要保持备份数据的一致性。
(四)数据保管地点要符合防火、防潮、防尘、防磁、防盗等安全要求。
(五)废弃的数据存储介质,包括硬盘、光盘、闪存卡、磁带机等,由网络中心统一进行销毁处理。
(六)信息系统出现故障和遭到破坏时,数据管理员负责完成数据及时、准确、完整地恢复。确因特殊原因不能恢复的,要及时向本单位(部门)数据资源第一责任人报告,履行相关手续。
(七)数据管理员要建立数据操作日志,规范数据操作过程,对发现的数据安全问题,要及时处理和上报。数据库日志须保存六个月以上。
五、数据修改、更新、删除
(一)数据采集单位(部门)负责原始数据的修改、更新、删除等工作;数据使用单位(部门)负责增值数据的修改、更新、删除等工作。
(二)数据采集单位(部门)在对原始数据修改、更新、删除之前须完成数据备份,并报网络中心备案。已共享的原始和增值数据在删除前,要向网络中心递交数据共享暂停申请,经审批后方可删除。
(三)数据管理员不得直接对后台数据库进行数据更改操作,必须后台操作的,要得到本单位(部门)数据资源第一责任人批准,对数据库备份后实施,并详细记录操作过程及数据更改情况,存档备查。
六、数据安全与保密
(一)各单位(部门)应建立和严格执行数据安全运行、数据维护流程等制度,定期开展数据安全自查,配合网络中心开展网络信息安全排查工作。各单位(部门)应加强数据管理和使用人员的信息安全教育,应注意保护师生个人隐私和学校业务数据。
(二)未经学校批准,任何单位(部门)和个人不得擅自将获得的数据公开、转给他人使用或用于申请授权范围以外的用途。对于违反规定对外泄露信息系统数据的单位(部门)和个人,应依照相关规定予以处理。
(三)存储重要数据的信息系统须设双管理员。信息系统管理员须对信息系统的服务器加设口令,严禁采用系统默认超级管理员用户名和口令。要严防非法用户或非授权用户对应用、数据和文件的访问、使用、修改等操作。
(四)数据不得存放在个人设备中,如个人电脑、移动硬盘、U盘等。如迁移数据资源,要向网络中心备案。
(五)存储重要数据的信息系统原则上要部署在校园网核心机房。
(六)信息系统开发或二次开发时,信息系统所属单位(部门)必须与第三方开发公司签订数据保密协议。开发结束后要及时收回管理员账号和密码。
(七)信息系统主机或存储设备发生故障时,尽量采取现场维护,确需送出维修时,必须去掉存储部件或删除数据。
(八)信息系统要具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。各种账户和密码要严格保密。未经加密禁止通过网络传输重要数据或信息。
(九)《中华人民共和国保守国家秘密法》及其他专门法律法规对涉密数据有特殊规定的,按照其规定执行。
七、个人信息管理
(一)个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于姓名、身份证件号码、通讯联系方式、住址、账号密码、财产状况、人脸识别数据、指纹数据等。
(二)对存有师生个人信息的信息系统,应采取针对性安全措施,防止个人数据泄密。
八、本办法由网络与信息技术中心负责解释,自发布之日起施行。
