第一章 总 则
第一条 为进一步规范学校信息化数据资产的管理,构建良好的暨南大学数据生态体系,提高数据质量和使用效率,提供安全、完整和统一的数据服务,依据《中华人民共和国网络安全法》相关规定,结合学校实际情况,制定本办法。
第二条 本办法所指的信息化数据包含但不限于全校各类信息系统产生、保存和利用的相关数据,《中华人民共和国保守国家秘密法》所规定的涉密数据除外。除非单独说明,下文所提的数据均指信息化数据。
第三条 信息化数据管理应遵循以下原则:
(一)统一管理、分工负责。学校开展信息化数据管理工作的总体规划、协调处置和工作监督,各单位按要求做好本单位信息化数据管理的相关工作。
(二)谁生产数据,谁负责管理。学校各单位负责本单位数据的采集、使用和维护等管理工作,各单位负责人为信息化数据管理的第一责任人。
(三)一数一源。原则上数据的生产单位为数据的唯一来源,如两个以上的单位对于数据生产单位发生争议,由学校明确一个单位为数据生产单位,以确保数据来源的单一性。
(四)统一标准。所有信息化数据的采集录入、处理应符合国家、教育部、行业和学校制定的相关标准。
(五)集中共享。所有信息化数据以共享为原则、不共享为例外,全校信息化数据由网络与教育技术中心负责集中存储,并在学校的数据共享交换平台根据层级开放共享。
(六)全生命周期管控。建立数据生命周期各环节的管控体系,把好数据质量关,确保数据的规范性和准确性,确保数据的使用合法合规,保障数据安全。
第二章信息化数据管理机构及职责
第四条 暨南大学网络安全与信息化领导小组办公室(以下简称网信办)是学校信息化数据的归口管理部门,负责学校信息化数据总体规划、各项数据有关工作的合法性审批及审查、跨部门组织协调以及监督考核等管理工作。
第五条 网络与教育技术中心负责信息化数据管理相关的技术工作,在网信办指导下推进数据治理、共享和应用工作,开展数据管理相关的培训和研究工作。
第六条 学校各单位是信息化数据的生产者和使用者,也是学校信息化数据管理工作的重要参与者,负责的工作具体如下:
(一)负责业务范围内数据的采集录入、质量保证、数据审核、数据共享、数据上报和数据安全等工作。
(二)按学校要求做好数据管理有关的数据标准制定、数据治理、数据需求调研和数据共享等工作。
(三)定期整理本单位信息系统内数据基本情况以及数据明细情况,并向网信办报备。
(四)定期整理本单位数据使用需求和应用需求,按需申请数据使用服务。
第三章信息化数据生产及质量管理
第七条 信息化数据生产主要包括数据采集、录入和审核三个步骤。学校各单位作为信息化数据生产单位,应遵照本单位业务规范以及国家、教育部、行业和学校制定的相关标准,按照特定目标和业务过程生产数据,并保证信息化数据的真实性、完整性、规范性、时效性、来源唯一性和安全性。
(一)真实性:学校各单位须确保数据真实准确。
(二)完整性:学校各单位须确保数据完整,避免数据缺失。
(三)规范性:学校各单位在进行数据采集、录入和审核时须保证数据的规范可用。
(四)时效性:学校各单位须及时进行数据维护与更新,确保数据与实际业务同步,防止无效数据产生、过时数据不处理的情况发生。
(五)来源唯一性:依据“一数一源”的原则,学校指定数据唯一来源的生产单位,其他单位对于唯一来源数据,只能引用和衍生,不得进行采集和篡改。
(六)安全性:学校各单位在数据生产过程中,须确保数据的安全,预防数据丢失、泄露和非法篡改等问题。
第八条 为加强信息化数据生产及质量管理,学校所有信息化数据按主题划分为十四个数据域:党务数据域、人力资源数据域、教学数据域、学生数据域、科研数据域、财务数据域、资产数据域、档案数据域、公共服务数据域、医疗数据域、行政业务综合数据域、网信工作数据域、图书馆工作数据域和其他数据域。数据域的划分会根据学校事业发展及工作需要进行适当调整。
第九条 信息系统的用户登录认证必须纳入学校的统一认证体系,与学校的统一认证平台集成。信息系统所使用的组织机构和人员等基础信息必须从学校数据中心申请获取,以保持与学校数据一致。
第十条 网信办根据《中华人民共和国教育行业标准》和学校的实际情况制定适合学校的数据标准。
第十一条 学校各单位在数据质量管理过程中出现数据与数据标准不相符甚至有明显冲突的,须立即整改;出现超出数据标准的数据内容的,应及时向网信办提出,由网信办组织协调并研究确定处理方案,由网络与教育技术中心指导开展技术实施工作。
第十二条 学校对各单位数据质量工作进行考核,考核内容主要包括数据的采集、录入和使用的真实性、完整性、规范性、时效性、来源唯一性和安全性等几个方面。
第十三条 网信办定期发布学校各单位数据质量报告,督促各单位不断提高数据质量。
第十四条 学校各单位应指定专人负责数据管理工作,定期对本单位数据质量进行核查。
第十五条 学校各单位负责本单位数据资源目录编制,明确数据资源的内容及其共享属性,提交给网信办审定。凡列入不予共享的信息化数据,必须有法律、行政法规或党中央、国务院政策依据。
第四章信息化数据共享与使用
第十六条 网络与教育技术中心负责收集、统筹和协调全校数据共享与使用的需求,并负责建设和运营学校的数据共享交换平台。
第十七条 学校各单位须将其信息化数据向学校的数据共享交换平台开放共享,即采用自动的程序接口方式实现数据同步,以便构建校级数据中心、业务数据中心和师生个人数据中心,开展全校的数据管理、分析和应用,支撑学校各类信息化服务。对没有系统管理的电子文档数据,各单位须定期以其他方式将该类数据提供给网络与教育技术中心集中管理。
第十八条 学校各单位需要使用学校数据的,须在网上服务大厅提交《暨南大学数据使用服务申请》,并签署数据保密承诺书,网络与教育技术中心技术初审通过后,经数据生产单位审批,并由网络与教育技术中心和网信办审批同意后,由网络与教育技术中心统一提供数据服务。
第十九条 数据使用单位须确保数据实际用途与所申请的用途一致。若数据使用单位数据使用不当,网络与教育技术中心和数据生产单位可即时终止数据使用授权,并要求数据使用单位及单位主要负责人采取补救措施,限期整改。
第二十条 数据使用单位是数据管理的重要参与者,在数据使用过程中如发现数据质量问题或不能满足使用需求,应及时向数据生产单位和网信办反馈,由网信办组织协调并研究确定处理方案,由网络与教育技术中心指导开展技术实施工作。
第二十一条 学校各单位应进一步提升数据综合应用水平,充分利用学校数据中心的数据资源,探索开展多维度的数据分析和基于数据的决策支持,提升业务管理水平、决策水平和决策效率。网络与教育技术中心负责统筹组织各单位进行与信息化数据相关的需求调研和技术交流活动。
第二十二条 数据共享应遵循学校制定的数据共享流程。未经批准,严禁擅自向校外的任何团体和个人提供数据。
第五章信息化数据安全管理
第二十三条 信息系统数据保护是数据安全管理的重要内容,主要指对信息系统所有数据的安全性和可用性的保护。
第二十四条 学校各单位和个人需按照《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》等国家法律法规,提高数据安全防范意识,预防信息泄露和非法篡改,做好各类数据的安全工作。加强对全校师生的个人信息和重要数据的保护,不得泄露师生的个人信息和重要数据。
第二十五条 发生个人信息泄露和丢失等数据安全事件时,相关单位应当立即向网信办报告,采取补救措施,并限时整改。
第二十六条 学校各单位因工作需要委托第三方单位进行与学校数据有关的工作活动时,必须严格要求第三方单位及其人员遵守相关规定,预防信息泄露,并与第三方单位签署数据保密协议,同时向网信办报备。
第二十七条 用于开发、测试和研究的数据均须进行脱敏。数据脱敏是指数据去私隐化或数据变形,是在给定的规则和策略下对敏感数据进行变换、修改的技术机制,实现敏感隐私数据的可靠保护。
第二十八条 学校各单位须对其负责的信息系统数据实施可靠的备份,并制订数据恢复方案。
第二十九条 学校各单位应对其负责的信息系统实施日志记录,日志记录须留存180天以上,并统一输出至学校日志平台进行存储。
第三十条 所有信息化数据未经审批,均不得同步、存储在非本校所有的第三方平台。如确有需要,应凭上级文件等证明向网信办申请,批准后方可实施。
第六章责任追究
第三十一条 对于存在下列情形之一的单位,学校根据实际情况责令限期整改:
(一)发现本单位生产的数据质量有问题但不配合整改的;
(二)不将本单位的数据共享至学校的数据共享交换平台的;
(三)不整理本单位数据资源目录、数据基本情况以及数据明细情况的;
(四)不按照规定规范使用数据的;
(五)对本单位数据的安全管理不到位,发生数据安全事件的。
第三十二条 对于违反本办法造成学校损失的单位和个人,学校有权依法追究相关责任人的法律责任;涉嫌犯罪的,移送国家司法机关处理。
第七章奖 励
第三十三条 网信办制定相应的奖励制度,对为学校数据管理工作做出显著贡献的个人、集体给予表彰奖励。
第八章附 则
第三十四条 本办法由暨南大学网络安全与信息化领导小组办公室负责解释。
第三十五条 本办法自发布之日起实施。