内蒙古科技大学数据管理办法
总 则
为规范学校数据管理,保障数据安全(特别是个人信息和重要数据安全),促进数据共享与有效利用,支撑学校教学、科研、管理与服务高质量发展,维护广大师生和学校的合法权益,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《内蒙古自治区公共数据管理暂行办法》等相关法律法规,结合《内蒙古科技大学网络安全和信息化建设与管理办法(修订)》(内科大校发﹝2024﹞77号)具体要求,制定本办法。
本办法所称数据,是指学校各单位、师生员工在履行职责或开展活动中产生、采集、存储、使用的全生命周期数据资源,包括但不限于教学、科研、管理、服务等活动中形成的结构化数据、非结构化数据及多媒体数据(包括业务数据和统计数据)。涉密数据按国家相关规定执行。
数据管理遵循以下原则:
统筹管理,各负其责:统一标准、统一平台,坚持“一数一源、多元校核”,禁止重复采集;
全面共享,授权管理:以共享为原则,不共享为例外,通过学校数据中台实现授权共享;
依规使用,最小必要:合法合规使用数据,落实最小够用原则,保护国家秘密、学校秘密和个人隐私;
安全可控,分级保护:建立全生命周期安全管理体系,实施分类分级保护;
伴随采集,质量为本:业务办理中同步采集核验数据,确保数据准确及时。
管理机构与职责
学校网络安全和信息化领导小组是数据管理的领导机构,负责审议数据管理重大事项、发展规划及安全事件应急处置。
信息化建设与网络管理中心(以下简称“信管中心”)是数据管理的执行机构,主要职责包括:
制定数据标准、技术规范及管理制度;
建设并维护学校数据中台,统筹数据共享交换;
组织编制数据资源目录,协调数据质量核查;
监督数据安全与使用合规性;
组织数据安全培训、风险评估及审查;
指导数据治理与分类分级工作。
数据生产部门按“谁产生谁负责”原则:
负责数据采集、更新、维护及质量管控;
主要负责人为数据质量第一责任人;
通过数据中台提供权威数据源。
数据使用部门:
(一)通过数据中台申请共享数据;
(二)严格按授权范围使用并承担安全管理责任;
(三)有权根据工作需要提出数据共享需求。
数据分类分级管理
数据分类分级管理遵循分类分级保护的原则,基于数据重要性、敏感性确定数据等级,根据数据等级明确保护措施。
第一级数据:即公开数据,是指国家、教育行业、学校公开的数据标准、代码信息,以及学校主动公开和依法申请公开的行政数据和业务数据(如机构名称、学号、工号等基础性标识数据)。通过数据中台开放共享。
第二级数据:即内部数据,是指不予公开,但可在一定范围内共享的数据,包括各单位、学院和特定对象间共享的数据。按照职能收集并为公共服务、管理决策提供支撑的数据(如涉及隐私或敏感数据:薪资信息、科研成果等)。需审批后通过数据中台共享。
第三级数据:即敏感数据,是指一旦遭篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据(如:国家秘密、涉密科研数据等)。
无论其数据级别如何,凡属国家法律法规或学校规章制度明令禁止共享的数据,一律不得共享(如:未脱敏的心理健康诊断记录等)。
数据分级确认流程:
数据生产部门根据第八条标准初步定级;
第二级以上数据均需信管中心审核,其中第三级数据需由信管中心初审后,报网络安全和信息化领导小组审定;
分类分级结果纳入数据资源目录并动态更新。
数据全生命周期管理
数据采集要求:
遵循“一数一源”原则,优先调用数据中台现有资源,禁止重复采集;
新增数据需经信管中心审核备案;
通过统一授权界面获取采集对象知情同意,禁止通过微信、邮件等非安全通道传输敏感数据;
落实“最小必要”原则,精简数据项,减轻师生负担。
数据存储规范:
学校主数据库由信管中心统一规划、存储及备份;
部门本地存储数据需定期备份并通过数据中台加密传输;
敏感数据采用国密算法加密存储,访问操作全程留痕;
建立异地容灾备份机制,重要数据保存2个以上拷贝。
数据共享分为无条件共享、有条件共享、不予共享等三种类型。
(一)无条件共享:无条件共享数据是指无需数据提供单位授权同意,可提供给所有数据使用单位共享使用的数据资源。
(二)有条件共享:有条件共享数据是指经数据提供单位授权同意后,方可提供给申请者共享使用的数据资源。
(三)不予共享:不予共享数据是指数据提供单位确定的不提供共享使用的数据资源。凡列入不予共享类的数据资源,须有学校文件或上级政策法规等依据。
所有数据共享须通过学校数据中台进行,禁止其他形式的直接交换。共享流程如下:
使用部门通过数据中台提交申请,明确用途与范围;
数据生产部门审批、信管中心备案;
授权后通过数据中台获取数据。
除上述情形外,在紧急、特殊情况下需共享数据的,须报学校网络安全和信息化领导小组裁决。
数据的共享类型与共享范围由数据提供单位提出初步意见,与信管中心共同商议确定,不能协商一致的,报学校网络安全和信息化领导小组裁决。
学校各单位有义务向其他单位提供可共享的数据资源,并有权利根据工作需要,提出数据资源共享需求。
学校各单位应严格按照申请的用途加强数据安全管理,数据共享平台仅供业务单位间数据共享和业务应用使用,师生个人需通过所属单位提交申请使用。
不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。
对使用用途不明确,存在安全风险隐患的数据申请,数据生产单位可以不予批准。
各单位应加强业务数据的分析、应用,不断提升数据管理效能,充分发挥数据的作用,推动科学决策、精准管理和个性服务。
数据的质量管理
数据质量管理主要是对数据质量进行约束性制度规范,确保数据生产和使用的一致性。
数据管理单位(信管中心)负责对数据质量进行监管。
数据生产单位在数据管理单位的指导下,负责对数据质量进行提升和优化。
数据使用单位对使用过程中发现的数据质量问题进行反馈。
各单位建立数据质量反馈机制,以确保数据的可用性。
数据使用单位有义务监督数据提供单位所提供数据是否完整准确、更新及时。
学校各单位在数据提供内容确定、数据交换接口完成后,如果用于交换的源数据结构或内容要变更,需提前向信管中心提出变更申请。
为保证全校数据的一致性,对于从权威单位获取的基础数据,学校各单位只能进行共享、引用和衍生数据,不能增加、删除和修改。 其中生成衍生数据时,必须清晰标注其所依赖的基础数据来源(提供单位、数据集名称、加工方法)及版本信息。
数据安全与保障
数据安全管理主要是为保障数据安全进行约束性制度规范,确保数据生产、提供和使用的可用性、完整性和保密性。数据管理涉及的校内各主体单位(信管中心、数据生产单位、数据使用单位)严格按照本办法履职尽责是数据安全管理的基础保障。
学校各单位应遵循数据安全管理相关制度、规范,明确责任人,切实落实安全管理责任。
学校各单位应加强对数据采集、使用等相关工作人员的数据安全教育和培训,增强本单位人员数据安全意识和法制意识。
学校各单位应加强服务器、存储等硬件设施的管理维护,定期对系统运行状况、备份数据进行检查,定期开展备份数据恢复演练。
学校各单位应定期对本单位负责管理的数据资源进行检查并做好记录。
学校各单位应加强数据的容灾能力建设,建立数据容灾备份机制和数据操作日志记录机制。
学校各单位在发生信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,应当立即采取补救措施,并按要求向信管中心报告。
学校各单位应加强供应链的安全管理,与服务厂商签订数据安全保密协议,并负责监督落实。
学校各单位应托管于校外的业务系统,均应实现数据的自主可控,在校内保持同步数据备份,确保学校数据的安全。
向境外提供数据需经安全评估并报领导小组审批。
监督与问责
违规情形包括:
规避数据中台私建传输通道;
擅自扩大数据使用范围或泄露数据;
未履行数据安全防护职责;
擅自公开或转交学校数据或用于申请授权范围以外的用途;
因失职导致数据质量严重问题;
未按要求报告数据安全事件;
未履行数据质量主体责任导致业务受阻的;
无合理依据拒绝合法共享申请的。
处理措施:
情节较轻的,责令限期整改,予以通报,并扣减责任单位年度信息化建设考核分值;
对因各种原因导致学校数据泄露、产生严重不良后果的单位和责任人,交由有关单位依纪依规追究其责任,永久取消直接责任人数据管理岗位资格;
涉嫌违法的移交司法机关处理。
附则
本办法由信息化建设与网络管理中心负责解释。
本办法自发布之日起施行。
