关于校内数据资源建设、治理、共享和使用的
有关规定
第一章 总 则
第一条 为加强学校数据资源的统一管理和质量控制,规范数据资源的生产、存储、运维、共享、使用、传输、归档、安全和监督等各项工作,推动学校数据资源科学配置和有效利用,发挥数据资源在支撑教学、科研和提升行政效能等方面的重要作用,提高信息化环境下学校治理能力和公共服务水平,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规,参照国务院《促进大数据发展行动纲要》、国家发展和改革委员会《政务信息资源目录编制指南(试行)》、教育部《关于加强新时代教育管理信息化工作的通知》等文件精神,结合学校实际,制定本规定。
第二条 本规定所称数据资源是指学校各单位及师生员工在履行职责过程中产生或采集的、以一定形式记录和保存的各类数据资源,包括但不限于各单位直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托信息化系统形成的数据资源等。
第三条 数据资源管理是指学校办学过程中建立数据资源的标准与规范,对数据资源的生产、存储、运维、共享、使用、传输、归档、安全和监督等方面的管理以及相关规章制度的建设。
第四条 数据资源管理总体遵循“统筹规划、统一标准、一数一源、共建共享、依法使用、安全可控”的原则。数据资源的生产管理遵循“谁主管,谁负责”“谁生产,谁负责”“谁提供,谁负责”的原则,数据资源的存储和运维管理遵循“谁主管,谁负责”“谁维护,谁负责”的原则,数据资源的传输、共享和使用管理遵循“谁经手,谁负责”“谁使用,谁负责”的原则。
第五条 数据资源管理要实现数据资源的完整准确、安全可靠、充分共享、使用规范的目标。
(一)确保数据资源完整准确。建立学校办学中所需全部数据资源的产生和采集机制,按照业务要求和数据资源质量管理规范建立数据资源交换和质量核查机制,保障各个环节数据资源完整、准确、真实和规范。
(二)确保数据资源安全可靠。建立数据资源的分级管理与备份、容灾和恢复机制;建立数据操作日志记录机制,保证数据资源更改可追溯;根据国家和学校的要求,做好数据资源保密工作。
(三)确保数据资源充分共享。建立数据资源一次产生、采集机制,避免多头采集、重复采集;建立公共数据平台交换机制,明确数据资源的生产单位和使用单位,确保数据资源可供多方使用。
(四)确保数据资源使用规范。规范数据资源的使用,建立数据资源使用的审批、公开等管理机制,在保护个人隐私的基础上合理利用数据资源辅助管理与决策。
第六条 学校各单位的数据资源管理工作的执行情况将作为信息化项目立项及资金安排的重要依据。
第二章 管理机构
第七条 中共辽东学院网络安全和信息化委员会(以下简称为网络安全和信息化委员会)是学校数据资源管理工作的领导机构,负责数据资源建设有关重大事项的决策。
第八条 网络安全和信息化委员会办公室(以下简称为网信办)是学校数据资源建设的日常工作机构,牵头单位为网络与信息化中心,负责组织、协调和推动学校数据资源建设工作,会同委员会成员单位制定数据资源建设规划、标准、规范等实施办法,指导和组织各业务部门编制数据资源目录,负责学校公共数据平台建设、运行和管理。
第九条 各单位的主要负责人为本单位数据资源管理的第一责任人。根据全校数据资源总体规划,被确定为数据权威来源的单位,属于数据资源生产单位,应当按照“谁生产、谁维护、谁负责”的原则,对本单位数据资源的生产、采集、存储、维护、治理、共享和安全等进行管理。各数据产生单位负责制定本单位产生数据的共享办法及范围,并向网信办备案,如没有提出具体共享办法及范围,默认为面向校内共享。使用学校共享数据资源的各单位,属于数据资源使用单位,应按照“谁使用、谁负责”的原则,负责共享数据资源使用全过程管理。
第十条 各单位安排专人负责本单位数据资源与学校公共数据平台的对接,并根据业务需要向公共数据平台提供或获取数据资源。
第十一条 党政办公室负责制定学校数据资源归档管理制度,提出业务系统的数据资源归档功能要求,指导和组织各单位完成数据资源的收集、整理、著录和移交归档等各项工作,负责电子档案管理系统建设、运行和管理。
第三章 数据资源生产
第十二条 数据资源生产主要包括数据采集、录入和审核三个步骤。学校各单位作为数据资源生产单位,应遵照本单位业务规范以及《辽东学院信息标准编码规范》,按照特定目标和业务过程产生数据,并保证数据资源的真实性、准确性、时效性、完整性、规范性和一致性。
(一)真实性。学校各单位的数据资源必须真实,须经本单位业务人员审核。
(二)准确性。学校各单位的数据资源必须经过准确性核验并定期进行准确性核验,以保证数据的准确无误。
(三)时效性。学校各单位须实时或在规定的时间内进行数据资源更新,确保数据与实际业务同步,防止无效数据、过时数据产生。
(四)完整性。学校各单位须确保数据资源完整、齐全,避免数据缺失。
(五)规范性。学校各单位在进行数据采集、录入、审核时须保证数据资源的规范可用。
(六)一致性。学校各单位须确保本单位生产的数据具有一致性,防止出现数据取值不一致、数据值依赖关系不一致和数据值逻辑关系不一致等问题。
第十三条 学校各单位有数据资源采集需求时,除法律、法规另有规定以外,应当遵循“一数一源”的原则,严格按照使用规范开展数据采集、录入和审核工作,不重复采集,严格控制采集范围。
第十四条 除法律、法规另有规定的情况,凡属公共数据平台可以共享获取的数据资源,各单位不得再要求其他单位或师生重复提交。
第四章 数据资源存储
第十五条 各单位业务系统所承载的数据资源需存储在具有高可靠性的介质上并配备相应的安全防护手段。原则上,学校重要数据资源应存储于学校数据中心,因特殊原因,需要存储于其他地点的,由责任单位负责相关工作,管理机构提供技术指导。
第十六条 各单位需建立本单位管理的数据资源的备份制度,制定合理的备份方案,重要数据资源必须进行容灾备份并对数据资源灾后恢复进行有效性检验,有条件的单位应对重要数据资源进行异地备份。
第十七条 各单位管理的学校重要数据或有条件共享的数据未经审批不允许存储至公有云平台。确需使用公有云平台存储数据的,须经管理机构审批同意,相关单位要与公有云提供方签署安全保密协议,做好数据备份,确保数据安全。
第十八条 学校公共数据平台数据来源单位的信息系统或数据资源存储架构发生变更的,须经管理机构审批,并及时配合调整本单位数据资源与学校公共数据平台的同步机制。
第五章 数据资源运维
第十九条 数据资源运维是指各单位在业务开展过程中,对其数据资源所进行的补充、修正、更新和删除等操作。
第二十条 各单位应根据实际,制定并落实本单位业务系统数据资源维护的技术性方案和操作办法。
第二十一条 各单位须严格按照岗位设置,明确其业务系统数据维护授权,依照业务数据资源运维的权限和职责,明确数据资源运维操作流程,保存运维过程中所有相关的日志记录,未经授权不得对数据资源进行操作。
第二十二条 为确保各单位相关信息系统数据一致性,数据生产单位不可随意删除所生产的数据,如确需删除数据,需本单位负责人审批同意并做好备份等技术处理,删除共享数据的必须向管理机构报备并做好与公共数据平台的同步和更新工作。
第二十三条 数据资源生产单位在数据资源运维过程中,须保存历史数据,支持回溯查询和统计,不可只保存最新状态数据。
第二十四条 各单位业务系统管理人员严格按照规范及时维护业务系统,定期更改系统认证口令,严禁在未按规定授权的情况下委托他人进行数据维护。因系统故障、误操作、信息泄露等原因导致数据资源维护问题的,应当立即采取补救措施,并及时向管理机构报告。
第二十五条 数据资源生产单位应加强数据治理,确保数据质量。因业务需要,数据结构或采集范围发生变更前,须向管理机构提出变更申请并备案。
第六章 数据资源共享
第二十六条 除《中华人民共和国保守国家秘密法》及其他法律和规范规定的涉密数据外,其他数据资源原则上均须共享至学校公共数据平台,进行按需共享和使用。学校数据资源“以共享为常态,不共享为例外”“以及时共享为常态,不及时共享为例外”。
第二十七条 学校数据资源共享分为普遍共享、有条件共享和不予共享三种类型。
(一)普遍共享类:具有基础性、基准性、标识性的数据资源;数据资源提供方明确可以共享的数据资源;经管理机构核定应当共享的数据资源。
(二)有条件共享类:数据资源内容敏感、按照保密管理或其他规定,只能按特定条件提供给资源需求方的数据资源。
(三)不予共享类:有法律法规、学校规章制度或其他依据明确规定,不允许共享的数据资源。
第二十八条 各单位根据职责,对本单位所掌握的数据资源进行梳理,确定其共享属性,形成数据资源目录,并确保其准确性、完整性和合规性。
第二十九条 学校公共数据平台是全校唯一的数据资源共享平台,可向数据使用单位提供标准统一、流程规范的共享数据。原则上,数据资源生产及使用单位或者其他组织、个人不得建设独立的共享平台或通过其他途径进行数据资源共享。
第三十条 各单位应及时将本单位共享数据资源共享至学校公共数据平台,并向管理机构提供相应的数据字典、数据库说明等相关技术文档,实现本单位业务系统与公共数据平台的自动对接和数据同步,数据同步周期一般不超过24小时。
第三十一条 各单位在新建业务系统项目立项时,需确保符合学校数据标准,并可接入学校公共数据平台。在项目验收前,完成数据资源目录编制工作和公共数据平台对接工作。
三十二条 各单位数据资源目录要素内容发生调整或可共享的数据资源出现变化时,应提前向管理机构报备,以便及时更新调整共享数据资源。
第七章 数据资源使用
第三十三条 学校数据资源是学校的公共资产,除《中华人民共和国保守国家秘密法》及其他各项法律法规规定的涉密数据外,其他数据原则上允许校内各单位在其业务和管理范围内按需共享使用。
第三十四条 学校数据资源应为学校各项事业发展和各单位业务需求服务,发挥数据资源在服务教学科研、提升管理服务能力和辅助决策等方面的作用。未经允许,严禁将学校数据资源用于学校事业发展和各单位业务需求范围之外。
第三十五条 学校各业务部门有义务向其他业务部门提供可共享的数据资源,并有权利根据履职或特定工作需要,提出数据资源共享使用需求。除法律、法规另有规定外,各单位不得拒绝其他单位提出的合理的数据资源共享使用需求。
第三十六条 对普遍共享类数据资源,数据使用单位提出申请,通过数据接口或数据导出等形式提供数据,按照约定方式共享使用数据资源。对有条件共享类数据资源,还需经数据资源生产单位(数据源单位)审批,对共享方式有异议的由管理机构进行协调处理。
第三十七条 数据使用单位获取共享数据资源后,只能用于单位履行职责和特定工作需要,并加强对共享数据使用的全过程管理。利用数据开展统计分析、科学研究、决策分析等,应对数据进行必要的脱敏处理。
第三十八条 数据使用单位在使用获取的共享数据过程中,必须遵循学校统一的数据标准,不得篡改数据,不得扩大数据使用范围,做好安全防护以防信息泄露、毁损、丢失,严禁向非授权单位或个人提供数据。
第三十九条 校内团体、组织或个人出于科研或教学等需求,需要使用学校数据资源,须向数据资源生产单位和管理机构提出明确的共享需求和用途,按照第三十六条之规定审批同意后方可获取数据资源,涉及学校敏感信息和个人隐私等数据资源,开放使用前须进行脱敏处理。
第四十条 数据资源使用中遵循“最短周期”存储原则,存储期限应当为实现处理目的所必要的最短时间,超过期限的数据应及时进行归档或销毁。
第四十一条 使用单位对获取的共享数据资源有疑义或发现有明显错误的,应及时反馈数据提供单位予以校核修正并报备管理机构。
第四十二条 鼓励并支持数据生产单位及使用单位在合规合法、保证数据安全的前提下,开展大数据开发和利用,深度挖掘数据价值,服务学校事业发展。
第八章 数据资源传输
第四十三条 学校建设满足数据资源共享和业务协同需求的统一数据交换平台,是学校各业务系统数据资源传输的主要途径,通过统一数据交换平台实现各业务系统与公共数据平台、各业务系统之间的数据资源共享和交换。
第四十四条 学校各单位在进行业务系统数据资源传输时,应根据数据资源的性质和特点,选择采用统一数据交换平台接口或离线文件途径,其中以统一数据交换平台接口为主要数据传输途径。
第四十五条 学校重要数据资源、敏感数据及涉及个人隐私的数据不允许通过社交软件、即时通讯工具等个人线上方式传输,严禁将学校数据资源传输至非业务需要的外网平台或个人网络空间。
第九章 数据资源归档
第四十六条 各单位生产的业务数据作为各单位业务活动的原始记录,是学校重要的数字档案资源,应按照学校电子文件归档和电子档案管理规范,及时向学校电子档案管理系统归档。
第四十七条 学校公共数据资源由学校公共数据平台统一归档,其他业务数据由各业务系统通过统一数据交换平台进行归档。统一数据交换平台不适用或未覆盖的业务系统,通过与电子档案管理系统对接进行归档。
第四十八条 各单位业务系统在新建或升级时需配置符合学校电子文件归档要求的数据归档功能,开放相应的数据接口。
第十章 数据资源安全
第四十九条 各单位必须确保数据资源的采集遵循知情同意原则且具有明确的使用用途。在使用校外数据时,应明确其来源,避免使用来源不明确的数据。
第五十条 各单位要采取必要的措施保证数据资源安全,建立应急处置、备份恢复机制,避免数据丢失或被破坏、更改和泄露,保障数据的安全性和可靠性。
第五十一条 各单位应坚持最小化和最适用原则,合理设置数据资源管理及操作权限,任何单位和个人均不得越权。各单位应与重要数据资源管理人员签署数据管理保密责任书。
第五十二条 各单位业务系统对数据的操作应记录审计日志,日志记录保留时间应符合相关规范要求(不少于180天),同时提供便捷的日志查询功能。审计日志的访问只能为被授权的只读访问,任何人不得修改。
第五十三条 在数据资源使用时应注意保护个人隐私,只能用于申请授权范围以内的用途。任何单位、团体、组织和个人不得将获得的数据公开,不得直接或以改变数据形式等方式将学校数据资源及使用学校数据资源产生的成果提供或转让给第三方,也不得用于或变相用于其他目的。
第五十四条 任何单位、团体、组织和个人在使用学校数据资源过程中,不得损害数据生产单位的合法权益,不得损害学校的合法权益。未经学校允许,严禁使用学校数据资源开展经营性活动。
第五十五条 各单位委托第三方建设、维护学校业务系统,加工业务数据,应当监督受托方履行相应的数据安全保护义务,并签署安全保密协议。
第五十六条 学校各单位应定期对本部门负责管理的数据资源进行检查和备份,并且做好检查记录。
第十一章 数据资源监督
第五十七条 违反本规定,有下列情形之一的,由网络安全和信息化委员会根据实际情况责令限期改正;造成严重不良后果的,由网络安全和信息化委员会按照相关规定予以追责问责:
(一)不按照规定将本单位资源目录和掌握的数据资源提供给其他部门共享的;
(二)不按照规定随意采集数据资源,扩大数据采集范围,造成重复采集数据,增加成本和负担的;
(三)提供不真实、不准确、不全面的资源目录和信息化数据资源的,未按照规定时限发布、更新资源目录和信息化数据资源的;
(四)对获取的共享数据资源管理失控,致使出现滥用、非授权使用、未经许可的扩散以及泄漏的;
(五)不按照规定,擅自将获取的共享数据资源用于本单位履行职责需要以外的,或擅自转让给第三方,或利用共享数据资源开展经营性活动的。
(六)实际使用数据资源用途与申报不一致的;
(七)违规使用涉及国家安全、学校敏感信息、个人隐私数据资源的;
(八)擅自更改或者删除数据(日志)的;
(九)其他违反本规定行为的。
第五十八条 对于违反法律、法规和学校相关规定,造成国家、学校和个人损失的,学校将依法依规追究相关责任。
第十二章 附则
第五十九条 各单位开展涉及国家秘密的数据处理活动的,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
第六十条 本规定由中共辽东学院网络安全和信息化委员会负责解释。
第六十一条 本规定自印发之日起施行。
