第一章 总则
第一条 为加强学校数据管理工作,推进学校数据的规范管理、互联互通和共享公开,提高数据质量,确保数据安全,推动学校数据科学配置和有效利用,发挥数据在学校改革发展中的重要作用,提高信息化条件下学校治理能力和公共服务水平,依据《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50号)和相关法律法规的文件精神,结合学校实际,制定本办法。
第二条 本办法所称数据,是指学校各单位和全体师生员工在教学、科研、管理与服务等活动中产生、并以信息化形式保存或记录的各类数据资源的总称,是学校的公共资源,包括但不限于文本、数据库、网页、图形图像、多媒体文件等格式。
第三条 数据管理包括数据的采集、存储、交换、共享、应用和安全管理及其相关标准规范和规章制度建设。
第四条 数据管理遵循以下基本原则:
(一)统筹建设原则。由数据中心按照教育部和学校相关标准组织开展数据资源的采集、存储、交换、共享和应用工作,坚持“一数一源”“多元校核”,统筹建设学校数据资源。
(二)全面共享原则。以共享为原则、不共享为例外,除《中华人民共和国保守国家秘密法》等法律法规所规定的涉密数据外,其它数据原则上允许各单位在其业务和管理范围内共享,并纳入学校数据中心统一存储、交换、应用。
(三)依法使用原则。对数据资源进行合法、合理使用,不得滥用,不得泄露国家秘密、学校秘密和个人隐私,切实维护数据资源主体的合法权益。
(四)安全可控原则。依托学校信息安全保障体系,建立从采集、存储、维护、交换、共享的全过程数据资源管控体系,完善数据资源管理安全机制,确保数据资源安全。
第五条 数据管理要实现以下目标:
(一)确保数据完整准确。建立学校数据的产生和采集机制,建立数据交换和质量核查机制,保障各个环节数据完整、准确、真实和规范。
(二)确保数据安全可靠。建立数据的分类分级管理与备份、容灾和恢复机制;建立数据操作日志记录机制及信息追溯机制;根据国家和学校的要求,做好数据保密工作。
(三)确保数据充分共享。数据是学校公共资源,归学校公有,非部门私有,数据原则上不对外开放。各单位在履行职责过程中各负其责,共同管理,在确保数据安全的前提下,实行以共享为原则,不共享为例外的授权共享机制。明确数据的产生单位和使用单位,建立数据交换体系,确保共享数据可多方使用。
(四)确保数据使用规范。规范数据的使用,建立数据使用的审批、公开等管理机制,在规范的基础上合理利用数据辅助管理与决策。
第二章 数据管理机构及职责
第六条 永州职业技术学院网络安全和信息化工作领导小组是学校数据管理工作的领导机构,负责学校数据建设管理有关重大事项的决策。
第七条 学校网络安全和信息化工作领导小组办公室(以下简称“信息办”)、数据中心是学校数据建设管理的工作机构,负责组织、协调学校数据建设管理工作,制定数据资源建设规划、标准、规范,建立全校数据工作考核与激励机制,指导和组织各单位编制数据资源目录、完善内部数据管理。信息办、数据中心配备专职数据管理员,负责公共数据平台建设、运行和管理,为数据利用与服务提供技术保障。
第八条 各单位主要负责人是本单位数据资源管理的第一责任人。按照“谁产生数据,谁负责管理”的原则,各单位负责本单位数据的产生、采集、存储、使用、维护、归档和备份的全周期管理。各单位须指定数据管理员,负责本单位数据的管理、使用与服务工作,并协助信息办、数据中心完成本单位数据与公共数据平台的对接工作。各单位数据管理员名单报信息办、数据中心备案。
第三章 数据产生与运维
第九条 采集数据资源需按规定程序批准。
校内职能部门和直属单位采集数据,均应经过充分论证。论证内容包括数据采集的必要性和可行性,采集数据与已有教育数据的关系,数据采集机制、经费保障等。
新建或升级信息管理系统应将系统和采集数据的论证材料报信息化工作领导小组办公室审核,由信息化工作领导小组办公室报校网络安全和信息化工作领导小组通过后实施,现有系统采集的数据指标应报信息化工作领导小组办公室备案。
第十条 新建或升级的信息管理系统应符合精简、高效的原则,数据采集遵循“一数一源”原则。凡属于信息资源目录可以获取的数据,原则上不得重复采集,所用的数据也应遵循最小化采集原则。
第十一条 数据资源产生包括数据采集、录入和审核三个环节。学校各单位是数据资源的产生单位,应遵循本单位业务规范及学校数据标准和规范产生数据,规范数据采集、录入和审核流程,建立数据质量核查和技术保障制度,保证数据真实、完整、及时、规范。所有业务数据原则上实行伴随式采集并及时存储到数据中心。
第十二条 信息办、数据中心及数据产生单位依据学校信息标准和实际情况,共同确定本单位业务数据的分级。各单位新增数据资源的定级以及现有数据资源的分级变更,由相关单位向信息办、数据中心提交申请。
第十三条 数据资源的运维是指各单位对本单位的数据进行新增、修改、补充和删除等操作。各单位须依照数据资源的运维权限和流程规范进行操作,并保证数据运维过程中所有相关日志记录的存储及可追溯。
第四章 数据存储、使用与归档
第十四条 信息网络中心负责收集、统筹和协调全校数据共享与使用的需求,并负责建设和运营学校的数据共享交换平台。
第十五条 学校各单位须将其信息化数据向学校的数据共享交换平台开放共享,即采用自动的程序接口方式实现数据同步,以便构建校级数据中心、业务数据中心和师生个人数据中心,开展全校的数据管理、分析和应用,支撑学校各类信息化服务。对没有系统管理的电子文档数据,各单位须定期以其他方式将该类数据提供给网络与信息网络中心集中管理。
第十六条 学校各单位需要使用学校数据的,须填写《永州职业技术学院数据使用服务申请》,并签署数据保密承诺书,信息网络中心技术初审通过后,经数据生产单位审批,并由信息网络中心和网络安全和信息化领导小组审批同意后,由信息网络中心统一提供数据服务。
第十七条 数据使用单位须确保数据实际用途与所申请的用途一致。若数据使用单位数据使用不当,信息网络中心和数据生产单位可即时终止数据使用授权,并要求数据使用单位及单位主要负责人采取补救措施,限期整改。。
第十八条 数据使用单位是数据管理的重要参与者,在数据使用过程中如发现数据质量问题或不能满足使用需求,应及时向数据生产单位和信息网络中心反馈,由网络安全和信息化领导小组组织协调并研究确定处理方案,由信息网络中心指导开展技术实施工作。
第十九条 学校各单位应进一步提升数据综合应用水平,充分利用学校数据中心的数据资源,探索开展多维度的数据分析和基于数据的决策支持,提升业务管理水平、决策水平和决策效率。网络安全和信息化领导小组负责统筹组织各单位进行与信息化数据相关的需求调研和技术交流活动。
第二十条 数据共享应遵循学校制定的数据共享流程。未经批准,严禁擅自向校外的任何团体和个人提供数据。
第五章 数据安全管理
第二十一条 各单位要采取必要的措施保证数据安全,避免数据丢失、被破坏、更改和泄露。
第二十二条 数据中心存储的数据,其安全防护由信息办、数据中心负责。信息办、数据中心将建立数据安全技术防护机制和数据巡检机制并采取数据备份、运维审计等措施,对全校数据资源的操作实行痕迹管理,以确保数据安全。
第二十三条 数据中心未存储的数据,其安全防护由数据产生单位自行负责。各单位要依据岗位职责和数据内容对数据管理员进行授权,数据管理员负责确保用户名、密码和数据安全。
第二十四条 各单位在使用校内数据时须通过公共数据平台获得,不得在业务系统之间以离线文档形式传递。在使用校外数据时,应明确其来源,避免使用来源不明的数据。
第二十五条 各单位必须确保数据使用遵循知情同意原则且具有明确的使用用途。
第二十六条 在数据应用时应注意保护个人隐私,只用于授权范围以内的用途。任何单位和个人不得将获得的数据私自公开,不得直接或间接以改变数据形式等方式提供给第三方,也不得用于或变相用于非授权目的。
第二十七条 各单位应定期对本单位负责管理的数据进行检查,并做好检查记录。
第二十八条 对于存在下列情形之一的单位,学校根据实际情况责令限期整改:
(一)发现本单位生产的数据质量有问题但不配合整改的;
(二)不将本单位的数据共享至学校的数据共享交换平台的;
(三)不整理本单位数据资源目录、数据基本情况以及数据明细情况的;
(四)不按照规定规范使用数据的;
(五)对本单位数据的安全管理不到位,发生数据安全事件的。
第二十九条 对于违反本办法造成学校损失的单位和个人,学校有权依法追究相关责任人的法律责任;涉嫌犯罪的,移送国家司法机关处理。
第六章 附则
第三十条 本管理制度由永州职业技术学院信息网络中心负责解释。
第三十一条 本管理制度自发布之日起实施。