吉首大学数据管理办法(试行)
第一章总则
第一条 为强化学校信息化建设顶层规划与标准规范,加强学校数据资源的统一管理和质量控制,促进数据资源交换和共享,推动数据资产高效利用,充分发挥数据资源价值,保障数据资源安全,有效提升数字化条件下学校的治理能力和公共服务水平,依据相关法律法规,结合学校实际,特制定本办法。
第二条 本办法所称数据,是指学校各单位和全体师生员工在教学、科研、管理与服务等业务活动中产生、并以信息化形式保存或记录的各类数据资源的总称,是学校的公共资源,包括但不限于文本、数据库、网页、图形图像、多媒体文件等格式。不包含涉密数据,涉密数据的管理按照上级有关法律法规进行。
第三条 本办法所称数据管理,包括数据的采集、存储、交换、共享、应用和安全管理及其相关标准规范和规章制度建设。
第四条 数据管理遵循以下基本原则:
(一)统筹建设原则,由信息化中心统筹做好采集、存储、汇聚、交换、共享、应用和销毁等数据资源建设工作。
(二)全面共享原则,数据资源必须通过学校数据中台实现共享,确保共享数据可多方使用。
(三)依规使用原则,切实维护数据主体的合法权益,确保数据的真实性、完整性、规范性和时效性。
(四)安全可控原则,建立数据使用的审批、公开等管理机制,确保数据整体安全可控。
第二章机构与分工
第五条 吉首大学网络安全和信息化领导小组统筹领导全校数据资源规划、建设、治理、共享、安全等全面工作。
第六条 信息化中心负责组织、协调和推动学校数据资源建设与管理工作,制定并发布数据建设规划、标准和规范,组织各单位编制数据资源目录,建设并维护学校数据中台,负责数据资源共享使用的协调、监督审核和技术支撑保障,牵头数据确权工作。
第七条 按照“业务谁主管谁负责,数据谁产生谁负责”的原则,各单位根据职责划分和业务分工,成为本部门业务数据的生产部门及本业务领域权威数据源责任部门(详见附件1)。
各业务部门主要负责人为本部门数据资源管理的第一责任人,并指定一名信息化管理员作为本部门数据资源管理的直接责任人,具体负责与学校数据中台的对接,部门数据资源目录的日常管理、运维及资源申请、审批等工作。
第三章分类与分级
第八条 根据学校各部门职能和数据来源,数据分为以下9类:
(一)组织机构类:包括学校各类组织机构名称、机构性质、组织层级、隶属关系、人员编制、干部编制等相关数据。
(二)人力资源类:包括教职工基本信息、人员招聘、入职离校、职称评审、职务任免、考核管理、培训管理、薪资管理、党团工作、出国证件管理、出国出访以及离退休等相关数据。
(三)学生管理类:包括本专科生、预科生、研究生、留学生等所有与学生相关的基本信息,以及招生、迎新、学籍、奖惩、党团、毕业、就业和生活、出国(境)外留学等相关数据。
(四)教学管理类:包括本专科生、预科生、研究生、留学生等所有与学生相关的教学管理、教学研究、培养方案、培养计划、培养过程管理等学籍、教育教学资源等相关数据。
(五)科研管理类:包括科研项目管理、合同管理、成果管理、科研机构管理、科研经费管理等相关数据。
(六)财务资产类:包括财务管理、内控管理、经费管理、审计管理、固定资产管理、无形资产管理、实验室管理、设备管理、房产管理、招投标管理等相关数据。
(七)公共服务类:包括新闻宣传、电子邮件服务、图书服务、校园一卡通服务、医疗健康服务、校园安全治理等相关数据。
(八)网络信息类:包括校园网运行、上网行为、数据库管理、网络安全、应用系统管理等相关数据。
(九)其他数据类:未包含于上述数据范围但属于学校数据资产的数据,均须按照“谁产生谁负责”原则落实到相应部门予以管理。
第九条 结合学校管理运行实际,数据资源按照安全分级原则,分为三级:
(一)Ⅰ级(一般级):一般性数据,内部使用、不对外公开的数据。比如校内工作通知、非涉密的行政报表、普通办公文档等,泄露可能造成轻微工作不便。
(二)Ⅱ级(敏感级):涉及隐私或业务核心,泄露会产生较大影响的数据。比如师生身份证号、联系方式、考勤记录、非涉密科研数据、校园消费数据等,泄露可能引发隐私纠纷或业务紊乱。
(三)Ⅲ级(核心级):关乎安全、重大利益,泄露将造成严重后果的数据。比如涉密科研项目数据、财务核心数据、招生录取敏感信息、系统管理员密码等,泄露可能导致重大损失或合规风险。
第四章采集与汇聚
第十条 各数据生产部门应当在其业务职责范围内,制定和执行本部门业务管理领域的数据质量管理规范,规范数据采集、录入和加工处理等过程。数据采集遵循“一数一源”、精简高效原则,原则上不得跨类采集;凡属数据中台已提供的标准化数据,不得重复采集;确因特殊业务需求需跨类采集或重复采集的,须经数据源部门及信息化中心审批备案后方可实施。
第十一条 各部门应依据数据类的管理权限和职责,对所管辖的数据进行补充、修正、更新和删除。
第十二条 各部门所管辖的数据应全部纳入学校数据中台统一管理,由数据生产部门牵头,会同信息化中心完成数据调研、梳理、确权工作,再将数据推送至数据中台编制后形成本部门数据资源目录,经数据生产部门审核通过后对外发布。
第十三条 各业务部门在开展所属信息系统建设前应完成本系统的数据资源规划工作,在信息系统数据集成方案中应明确需要采集的数据、本系统产生的数据、数据的安全分级、需要数据中台提供的数据,确认数据资源的共享形式,并与信息化中心共同确认该方案。
第十四条 数据汇聚工作由信息化中心统筹,主要包括统一制定数据汇聚管理规范、数据标准推行、工作流程发布、技术方案制定、技术落地实现、数据质量评价和监管、敏感数据加密存储等工作。
第十五条 数据汇聚原则上须通过数据中台统一标准接口实施;对于老旧遗留系统等无法直接对接数据中台的场景,须经信息化中心审批备案后,采用合规过渡技术手段接入,严禁私自采用非正式渠道传输、汇聚业务数据。
第十六条 当数据结构或接口发生变更时,数据生产部门应及时更新数据资源目录,及时通知信息化中心做技术协调,协助数据使用部门完成相应调整。
第五章共享与使用
第十七条 数据资源必须通过学校数据中台实现共享。共享数据的生产部门应及时提供、维护和更新共享数据,确保提供的共享数据与本部门数据一致。
第十八条 数据资源目录中应明确数据共享类型,分类如下:
(一)无条件共享:具有公共基础属性且非敏感,可共享使用的数据。
(二)有条件共享:数据内容敏感或按数据确权约定,需权威数据源部门审批通过后,才可共享使用的数据。
(三)不共享:依据法律法规、学校规章制度,不允许共享使用的数据。如不共享数据,数据生产部门有义务向数据使用部门说明理由。
第十九条 数据资源共享类型的划定,由学校网络安全和信息化领导小组基于数据资源目录、学校发展实际及各单位业务需求研究审定,信息化中心负责具体实施管理。凡确定为不共享的数据资源,必须有法律、行政法规或上级政策作为依据,数据生产部门应说明理由,报信息化中心备案。
第二十条 各数据生产部门应按照学校数据标准及学校数据中台接入规范,可采用API接口、数据库中间库、离线文件三种方式向数据中台提供共享数据。
数据接入优先采用API标准接口方式。可开放数据库授权的业务系统,采用数据库中间库同步方式。暂无业务系统或老旧遗留系统暂不具备接口及中间库改造条件的,可采用合规离线文件方式作为过渡。
第二十一条 数据使用部门应遵循相关法律法规以及共享审核结果所描述的用途,填写《吉首大学数据资源使用申请表》(附件2)依规申请、安全使用数据,按照“谁经手,谁使用,谁管理,谁负责”的原则,加强数据使用的全过程管理。
使用需求中涉及敏感级及以上数据使用时,需按《吉首大学数据共享与使用保密协议》(附件3)签订保密协议,经信息化中心审核、数据生产部门及其主管领导通过后,从学校数据中台获取共享数据。
使用需求不涉及敏感级数据使用时,经数据生产部门审核通过后,从学校数据中台获取共享数据。
第二十二条 数据使用部门对获取的共享数据有疑义或发现有明显错误的,应及时反馈给信息化中心和数据生产部门予以校核。
第二十三条 信息化中心通过数据中台建立数据流通监控平台和日志系统,实时监控校内数据的共享流通情况,及时发现、解决数据共享流通中出现的问题。
第二十四条 学校各单位在申报信息化项目或制定信息化项目预算前,完成本单位数据资源目录的编制计划,作为项目审批或预算审批的要件。不按本办法编制数据资源目录的申请项目和相关预算,原则上不予立项,不予安排经费。
第二十五条 项目建设结束前,应及时将本单位数据资源目录纳入校级《数据资源目录》中,作为项目验收或年度结算的必要条件。对未编制数据资源目录和未完成与公共数据中台对接工作的项目不予验收。
第二十六条 各单位应当建立本单位数据资源目录更新机制,因数据资源目录要素内容发生调整或可共享的数据资源出现变化时,应当在3个工作日内将变化情况报信息化中心,进行数据资源目录的更新操作。
第六章归档与销毁
第二十七条 数据归档工作遵循合法合规、应归尽归、全程可控、安全保密的原则,按照具体业务要求依法依规归档。
第二十八条 数据生产部门是归档责任主体,负责本部门数据梳理、整理、定密、归档发起及日常管理。学校档案管理部门统筹指导,负责制定归档标准、留存期限,开展归档验收、入库及档案管理。信息化中心负责技术支撑,负责归档数据的存储保障、备份运维、安全管控及技术确认。
第二十九条 数据销毁是数据全生命周期管理的终端环节,指对超出保存期限、无留存价值、业务废止或依规禁止留存的业务数据、历史数据及冗余数据,通过合规、不可逆的方式进行清除处置,彻底消除数据残留,杜绝数据泄露、滥用风险。
第三十条 各数据生产部门为数据销毁的责任主体,负责本部门所辖过期、废止、冗余数据的排查、梳理与销毁发起工作。信息化中心负责监督指导全校数据销毁工作,规范销毁流程、技术标准及操作规范。
第三十一条 数据销毁须遵循合法合规、最小留存、全程可控、彻底不可逆原则,严格区分归档留存与销毁处置范围。对超出法定及学校规定保存期限、业务终止废止、重复冗余、无效失效的数据,必须依规开展销毁处置;涉及审计、纪检、财务、学籍档案等有法定长期留存要求的数据,严禁擅自销毁,按对应专项档案管理规定执行归档留存。
第三十二条 数据销毁实行审批备案制度。各部门开展数据销毁工作前,须梳理待销毁数据清单,明确数据类型、存储位置、销毁事由及销毁方式。需学校数据中台进行数据销毁的,填报《吉首大学数据销毁申请审批表》(附件4)、《吉首大学待销毁数据明细清单》(附件5),经部门负责人审核、信息化中心复核通过后方可实施销毁。严禁任何单位或个人私自删除、清空、篡改、销毁业务数据。
第三十三条 数据销毁区分存储场景采用对应合规方式:业务系统本地数据、离线文件数据、备份冗余数据,须分别采用技术清除、覆写销毁、物理销毁等不可逆方式处置,彻底清除数据本体及日志残留、备份残留、缓存残留,确保无数据可恢复、无信息泄露隐患。
第三十四条 数据销毁实行全流程台账管理,全程记录数据名称、数据量级、销毁时间、销毁方式、操作人、审核人、监督人等关键信息,销毁台账及审批记录长期留存归档,实现数据销毁全程可追溯、可核查。
第七章安全与监督
第三十五条 信息化中心负责贯彻落实数据安全管理有关要求,统筹协调开展学校数据建设与安全监督相关工作。
第三十六条 各部门应提升数据安全意识,加强数据采集、使用、销毁等相关工作人员、合作机构的数据安全教育。各部门信息化管理员、合作单位技术工程师等相关人员应签订《吉首大学数据安全承诺书》(附件6),严格遵守法律法规和相关规定,履行相关职责。各信息化项目承建方应签订《信息安全保密协议》(附件7)。
第三十七条 各单位负责本单位所属信息系统数据的定期备份或动态保存,制定数据备份恢复方案,保证备份数据可恢复;此外,还需针对重大突发事件的特殊需求,制定数据存储和恢复的应急保障预案。
第三十八条 违反本办法规定,出现下列情形的,应当根据实际情况限期改正。
(一)不按照规定将本单位数据资源目录和掌握的数据提供给其他部门共享使用的;
(二)不按照规定随意采集数据,扩大数据采集范围,造成数据重复采集,增加成本和负担的;
(三)提供不真实、不准确、不全面的数据资源目录和数据,未按照规定时限发布、更新数据资源目录和数据的情况。
第三十九条 违反学校及本办法相关规定,造成严重不良后果的,按照相关规定予以追责问责。
(一)对获取的共享公共数据管理失控,致使出现滥用、非授权使用、未经许可的扩散以及泄露的;
(二)不按照规定,擅自将获取的共享公共数据用于本部门履行职责需要以外的用途,或擅自转让给第三方,或利用共享公共数据开展经营性活动的情况。
第四十条 对于违反法律法规,造成国家、学校和个人重大损失的,依据相关法律法规追究相关责任人的责任。
第八章附则
第四十一条 本办法由信息化中心负责解释,自发布之日起施行。
附件:
1.《吉首大学数据中心元数据字段字典_权威业务解释V1.0.0》
2.《吉首大学数据资源使用申请表》
3.《吉首大学数据共享与使用保密协议》
4.《吉首大学数据销毁申请审批表》
5.《吉首大学待销毁数据明细清单》
6.《吉首大学数据安全承诺书》
7.《信息安全保密协议》