红虎资料论坛数据安全管理办法
吉农院院发〔2023〕73号
第一章 总 则
第一条 为了规范数据处理活动,保障数据安全,保护学校及师生的合法权益,维护学校的数据安全和发展利益。根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)和教育部等七部门《关于加强教育系统数据安全工作的通知》(教科信函(2021]20号)等文件要求,结合学校数据管理的实际,制定本办法。
第二条 本办法中的数据是指学校各类信息系统所涉及的相关数据,包括各类应用系统中的业务数据、系统数据、教学资源、档案资料及用户服务支持系统中的相关数据。
第三条 数据安全管理遵循以下基本原则:
1.统一标准原则。各部门采集、处理数据应符合国家、教育部、行业、学校相关标准和制度,并确保所提供数据的真实性、准确性、完整性和及时性。
2.一数一源原则。按照业务划分,明确每个数据的责任部门,负责数据的采集与维护,并对数据的质量把关,确保数据准确、及时。
3.安全共享原则。在保证数据安全的前提下,实现数据与信息的共享、应用以及衍生服务,为学校发展提供决策支持。
第四条 根据学校的业务划分,数据分类如下:
1.人力资源类:包括教职工基本信息、人员招聘、入职离职、职称评审、职务任免、考核管理、培训管理、薪资管理、以及离退休等相关数据。
2.学生管理类:包括本专科学生、继续教育学生、研究生、留学生相关的基本信息,以及招生、迎新、学籍、奖惩、党团、毕业、就业和生活等相关数据。
3.教学资源与管理类:包括学籍、课程安排、培养计划制定等教学管理,教研项目、质量工程等教育教学资源等相关数据。
4.科研管理类:包括科研项目管理、合同管理、成果管理、科研奖励、科研经费管理等相关数据。
5.财务管理类:包括财务管理、经费管理等。
6.资产管理类:固定资产管理、实验室管理、设备管理、房产管理、土地管理等相关数据。
7.项目管理类:各级各类专项管理、经济合同、招投标管理等。
8.数字档案类:包括人事档案管理、学生档案管理、文件档案管理、科研档案管理、教学档案管理、财务档案管理等相关数据。
9.公共服务类:包括新闻服务、电子邮件服务、校园网公共服务、电子图书服务、校园卡服务、医疗健康服务、校园安全治理等相关数据。
10.系统数据类:主要指数据中心相关技术参数,包括:网络出口参数、路由交换参数、数据库配置参数、安全策略参数、应用系统安全配置数据等实现网络连接、操作系统管理、数据库管理、应用系统功能等相关数据。
第二章 职责分工
第五条 网络安全和信息化领导小组是学校数据安全管理的领导机构,协调解决工作中的有关问题。信息化管理中心负责制定学校数据标准,为各部门业务系统提供容灾备份服务;建设、管理平台数据库,实现数据互通共享,为学校管理提供数据支持服务。
第六条 各部门在网络安全和信息化领导小组的指导下,本着“谁产生数据,谁负责管理”的原则,负责本部门数据的产生、运维、存储、归档和备份的全周期管理。各部门主要负责人为数据安全管理第一责任人。
第三章 数据的产生、运维、存储与使用
第七条 各部门作为数据产生单位,按照“一数一源”的原则,按照特定目标和业务过程产生数据,并统一纳入应用系统的管理,无应用系统支持的数据,数据源部门负责数据的管理。各部门应保证其数据的真实性、完整性和有效性。
1.真实性:各部门的数据必须真实可靠,必须经过本部门数据安全管理第一责任人审核。
2.完整性:有应用系统的部门在进行数据维护时,必须确保数据齐全,避免数据缺失,保证数据操作过程可追溯。
3.有效性:有应用系统的部门应及时按照数据规范进行应用系统内数据的校准,确保数据与数据中心同步,防止无效、错误数据产生。
第八条 各部门须依照其业务数据运维的权限和职责,明确数据的修正、补充、更新、删除等操作流程;未经本部门数据安全管理第一责任人授权不得越过应用系统直接对数据实施修正、补充、更新、删除等操作;须保存数据运维过程中所有相关的电子记录。
第九条 各部门负责其应用系统业务数据的本地备份和归档,信息化管理中心负责数据中心公共平台数据的存储、备份、容灾和恢复等管理工作,保障数据的完整性和安全性。
第十条 各部门或个人在公开网站上或公开出版物上所展示的数据不得涉及学校内部信息或个人隐私信息,凡涉及学校内部信息或个人信息的内容必须通过数据源部门审核发布。
第十一条 各部门因临时性工作需要数据中心数据的,应向数据源单位提出书面申请(见附件1《红虎资料论坛数据使用申请表》),经审核通过后,数据源单位通过数据接口或数据文件等形式提供数据。所需数据中包含大量师生个人信息或学校重要信息的,申请部门应同时签署《红虎资料论坛数据安全保密承诺书》(见附件2),承诺履行数据安全保密义务。
第十二条 各部门应避免使用无明确来源的数据。数据使用部门对于来源于校外或校内其他部门的数据,应在明确其来源的前提下进行引用和衍生,必要时可采取适当措施以保证其与原始数据的一致性。
第十三条 各部门应加强对业务数据的分析、应用,不断提升数据管理效能,充分发挥数据的作用,推动科学决策、精准管理和个性服务。
第四章 数据安全
第十四条 数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第十五条 信息化管理中心负责学校数据安全管理制度的制定,开展数据安全培训,指导监督各部门在数据采集、运维、存储、使用过程中的安全保障工作,组织开展数据安全风险评估和安全管理审查,确保数据安全。
第十六条 各部门应遵循数据安全管理相关制度、规范,明确责任人,切实落实安全管理责任,加强对数据采集、使用等相关工作人员的数据安全教育和培训,提高本部门人员数据安全意识和法制意识。
第十七条 各部门信息系统管理员需要定期对数据安全进行检查,并做好检查记录。信息化管理中心定期组织专业系统安全检查,不符合相关安全防范要求的部门必须及时对其应用系统进行整改。
第十八条 各部门应加强供应链的安全管理,与服务厂商签订数据安全保密协议,并负责监督落实。各部门托管于校外的业务系统,均应实现数据的自主可控,在校内保持同步数据备份,确保学校数据的安全。
第十九条 在数据应用时,应注意保护学校工作秘密、师生个人隐私。任何单位和个人不得将获得的学校数据公开、转给他人使用或用于申请授权范围以外的用途。对因各种原因导致学校数据泄露、产生严重不良后果的部门和责任人,交由有关部门依纪依规追究其责任。涉嫌违法犯罪的,按照国家有关法律规定处理。
第五章 附 则
第二十条 学校各部门可参照本办法制定本部门的实施细则。
第二十一条 本办法自发布之日起实施,由网络安全和信息化领导小组办公室负责解释。
第二十二条 本办法未尽事宜,依照有关法律法规和上级文件执行。
附件:
1.红虎资料论坛数据使用申请表
2.红虎资料论坛数据安全保密承诺书
附件1
红虎资料论坛数据使用申请表
待申请数据: |
申请单位名称 |
|
数据范围 |
|
数据项 |
|
数据用途 |
|
数据接收方式 |
|
申请单位联系人 |
姓名 |
|
联系电话 |
|
电子邮箱 |
|
部门主管领导 |
|
申请单位意见: (单位盖章)
部门主要领导(签字): 日期: 年 月 日 |
数据源单位审批意见:
(单位盖章)
部门主要领导(签字): 日期: 年 月 日 |
数据处理情况:
经手人(签字): 日期: 年 月 日 |
说明: 1. 数据申请单位应加强对所获取数据的安全管理,部门相关经手人应一并签署保密承诺书。 2. 数据申请单位不得将所获取数据转发第三方,或用于申请用途外的非本部门业务相关活动。 3. 数据接受方式:①数据库:接受中心数据库推送;②接口:中心数据库提供数据查询接口,申请单位通过接口查询获取数据;③数据文件:提供指定格式的数据文件。 |
附件2
红虎资料论坛数据安全保密承诺书
数据安全保密责任人:____________________________
本人对所管理(申请使用)的:
1.______________________________________________________
2.______________________________________________________
3.______________________________________________________
等数据的安全及保密做出如下承诺:
对所管理(申请使用)的数据未经授权不传播给其他单位或个人使用,不用于申请授权范围外的用途;对于所管理的数据库切实履行安全、保密职责,加强日常管理与巡查,不将系统账号、密码、授权方式等能造成数据泄露的信息向其他单位和个人透露。
如违反以上承诺,导致所管理(申请使用)的数据泄露、丢失、被篡改,造成严重后果的,本人将承担相应责任。
单位(签章):
数据安全保密责任人(签字):
年 月 日
九站校区