信息化與大數據管理中心
  學校首頁
您當前所在的位置: 首頁 > > 規章制度 > > 正文

《西南財經大學數據管理辦法》

發布日期:2022-11-30


第一章

第一條 為適應學校數字校園建設要求,推進數據治理,消除數據孤島,提升數據價值,確保數據安全特別是學校重要數據和師生個人信息安全,以數據驅動數字賦能支撐學校現代化發展,根據《中華人民共和國民法典》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》和教育部《高等學校數字校園建設規范》《關于加強教育系統數據安全工作的通知》等國家法律法規和文件精神,特對2018年制定《西南財經大學數據管理辦法(試行)》進行修訂。

第二條 本辦法旨在按照現代化、高質量、新財經、雙一流的學校現代化建設目標,依法建立學校數據資產管理與安全保護體系,構建學校數據資產目錄和數據標準,明確數據資產管理與安全保護責任,規范數據授權使用,指導開展數據治理,以數據驅動支撐學校發展,以數字賦能牽引學校治理體系和治理能力現代化。

第二章 組織機構

第三條 學校網絡安全和信息化工作領導小組辦公室(以下簡稱“網信辦”)負責對全校范圍的數據資產進行統一管理、標準編制和安全保護。具體工作包括:制定學校數據編碼標準和數據共享規則;制定和完善數據采集規范和管理技術,為學校數據共享、數據服務和決策分析提供服務保障;為各部門數據管理工作提供業務指導與技術支撐;統籌制定和發布數據責任清單、數據需求清單、數據負面清單和數據資產目錄。

第四條 信息與教育技術中心(以下簡稱“信息中心”)在網信辦領導下建設校級數據交換平臺、數據治理技術、數據存儲和災備以及大數據應用平臺,保障平臺和技術的正常運行;支撐信息系統向共享數據中心的數據集成,通過共享數據中心向業務部門提供統一的訪問授權和數據服務,提供數據訪問控制、日志審計等安全防護措施,保障數據的存儲安全和使用安全。

第五條 學校各部門按照“誰主管誰負責,誰運營誰負責、誰使用誰負責”的原則,負責本部門數據資產的生產、維護、存儲、歸檔和備份的全生命周期管理,落實學校公共數據資產使用的安全保護義務,共同承擔數據安全特別是保護師生個人信息安全的責任。各部門主要負責人為數據安全管理第一責任人。

第三章 數據資產

第六條 本辦法中的數據資產是指西南財經大學內部各類信息系統所涉及的相關數據,包括各類應用系統中的配置信息、業務數據、教學資源、檔案資料和業務運行過程中產生的過程形成性數據等數字信息。

第七條 本辦法中的數據資產管理是指各項業務過程中與數據的收集、存儲、加工、使用、提供、交易、公開等數據活動相關聯的數據資產形成、使用、保存等管理工作,包括與數據資產相關的標準建立、質量控制、共享交換、合規使用、規章制定等事項。

第八條 數據資產管理原則

(一)數據資產全生命周期管理原則。建立健全覆蓋數據收集、傳輸存儲、使用處理、開放共享等全生命周期的常態管理和安全保護制度。

(二)安全共享原則。以數據安全為前提,實現數據與信息的共享、應用以及衍生服務,為學校管理服務提供決策支持。

第九條 數據資產管理目標

(一)保障數據完整準確:實行數據質量核查審計機制,保障數據在各個環節的規范性、完整性和準確性。

(二)保證數據安全可靠:建立數據資產的分級管理與備份、容災機制;明確數據的所有權和管理權限,建立數據更改溯源機制;根據國家、教育部和學校的相關要求,做好數據保密工作。

(三)提升數據服務質量:全面提升數據價值和提高數據服務水平,充分發揮數據資產在學校發展中的重要戰略作用。

第四章 數據責任

第十條 數據活動各環節的關聯單位承擔響應的數據責任,包括但不限于生產、維護、授權、使用、存儲等數據活動中應遵循“最小必要”采集、”最短周期”存儲和“只用不存”的數據安全責任。

第十一條 數據生產是指通過數字化手段采集或業務運行過程中伴生性產生數據的過程。依照“一數一源”和“誰生產,誰主管”原則確定數據資產生產部門。數據資產生產部門是數據資產唯一來源和歸口管理部門,其他部門不得生產或修改同一數據。數據資產生產部門負責數據資產全生命周期管理,包括生產、維護、發布、備份、刪除和歸檔。在數據資產生產過程中遵循“最小必要”原則,嚴格按照業務需要和職能邊界確定數據收集使用范圍,不得重復收集數據。

第十二條 使用其他部門或學校公共數據的單位為數據資產使用部門,負責提出數據資產使用需求、申請數據資產支撐服務。數據資產使用部門應遵循“只用不存”原則使用數據,不得超出數據資產使用申請范圍使用數據。未經數據資產生產部門授權,不得將獲取的數據拷貝給其他部門或個人,不得將數據下載到本地設備并長期保留,本地設備包括但不限于辦公電腦、個人電腦、單位或個人的U盤、移動設備等設備。

第十三條 網信辦負責統籌學校公共數據的數據資產、數據責任和數據負面清單編制,負責學校數據辭典和數據資產表的編制。網信辦協調相關單位開展數據治理,落實數據責任,按照“一數一源”原則將各業務部門的專用數據納入學校校級數據中心統一存儲,統一備份。保密數據和國家法律法規規定的重要數據除外。

第十四條 信息中心負責校級統一數據中心和數據資產交換平臺的建設與運維管理,對重復采集、違規下載、違反負面清單使用等數據活動進行審計,提供統一的訪問接口和數據服務,提供數據異地災備條件和系統,確保數據的存儲和使用安全。

第五章 數據治理

第十五條 數據資產的生產、使用、共享和安全管理等工作在統籌管理、統一標準的基礎上開展。數據的標準及管理應符合國家、教育部、學校等制定的相關標準和規范。

第十六條 數據資產按照“一數一源”原則進行歸口管理,明確數據生產部門對數據項的管理責任,不得多頭收集。

第十七條 校級統一數據中心依托數據資產交換平臺按“應匯盡匯”原則歸集應用數據。信息系統歸口管理部門應在信息系統立項建設時同步規劃、同步實施數據共享,上線前向網信辦提交數據字典,提供數據共享傳遞接口,配合校級數據中心元數據庫和公共數據庫建設。

第十八條 數據生產部門應對數據管理各環節實施精確管理,建立數據質量檢查糾錯機制,把控數據質量,遵循和落實各級數據編碼規則,確保數據的真實性、完整性、規范性、準確性和時效性。

第十九條 網信辦統籌和指導信息系統歸口管理部門進行三清單(數據責任清單、數據負面清單、數據需求清單)建設,維護和發布公共數據資源目錄。

第二十條 數據生產部門在變更數據結構時,須提前五個工作日向網信辦提供數據結構變更說明。網信辦根據說明更新數據資源目錄及數據接口,通知數據使用部門根據變更進行調整,保證數據的一致性,避免數據混亂及服務異常。

第六章 數據共享

第二十一條 公共數據共享由網信辦統籌管理,遵循“統籌協調、統一標準、需求導向、保障安全”的原則,信息中心負責提供公共數據共享服務技術支持。

第二十二條 數據使用部門制定數據需求清單,并通過OA系統填報《校內公共數據共享傳遞單》進行申請。申請包括數據用途、使用范圍、使用方式、數據字段、使用期限、數據安全責任人、經辦人等關鍵信息。由數據生產部門從數據使用角度、數據傳遞部門(信息中心)從數據安全角度進行審批。清單中已列入共享數據資源目錄的數據,由信息中心通過數據交換平臺進行在線數據提供;未在共享數據資源目錄中的數據,由數據生產部門向學校數據中心補充提供,數據生產部門不再向數據使用部門直接提供數據。

第二十三條 數據使用單位須簽訂《西南財經大學數據使用及保密承諾書》,數據共享使用僅限于申請審批的事項,不得超出數據使用申請范圍使用數據。未經網信辦審批,嚴禁將學校數據與校外系統進行交換。

第二十四條 信息系統應通過在線接口和“用而不存”的方式使用共享數據。未經網信辦授權不得直接或間接改變數據形式等方式轉給第三方,也不得用于或變相用于其他目的,不得擅自發布所獲取的共享信息。

第七章 數據安全與審計

第二十五條 本辦法中的數據安全是指通過采取必要措施,保障數據得到有效保護和合法利用,并持續處于安全狀態的能力。網信辦負責數據安全與審計的統籌規劃,信息中心提供數據安全與審計服務的技術支持。

第二十六條 數據須存儲在校園網內本地服務器或私有云平臺。確因技術原因或工作需要需存儲在校外服務器或公有云上的,由業務管理部門向網信辦申請,提供數據存儲在外網的必要性說明、運營商數據安全資質、與運營商簽訂的安全保密協議進行備案,網信辦組織校內專家通過“一事一議”審核通過后方可實施。

第二十七條 數據存儲應遵循“最短周期”原則,存儲期限應當為實現處理目的的所必要最短時間,超過期限的數據應及時進行歸檔或銷毀。

第二十八條 確因工作需要進行線下交換或保存數據,應獲得網信辦、數據生產部門及本部門主要負責人同意,明確數據使用責任人,確保數據存儲安全,并在工作處理完成后及時歸檔或刪除銷毀。

第二十九條 信息中心負責數據中心數據庫的存儲、備份、容災和恢復等管理工作,保障數據的完整性和安全性。

第三十條 托管到學校云平臺并委托信息中心進行維護的信息系統數據庫,由信息中心負責數據的存儲、備份和安全防護。未托管或委托的由信息系統管理部門自行負責數據的存儲、備份、歸檔和安全防護。

第三十一條 信息系統應按照“最小必要”原則明確數據錄入、查看、修改和刪除等權限,實現數據管理、使用和安全審計的權限分離。

第三十二條 信息系統應詳細記錄數據查詢、錄入、修改、刪除和導出等操作,相關日志保留時間不少于六個月。

第三十三條 信息中心負責校級數據庫審計平臺建設和維護。信息系統歸口管理部門應將系統數據庫接入數據庫審計平臺進行統一審計。網信辦定期發布數據庫審計報告;對于違反審計規則的行為,由網信辦通知相應部門進行處理。

第八章 個人信息保護

第三十四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第三十五條 面向師生、家長處理個人信息應當遵循合法、正當、必要和誠信原則。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。處理個人信息應當遵循公開、透明原則,公開收集使用規則,明示收集使用目的、方式、范圍和存儲期限,并經個人信息主體同意或者符合其他法定條件的情況下后方可實施。相應處理規則發生變更的,應當重新取得個人同意。

第三十六條 利用個人信息進行自動化決策,應當保證決策的透明度和處理結果的公平、公正,不得對個人實行不合理的差別待遇。

第三十七條 存儲和傳輸個人信息須采取加密措施,公開個人信息應采取去標識化處理。發生或者可能發生個人信息泄露、篡改、丟失的,應當立即采取補救措施。

第三十八條 處理敏感個人信息,包括宗教信仰、生物識別、特定身份、醫療健康、金融賬號、行蹤軌跡等,應當堅持合法、必要與合理原則,并采取嚴格保護措施。若確需收集敏感個人信息的,需對必要性、科學性、倫理性進行論證,并經網信辦審批同意后方可實施。實施時應取得個人信息主體的單獨同意或符合其他法定條件,告知使用敏感個人信息的必要性以及對個人權益的影響;所獲取的敏感個人信息僅限于通過審批的用途,不得公開或向他人提供。

第九章 附則

第三十九條 本辦法由網信辦負責解釋。

第四十條 本辦法經自印發之日起施行。


上一條:《西南財經大學虛擬桌面服務條款》

下一條:《教育系統網絡安全事件應急預案》

成年美女黄网站色奶头游戏