厦门华厦学院数据管理办法（试行）

第一章 总则

第一条 为规范学校通过信息化手段开展的数据活动，保障个人信息和重要数据安全，维护广大师生和学校的合法权益，为学校发展、师生用户提供优质信息服务，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019)《信息安全技术个人信息安全规范》（GB/T35273-2020）等法律法规要求，并结合学校实际，特制定本管理办法。

第二条 本办法所指的数据包括学校各部门、单位在履行职能时，通过信息化手段获取的业务数据和统计数据，涵盖数据采集、存储传输、处理使用、共享开放等数据全生命周期活动。参照本管理办法要求，由各责任单位做好收集、存储、使用、安全等项工作。涉及国家秘密信息的数据安全管理，按照国家相关法律和规定执行。

第三条 学校各项工作所产生的数据是学校重要的无形资产和可沉淀的历史资源。各单位应加强已建信息系统的应用，保管、维护好其中数据，对暂无信息系统支撑的工作，亦应对工作结果数据进行电子化保存与维护，在确保学校数据资产完整的前提下，实现保值、增值。

第四条 学校数据管理遵循以下基本原则，并从管理和技术两个纬度，重点保障个人信息安全和重要数据安全，全面提高校园数据安全保障能力：

（一）统一标准，各负其责。各部门采集、处理数据应符合国家、教育部、行业、学校相关标准和制度，并确保所提供数据的真实性、准确性、完整性和及时性。

（二）一数一源，伴随式采集。按照部门职责，每个数据项确定一个权威部门，负责数据的采集与维护。各部门应切实加强业务信息系统的应用，在业务办理过程中同步采集、核验数据，把好入口关，确保数据准确、及时。

（三）最小必要、最多一次。各部门应充分利用已有数据积累，对时效性要求不高的数据最多组织采集一次，采集数据时精简表格设计，去除已掌握、无直接关系的数据项，避免数据重复填报，减轻师生负担。

（四）谁采集、谁审核、谁提供。各部门发文采集数据，应同时对所采集数据的质量进行审核把关，采集工作结束后应把数据提交学校数据中心共享使用。

（五）数据公有，授权共享。数据是学校公共资源，所有权归学校所有。各部门在履行职责过程中各负其责，在确保数据安全的前提下，实行以充分共享为原则，不共享为例外的授权共享机制。

（六）规范管理，保障安全。建立数据安全全过程管控体系，完善数据共享机制，保障数据安全。数据提供部门与使用部门应提高安全保密及个人隐私保护意识，规范使用数据。

第二章 职责分工

第五条 学校网络安全和信息化领导小组负责学校数据治理工作的统一领导，提出工作要求，督查考核工作结果，协调解决工作中有关问题。

第六条 信息中心负责统筹数据安全管理工作，制定数据安全管理制度，建立数据安全生命周期的安全保障机制和监督检查机制。信息中心是数据安全的技术支撑单位，负责组织开展数据安全评估，保障学校公共数据平台（以下简称数据中心）的运维安全，设置专人负责学校数据中心的建设、运行，包括建设学校主数据库与数据共享交换平台，联通各部门业务系统，实现数据互通共享；建设数据仓库与备份设施，为部门业务系统提供容灾备份服务；建设主题数据库，为学校管理提供数据支持服务。

第七条 各部门、单位对本部门、单位信息系统对数据安全负直接责任，要编制信息系统资源目录，提出数据分级建议，明确不同等级数据防护措施，保障数据安全。业务部门负责各自分管领域的数据收集与维护，按照学校统一数据标准开展业务信息系统建设，协调完成与学校数据中心的对接，按照分工提供本部门权威数据，根据工作需要获取其他部门数据。

第三章 数据的采集、存储、共享与使用

第八条 数据按照“一数一源”分工由责任部门统一采集，其他部门不得重复采集。

第九条 学校主数据库由信息中心统一规划、统一存储、统一备份，收纳学校基础数据与各部门业务状态数据，基于主数据库实现数据共享。各部门需做好业务信息系统本地数据的存储、备份工作，并按要求留存操作日志、访问日志等运行数据。

第十条 数据共享分为普遍共享、有条件共享、不予共享等三种类型，数据类型的划分由数据管理部门和数据生产部门共同商议确定。普遍共享和有条件共享的数据应当通过学校公共数据平台进行共享。
（一）普遍共享类：指具有基础性、基准性、标识性的或者数据生产部门已明确可共享的数据资源。此类数据无需数据生产部门授权，经数据管理部门审核后，可共享使用。

（二）有条件共享类：指数据内容敏感、涉及隐私、涉及学校核心利益、按照保密管理或者其它规定只能脱敏，或者按特定条件提供给数据使用部门的数据资源。此类数据经数据管理部门审核，且数据生产部门授权后，可共享使用。

（三）不予共享类：不予共享数据是指数据提供部门确定的不提供共享使用的数据资源。凡列入不予共享类的数据资源，须有学校文件或上级政策法规等依据。

第十一条 数据管理部门制定并实施数据共享方案，为数据生产部门和数据使用部门提供必要技术支持，确保数据交换共享与及时更新。

第十二条 学校公共数据平台的共享，仅限于校内网络，通过标准数据接口方式实现，原则上不得通过个人、移动介质方式传递。在严格遵循“最少够用”原则下，鼓励通过在线接口和“用而不存”的方式使用共享数据。

第十三条 各部门业务数据建设工作完成，数据质量达到可共享标准的，应及时向信息中心提出数据入库、发布申请（见附件1《信息中心数据入库/发布申请表》），双方配合完成数据收入学校数据中心工作。

第十四条 各部门因临时性工作需要数据的，应向信息中心提出书面申请（见附件2《厦门华厦学院数据使用申请表》），经审核通过后，信息中心通过数据接口或数据文件等形式提供数据。所需数据中包含大量师生个人信息或学校重要信息的，申请部门应同时签署《厦门华厦学院数据安全保密承诺书》（见附件3），承诺履行数据安全保密义务。

第十五条 各部门应加强业务数据的分析、应用，不断提升数据管理效能，充分发挥数据的作用，推动科学决策、精准管理和个性服务。

第四章 数据的质量管理

第十六条 建立数据质量反馈机制，以确保数据的可用性。数据使用部门有义务监督数据提供部门所提供数据的是否完整准确、更新及时，将使用中所发现的问题及时反馈给信息中心与数据提供部门。

第十七条 各部门主要负责人为本部门数据质量第一责任人，应结合部门职责、岗位职责、工作要求，建立保障数据质量的长效工作机制，加强数据核查与质量监控，及时修正问题。

第十八条 信息中心收集有关数据质量的反馈意见，及时送达各数据提供部门，督促、协助数据提供部门改正，不断提高共享数据的质量。

第五章 数据的安全

第十九条 信息中心负责学校数据安全管理专门制度的制定，开展数据安全培训，指导监督各部门在数据采集、存储、共享、使用过程中的安全保障工作，组织开展数据安全风险评估和安全管理审查，确保数据安全。

第二十条 各单位应遵循数据安全管理相关制度、规范，明确责任人，切实落实安全管理责任。

第二十一条 各单位应加强对数据采集、使用等相关工作人员的数据安全教育和培训，提高本单位人员数据安全意识和法制意识。

第二十二条 各单位应加强服务器、存储等硬件设施的管理维护，定期对系统运行状况、备份数据进行检查，定期开展备份数据恢复演练，防止因意外事件发生造成数据丢失、破坏。

第二十三条 各部门应加强供应链的安全管理，与服务厂商签订数据安全保密协议，并负责监督落实。各部门托管于校外的的业务系统，均应实现数据的自主可控，在校内保持同步数据备份，确保学校数据的安全。

第二十四条 在数据应用时，应注意保护学校工作秘密、师生个人隐私。任何单位和个人不得将获得的学校数据公开、转给他人使用或用于申请授权范围以外的用途。对因各种原因导致学校数据泄露、产生严重不良后果的部门和责任人，交由有关部门依纪依规追究其责任。涉嫌违法犯罪的，按照国家有关法律规定处理。

第六章 附则

第二十五条 本管理办法自发布之日起施行。

附件一：厦门华厦学院数据入库/发布申请表

附件二：厦门华厦学院数据使用申请表

附件三：厦门华厦学院数据安全保密承诺书

附件1：

厦门华厦学院数据入库/发布申请表

附件2：

厦门华厦学院数据使用申请表

 
       附件3：

厦门华厦学院数据安全保密承诺书

数据安全保密责任人：____________________________

本人对所管理（申请使用）的：

1. _____________________________________________________

2. _______________________________________________________

3. _______________________________________________________

等数据的安全及保密做出如下承诺：

对所管理（申请使用）的数据未经授权不传播给其他单位或个人使用，不用于申请授权范围外的用途；对于所管理的数据库切实履行安全、保密职责，加强日常管理与巡查，不将系统账号、密码、授权方式等能造成数据泄露的信息向其他单位和个人透露。

如违反以上承诺，导致所管理（申请使用）的数据泄露、丢失、被篡改，造成严重后果的，本人将承担相应责任。

单位（签章）：

数据安全保密责任人（签字）：

年 月 日