第一章 总则
第一条 为进一步规范上海电机学院信息系统数据采集管理,推动数据归集整合,保障数据安全,促进数据共享开放,发挥数据价值,明确相关部门职责和权力,实现信息系统数据的标准化管理,提高数据的质量和使用效率,提供安全可靠、全面灵活的数据服务。依据《中华人民共和国网络安全法》(中华人民共和国主席令第十三号)、《教育部办公厅关于印发〈教育部机关及直属事业教育部门教育数据管理办法〉的通知》(教发厅〔2018〕1号)、《上海市公共数据和一网通办管理办法》(上海市人民政府令第9号)、《上海教育数据管理办法(试行)》(沪教委信息〔2019〕33号)等文件,结合我校工作实际,特制定本办法。
第二条 本办法所指的信息系统与《中华人民共和国计算机信息系统安全保护条例》中的信息系统定义一致:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括信息化公共基础服务(含电子邮箱、统一身份认证系统、校园一卡通系统等)、一站式办事大厅、各应用系统、网站、教学资源系统等。
第三条 本办法所指的数据是指校内各类信息化基础环境设施和信息系统所产生、保存和利用的相关数据,包括但不限于:信息化公共基础服务(含电子邮箱、统一身份认证系统、校园一卡通系统等)、跨部门信息系统、一站式办事大厅、各应用系统、网站、教学资源(含多媒体视频、图片、课件等)形成的非涉密信息化数据。涉密数据管理按照国家和本市有关法律、法规进行。
第四条 本办法所称的数据管理,是指利用数据获取、处理、控制和价值提升等活动的集合,主要包括数据采集、归集、共享、开放和安全等管理环节。
本办法所称的数据资源管理平台,指一种用以实现数据归集、存储、交换、共享、治理、分析、应用等功能的管理技术平台,是组织、制度、标准、流程、工具等方面的集合,包括各类数据库和数据交换共享平台等模块。
第五条 信息系统数据管理应遵循以下原则:
(一)数据统一管理原则。信息化中心应建立数据资源管理平台,负责学校信息系统数据的统一归集、共享、开放和使用。信息系统采集和处理的数据,应遵循学校制定的数据标准和接口标准。信息化中心应及时公开已经成熟明确的学校各级各类数据标准。
(二)数据业务归口原则。应根据数据业务属性和职能部门的业务职能,将各类数据归属于相应部门,确定每一类数据的唯一权威,即遵循“一数一源”的原则。
(三)数据共享原则。建立学校统一数据共享通道和数据交换机制,除《中华人民共和国保守国家秘密法》所规定的涉密数据外,其他数据原则上允许校内各部门在其业务和管理范围内按需共享;数据共享应通过数据归属部门及信息化中心审核。
(四)数据安全管控原则。建立数据从采集、归集、共享、开放和使用的全过程管控体系。相关职能部门对所管理的数据负有保证数据质量的责任,应定期检查、梳理业务范围内所负责的数据,确保数据质量。重点把好数据的采集关,确保源头数据真实、准确、完整、及时。
第六条 信息系统数据管理应达到如下目标:
(一)统一数据标准:要求数据管理有标准,即具备完善的数据标准管理规范,保证在信息系统建设过程中应用统一的数据标准。
(二)保障数据准确:在数据生命周期的各个环节,各职能部门应严格核查数据质量,确保数据的准确性。
(三)防止非法篡改和伪造:各职能部门应明确其管辖业务系统数据的所有权及更改权限,规范数据所有权的管理,确保对数据的所有更改均有据可查。
(四)建立数据备份和恢复机制:建立数据的备份和恢复机制,加强数据存储和归档管理,规范数据安全管理。各职能部门确保其管辖业务系统的数据有备份、可恢复。
(五)预防信息泄漏:各职能部门做好各类数据,尤其是涉及个人隐私数据等敏感数据的保密工作,确保数据安全。
(六)提供数据服务:规范数据服务管理,充分发挥数据作为学校无形资产的价值。
第二章 数据管理角色及职责
第七条 数据管理一般涉及数据归属部门、数据使用部门、数据管理协调部门和数据技术管理部门。
第八条 数据归属部门是指根据工作职能采集会产生某类数据的部门,是该类数据的唯一权威来源,对该类数据有管理和审核权;并负责该类数据的采集、归集和质量管理,审核其它部门对该类数据提出的共享申请。
第九条 数据使用部门是指因履行职责申请使用数据的部门。数据使用部门根据业务需要和数据使用的相关规定,提出数据使用申请,按规定在授权范围内合理、安全地使用数据。
第十条 信息化中心是学校信息系统数据的数据管理协调部门及数据技术管理部门,负责数据共享与使用的协调、监督审核、技术支撑和保障。
第十一条数据采集指数据归属部门根据业务管理职能需要,通过信息系统或其他手段获取数据的行为。各部门应遵循合法、必要、适度原则,按照“一数一源、一源多用”的要求,根据工作需要确定采集数据的范围。凡属于学校数据资源管理平台可以获取的数据,原则上不得重复采集。
第十二条 数据采集应遵循真实、完整、规范、及时的原则。
(一)真实:操作人员应准确录入(或由业务办理产生)相关数据,不得随意修改、增减。
(二)完整:按照数据的主题分类、业务管理与服务的要求进行数据采集,保证数据齐全,避免数据缺失。
(三)规范:数据采集格式应遵循数据标准。
(四)及时:数据应在规定的时间内采集,确保数据与实际业务同步。
第十三条 数据的采集应遵循学校数据标准。信息化中心将根据相关国家标准、行业标准,结合学校工作实际情况,编制和发布学校信息系统数据标准。该标准为学校信息系统设计开发、数据采集、数据归集、交换共享需遵循的数据标准。
第十四条 数据采集应遵循“谁采集、谁负责”的原则。数据归属部门应在其职责范围内,制定和执行本部门业务管理领域的数据质量管理规范,规范数据采集和录入等过程,指定专人落实数据采集与修改、定期审核数据质量,保证数据的准确性、完备性、现实性等,确保数据质量。
严禁在未经授权的情况下,委托他人以教职工(或学生)本人的账号和密码录入或修改数据。
第十五条 数据归属部门应当做好数据的管理、更新和维护工作,明确归属于本部门数据的分类和权限。当数据结构发生变更(包括但不限于以下情况:数据长度、数据类型、字典表变化、验证逻辑等情况),可根据业务需求和对影响程度,按需向信息化中心提出数据标准修订申请。信息化中心审批后组织标准修订,发布标准新版本。
第十六条 数据归集是指数据归属部门将依法履职过程中采集和产生的数据,根据数据管理要求,传输到校级数据资源管理平台。原则上不允许通过其他方式归集数据。
第十七条 数据归属部门根据工作职责确定归集数据的范围,按照统一标准编制、审核和发布本部门数据资源目录,作为学校数据共享、公开和业务协同的基础和依据。数据资源目录应及时报送至信息化中心。信息化中心汇总审定后,形成校级数据资源目录。
第十八条 数据归集工作由信息化中心牵头。数据归属部门将本部门数据向校级资源管理平台归集,信息化中心从技术层面协助实施,并制定相关的管理规范、数据标准、工作流程等;数据归属部门及时提供、维护和更新归集数据;各方共同保证数据状态可感知、数据处理可明示、数据源头可追溯、安全责任可落实。
第十九条 信息化中心负责数据归集阶段的数据质量评价和监管。按照“多源校核、动态更新”的原则,实施学校数据资源管理平台的数据数量、质量以及更新情况的实时校核、确认、检查和考核。
第二十条 当数据结构或接口发生变更时,数据归属部门应及时与信息化中心协调,协助数据使用部门完成相应调整。
第二十一条 数据使用部门如需使用非归集范围内的数据,应由信息化中心组织论证其合理性和必要性,论证通过后协调数据归属部门实施归集,并及时加入数据资源目录,统一纳入学校数据资源管理平台管理。
第二十二条 在保证数据安全的前提下,信息化中心可根据数据集成实施数据抽取、转换和加载等处理,指导开展数据治理等工作。
第五章 数据共享
第二十三条 数据共享是指学校各部门间信息系统数据的共享,分为无条件共享、有条件共享、不予共享等三种类型。
(一)无条件共享,指在学校范围内,无需数据提供部门授权,经信息化中心审核后可供给各部门共享使用的数据资源。原则上,涉及教职工、学生、机构、资产、项目等主要学校管理服务对象有关的,具有基础性、基准性、标识性和稳定性的数据,应无条件共享。 如:部门名称、设备名称、学号、工号等。
(二)有条件共享,指在学校范围内,经数据提供部门授权,仅提供给部分部门共享使用的数据资源。
(三)不予共享,指不提供给其他部门共享使用的数据资源。凡列入不予共享类的数据资源,必须有国家法律、法规等政策依据。如《中华人民共和国保守国家秘密法》及其他各项法规规定的涉密数据和敏感数据等。
除不予共享的数据外,有条件共享和无条件共享的数据必须通过学校数据资源管理平台实现交换共享。
第二十四条 共享数据的提供部门应按照“谁主管,谁提供,谁负责”的原则,及时提供、维护和更新共享数据,确保提供的共享数据与本部门数据一致。在向使用部门提供共享数据时,明确数据的共享范围和用途。
第二十五条 数据使用部门申请无条件共享数据时,应向信息化中心提出明确的共享需求和用途,经审核后通过学校数据资源管理平台获取共享数据。
数据使用部门申请获取有条件共享数据时,应向数据提供部门提出明确的共享需求和用途,数据提供部门应在3个工作日内回复,数据使用部门按答复意见使用共享数据;不予共享的,数据提供部门应说明理由。
第二十六条 数据一经授权,信息化中心组织数据提供部门、数据使用部门落实数据共享交换。
第二十七条 各类信息系统数据原则上应提供给学校数据资源管理平台。如需要共享批量数据,可向信息化中心提出使用申请。凡在学校数据资源管理平台已涵盖的数据,申请者不能直接向数据提供部门直接索取批量数据,以确保数据的一致性和规范性。
第二十八条 数据应尽量采用自动、实时的数据接口管道方式共享。采用数据复制或者其他调用方式的,应征得数据归属部门和信息化中心的同意。
各类信息系统在建设过程中,应主动做好与学校数据管理平台的数据对接工作。
第二十九条 信息化中心应建立数据流通监控平台和日志系统,实时展示、统计校内数据的共享流通情况,及时发现、解决数据共享流通中出现的问题。
第三十条 数据使用部门如需使用共享的数据,应根据数据归属情况通过学校数据资源管理平台获取,不得从其他途径获取或自行采集。获得的共享数据,应按照“谁经手,谁使用,谁管理,谁负责”的原则,遵循相关法律、法规以及共享审核结果所描述的用途,安全使用数据,并加强数据使用的全过程管理。
获得的共享数据仅限于本部门使用。确需对外提供或发布的,应向数据归属部门及信息化中心提出书面申请,经同意后,方可对外提供或发布。数据使用部门不得擅自以任何形式提供给第三方,也不得用于其他任何目的。违反上述规定的,须对共享数据资源的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。
第三十一条 数据使用部门应当建立严格安全的数据访问控制机制,如有第三方数据分析需求,须经过审核后提供脱敏数据。对共享数据二次加工后得到的数据,其使用和安全由数据使用部门负责。
第三十二条 各部门需要共享或应用学校数据的,应出具书面申请文件和需求文档,并向信息化中心提出共享申请。通过审批后,由信息化中心统一提供。
数据使用部门对获取的共享数据有疑义或发现有明显错误的,应及时反馈给信息化中心和数据归属部门予以校核。
第七章 数据保管和归档
第三十三条 信息化中心负责保管学校公共信息服务平台的数据, 各部门负责保管本部门所属信息系统数据。
第三十四条 数据保管部门应当指定专人负责,严格遵守法律、法规和相关规定,履行相关职责。建立数据备份制度,各部门负责本部门所属信息系统数据的定期备份或动态保存,及时完成数据备份,制定数据备份恢复方案,保证备份数据可恢复;此外,还须针对重大突发事件的特殊需求,制定数据存储和恢复的应急保障预案。
第八章 数据安全管理
第三十五条 数据安全管理是对信息系统各类数据的敏感性、隐私性、安全性和可用性的保护。
第三十六条 信息化中心负责制定数据安全管理相关的管理办法,开展数据安全培训,指导督促学校信息系统数据采集、存储、共享、使用全过程的网络安全保障工作,组织开展数据安全风险评估和安全管理审查;负责公共平台的安全防护工作,确保数据安全。
第三十七条 各部门在建设管理信息系统过程中,均应按照“谁建设,谁维护,谁使用,谁负责”的原则,保障数据的真实性、保密性、完整性、可用性。应当明确指定具体人员承担本部门数据管理工作,以落实安全管理责任制,杜绝内部泄露数据的风险。
第三十八条 各部门应加强安全意识和安全技术培训,加强数据采集、使用等相关工作人员的数据安全教育。确需与第三方公司开展相关业务的,须签订“网络与信息安全承诺书”和“数据共享与使用保密协议”。未经批准,不得擅自提供数据给任何校外部门和个人。
对于违反规定对外泄露学校数据的部门和个人,或者不依法履行职责,玩忽职守、滥用职权、徇私舞弊的,依法追究法律责任。
第九章 监督考核
第三十九条 对于违反本办法造成学校损失的部门或个人,依法赔偿学校的损失,并由学校视情节轻重予以相应处罚。
第四十条 对于存在危害国家安全、泄露国家秘密以及违反法律法规行为的,由公安、国家安全、保密以及其他相关部门依法处理;构成犯罪的,依法追究刑事责任。
第十章 附则
第四十一条 本办法由信息化中心负责解释。
第四十二条 本办法自发布之日起施行。