您的位置: 首页 > 网络安全 > 规章制度
山西大同大学数据安全管理办法
  • 信息来源:网络信息中心
  • 作者:wangxiaoying
  • 发布日期:2025-10-16 15:29:12
  • 阅读:
【字体:   】

第一章 总则

 

第一条  为贯彻落实教育部对高校信息化的相关要求,促进我校信息化的改革与发展,加强学校信息化数据的统一规划管理,建立有效的数据共建共治共享工作机制,保证数据的完整性、规范性和一致性,为学校教学、科研、管理、服务以及可持续发展提供准确、权威、及时、安全的数据与信息服务,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《信息安全等级保护管理办法》等国家法律法规,结合学校实际,制定本办法。

第二条  本办法中的数据是指学校各类应用系统所涉及的相关数据,包括各类应用系统中的业务数据、系统数据、教学资源、档案资料及用户服务支持系统中的相关数据。

    第三条  本办法中的数据安全管理是指学校各项业务过程中与数据处理相关联的工作,包括与数据相关的标准规范、规章制度、工作流程的制定完善以及与数据采集、录入、运维、存储应用等活动相关的其他事项。

第四条  管理目标

(一)确保数据完整准确。按照业务要求和数据质量管理规范,建立数据质量核查机制,保障数据真实、准确、完整和规范。

(二)确保数据安全可靠。按照数据安全管理规范,建立数据的分级管理、存储和备份;明确数据的所有权和管理权限,做好数据操作的日志记录,保证数据更改的可追溯;根据国家、教育部和学校的相关要求,做好数据保密安全工作。

(三)提升数据服务质量。规范数据使用,建立数据共享管理机制。全面提高数据质量和提升管理服务水平,充分发挥数据在学校发展中的重要作用。

 

第二章 数据管理架构

 

第五条  数据管理架构包括数据管理单位、数据生产单位、数据使用单位三部分。

第六条  数据管理单位职责

(一) 校园信息化建设工作领导小组办公室统筹学校数据安全工作,负责学校数据安全工作的战略决策、实施监督,以及对重大数据安全事件处理的决策指导。

(二) 网络信息中心负责统筹数据安全管理工作,制定数据安全管理制度,建立数据全生命周期的安全保障机制和监督检查机制。同时作为数据安全的技术支撑单位,负责组织开展数据安全评估。

第七条  数据生产单位职责

数据生产单位为权威数据来源和数据安全防护的责任主体,负责对本部门已建信息化系统实施数据安全防护策略以及对新建信息化项目提出数据安全要求,负责本单位数据的发布、维护、备份和归档。

第八条  数据使用单位职责

学校各学院、各部门遵循“谁主管谁负责、谁审核谁负责、谁使用谁负责”的原则,对本单位信息系统的数据安全负责,要编制信息系统资源目录,提出数据分级建议,明确数据防护措施,保障数据安全。各单位应对所有数据使用人员进行身份验证,防止未授权、超授权访问各类数据,账户权限以最小化原则分配,操作人员权限分离,防止越权访问数据的情况。各单位党政负责人是本单位数据安全保护工作第一责任人。

 

第三章 数据分类分级

 

第九条  根据学校业务分类,将数据分类如下:

(一)基本数据类:包括学校基本信息、校区基本信息、组织机构信息等相关数据。

(二)人力资源类:包括教职工基本信息、人员招聘、入职离校、职称评审、职务任免、考核管理、培训管理、薪资管理、党团工作、出国事务管理以及离退休等相关数据。

(三)学生管理类:包括学生相关的基本信息,以及招生、迎新、学籍、奖惩、党团、毕业、就业和生活等相关数据。

(四)教学资源与管理类:包括培养目标、课程体系、培养计划、教材等教学管理、教育教学资源等相关数据。

(五)教科研管理类:包括教科研项目管理、合同管理、成果管理、科研机构管理、科研经费管理等相关数据。

(六)财务资产类:包括财务管理、经费管理、招投标管理、固定资产管理、实验室管理、设备管理、房产管理、土地管理等相关数据。

(七)数字档案类:包括人事档案管理、学生档案管理、文件档案管理、科研档案管理、教职工电子健康档案等相关数据。

(八)公共服务类:包括校园网服务、电子邮件服务、图书资源服务、校园卡服务、校园安全治理等相关数据。

(九)外事(港澳台事务)服务类:国(境)外合作院校及机构、单位、留学生、出国(境)留学工作、来访及出访、外籍专家、国际交流、护照签证等相关数据。

(十)系统数据类:主要指数据中心相关技术参数,包括:网络出口参数、路由交换参数、数据库配置参数、安全策略参数、应用系统安全配置数据等实现网络连接、操作系统管理、数据库管理、应用系统功能等相关数据。

第十条  数据安全保障遵循分类分级保护的原则,基于数据重要性、敏感性确定数据等级,根据数据等级明确保护措施。数据资产应按照学校各单位对数据的需求自行确定梳理周期,同时在发生重大变更后应及时对数据资产进行梳理确保其准确性、完整性。

(一)第一级数据:即不敏感数据,是指国家、教育行业、学校公开的数据标准、代码信息,以及学校主动公开和依申请公开的行政数据和业务数据。

(二)第二级数据:即低敏感数据,是指不予公开,但可在一定范围内共享的数据,包括各学院、部门和特定对象间共享的数据。按照职能收集并为公共服务、管理决策提供支撑的数据。

(三)第三级数据:即较敏感数据,是指一旦遭篡改、泄露、丢失、损毁后,对公民、法人和其他组织的合法权益造成一般损害的数据。

(四)第四级数据:即敏感数据,是指一旦遭篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据。

 

 

第四章 数据质量管理

 

第十一条  数据生命周期主要包括生产、处理、存储、应用、归档和备份。对各个环节的精确管理可确保数据质量得到有效保障。

第十二条  学校各单位须按照“一数一源”“一次采集,多次使用”的原则,优先通过共享方式从学校公共数据平台获取数据。原则上不得重复收集数据。

第十三条  业务主管部门采集到的数据,应明确采集依据、范围、数量和用途,遵循数据采集合法正当、目的明确和最小够用等原则,并告知被采集单位和个人。

第十四条  对数据整个生命周期的管理应遵循“谁生产的数据,谁负责维护,并保证数据的质量,即数据的准确性、实时性等;谁使用数据,可提出数据整改意见”的总体原则。

第十五条  业务主管部门采集到的数据,除存储在相关的业务系统数据库中,还应按照学校数据接口规范的要求交换到公共数据平台。

第十六条  为保证全校数据的一致性,数据使用单位对于从数据管理单位获取的基础数据,只能进行共享、引用和衍生,不能增加、删除和修改。

 

第五章 数据共享与使用

 

第十七条 数据共享原则

(一)普遍共享

具有基础性、基准性、标识性的数据和数据提供方明确可以共享的数据可以普遍共享。

(二)有条件共享

数据内容敏感、按照学校保密管理或其他规定,在符合《个人信息保护法》第四十五条“告知-同意”规则情况下,经申请后在规定范围内提供给数据需求方(包括数据需求单位和个人)。

对于部分需要开放的数据,在不违反相关规定的条件下,需进行脱敏脱密处理,将敏感数据中的所有信息进行删除或替换,使其无法被识别,且控制数据分享类型。

(三)不予共享

按照国家法律法规、学校规章制度或其他依据确定数据资源的密级及保密期限,对涉密数据资源原则上不允许共享。

(四)申请最小使用范围原则

数据使用单位应以满足实际业务需要为前提,按最小范围为原则申请共享基础数据。

第十八条  学校各学院、各部门在申请使用共享数据资源时,须征得网络信息中心和业务主管部门同意,并承担相应数据安全管理责任。在提交数据资源申请前,须签订《数据安全保密承诺书》。申请的数据原则上只能用于业务系统对接使用,不得随意导出数据文件,未经业务主管部门同意不得向第三方机构或个人提供所申请的数据。学校各单位在提供数据时,应明确规定本单位和第三方处理数据的责任和义务,同时对数据进行安全审计。

第十九条  学校各学院、各部门在进行数据共享活动时,应约定共享数据的目的、范围、处理方式,采取必要的数据安全保护措施,并对数据共享活动进行监督。

第二十条  学校各学院、各部门负责下发数据的安全,落实使用完毕的数据清理和销毁工作,销毁时采用不可恢复技术(如物理销毁或专业擦除工具),并由校园信息化建设工作领导小组办公室监督,对销毁过程进行记录。

第二十一条  学校各学院、各部门信息员应认真履行职责,发现数据下发异常的情况,应及时与网络信息中心联系处理。

第二十二条  注销的信息化项目或报废的存储设备,确保承载 的信息数据被清理后,方可进行注销或报废处理。

第二十三条  学校各学院、各部门因违反信息安全保密管理等规定,导致敏感信息泄露的,网络信息中心有权关闭相关数据接口权限。涉嫌违法犯罪的,移交司法机关处理。

 

第六章 数据安全

 

第二十四条  数据安全管理原则

(一)统一标准原则。数据格式和管理应符合国家、教育部、行业、学校等制定的相关标准与规范。

(二)归口管理原则。各类数据按业务属性由学校各业务管理单位进行归口管理。

(三)安全共享原则。在保证数据安全的前提下,实现数据的共享以及衍生数据应用服务,使数据能够满足各种业务的使用需要。

(四)全程管控原则。建立数据从采集、维护、存储、归档、应用、保护的全过程管理制度,确保数据的真实、准确、完整、有效、安全、可靠。

第二十五条  学校各学院、各部门应积极配合校园信息化建设工作领导小组、监审部门进行监察、审计,落实数据安全责任制度,规范数据管理,加强安全防范。

第二十六条  校园信息化建设工作领导小组对发生重大数据安全事件报告处置不及时、不到位的单位进行问责,构成违法犯罪的,移交司法机关处理。

第二十七条  网络信息中心负责按照信息安全等级保护要求,建立相应的安全管理技术方案,并负责学校数据中心安全的软硬件建设,逐步建立数据容灾备份中心,为信息系统数据安全管理提供系统支撑。

第二十八条  学校严格落实信息网络安全管理制度,定期排查学校各类网络信息安全漏洞。对存在网络安全漏洞的网站或系统,网络信息中心应第一时间告知主办单位并关闭相应网站或系统,以确保信息系统数据安全。

第二十九条  各信息系统后台管理权限配置,应严格按照“按需够用”原则进行授权,确保管理用户仅限查阅或操作与岗位职责相关的数据和业务。各单位使用信息系统数据时,应加强数据管理和使用人员的信息安全教育,应注意保护师生个人隐私和学校业务数据。未经批准,任何单位和个人不得擅自将获得的数据公开、转给他人使用或用于申请授权范围以外的用途。对于违反规定对外泄露信息系统数据的单位和个人,应依照相关规定予以处理。

第三十条  《中华人民共和国保守国家秘密法》及其他各项法规规定的涉密数据,不得通过信息系统进行数据共享和流通。

 

第七章 数据运维

 

第三十一条  数据运维是指学校各部门在实际业务活动中,对其信息化数据所实施的日常补充、修正、更新和删除等操作。

第三十二条  学校各部门须依照其业务数据运维的权限和职责,明确数据的修正、补充、更新、删除等操作流程的规定。未经本部门数据管理第一责任人授权不得越过应用系统直接对数据实施修正、补充、更新、删除等操作。须保存数据运维过程中所有相关的电子记录。

 

第八章 数据存储与归档

 

第三十三条  学校各学院、各部门对本单位信息系统数据的存储、传输使用承担相应责任,须明确数据存储和传输的安全策略,应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施,个人信息或敏感数据应采用符合国家要求的密码算法进行加密存储,确保数据安全和系统稳定运行。

第三十四条  数据原则上须存储在校内,所有数据不得保存至境外服务器。因业务原因确需保存至公有云端储存的,应事先开展安全评估并在通过国家云计算服务安全评估的公有云平台进行储存。

第三十五条  敏感数据传输应采用加密传输信道或专线,以保证数据传输的机密性和完整性,且不得使用社会电子邮件系统、聊天平台等方式传递。

第三十六条  网络信息中心负责数据中心上公共平台数据的存储、备份、容灾和恢复等管理工作,保障数据的完整性和安全性。

 

第九章  数据安全事件应急预案

 

第三十七条  数据泄露事件:系统由于受到外部攻击或者内部人员故意泄密等原因,造成的数据泄露事件。当发现有数据泄露时,应在2小时内上报校园信息化建设工作领导小组办公室,由校园信息化建设工作领导小组办公室组织协调人员进行检查,及时防止数据泄露。

第三十八条  数据篡改事件:系统由于受到外部攻击导致的重要数据被篡改的安全事件。当发现核心数据库数据或业务系统被篡改后,应在2小时内上报校园信息化建设工作领导小组办公室,由校园信息化建设工作领导小组办公室指定运维人员进行检查确认,同时启动应急预案,暂停相关业务服务,并通知相关业务部门。

第三十九条  数据丢失事件:比如业务系统数据库或业务系统文件、办公文件数据等被非法删除。当发现数据丢失时,由校园信息化建设工作领导小组办公室统一指挥,组织协调相关部门进行检查,排查数据丢失影响范围,评估对业务的影响。

第四十条  当第四级数据发生安全事件时,由校园信息化建设工作领导小组办公室上报公安、网信部门进行协调处置。

 

第十章 附 则

 

第四十一条  本办法原则上每三年修订一次,由校园信息化建设工作领导小组办公室负责解释。

第四十二条  本办法自发布之日起实施。