泉州幼儿师范高等专科学校

数据安全管理办法

第一章 总则

第一条 为规范学校通过信息化手段开展的数据活动，保障个人信息和重要数据安全，维护学校和广大师生的合法权益，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）《信息安全技术个人信息安全规范》（GB/T35273-2020）和教育部等七部门《关于加强教育系统数据安全工作的通知》（教科信函〔2021〕20号）等文件要求，制定本办法。

第二条 本办法所指的数据包括学校各单位在履行职能时，通过信息化手段获取的业务数据和统计数据，覆盖数据采集、存储传输、共享开放等数据全生命周期活动。涉及国家秘密信息的数据安全管理，按照国家相关法律和规定执行。

第三条 数据管理原则

(一)统一标准原则。数据的格式及管理应符合国家、教育部、学校制定的相关标准和制度。

(二)全程管控原则。建立数据从产生、处理到维护、应用的全面管控体系，重点加强数据质量、安全和使用等方面的管理。

(三)安全共享原则。在保证数据安全的前提下，实现数据与信息的共享、应用以及衍生服务，为学校发展提供决策支持。

第四条 数据管理目标

（一）确保数据资源完整准确。建立学校办学中所需全部数据资源的产生和采集机制，按照业务要求和数据质量管理规范建立数据资源交换和质量核查机制，保障各个环节数据资源完整、准确、真实和规范。

（二）确保数据资源安全可靠。建立数据资源的分级分类管理与备份、容灾和恢复机制；建立数据操作日志记录机制，保证数据资源更改可追溯；根据国家和学校的要求，做好数据资源保密工作。

（三）确保数据资源充分共享。建立数据资源一次产生、采集机制，避免多头采集、重复采集；建立公共数据平台交换机制，明确数据资源的生产单位和使用单位，确保数据资源可供多方使用。

（四）确保数据资源使用规范。规范数据资源的使用，建立数据资源使用的审批、公开等管理机制，在保护个人隐私的基础上合理利用数据资源辅助管理与决策。

第二章 职责分工

第五条 学校网络安全和信息化领导小组（以下简称领导小组）是学校数据管理工作的领导机构，负责数据管理工作的统一领导和协调。

第六条 领导小组下设的信息办是学校数据管理的日常工作机构，负责组织、协调和推动学校数据管理，会同领导小组成员单位制定数据资源建设规划、标准、规范等实施办法，指导和组织各业务部门编制数据资源目录，负责学校公共数据平台建设、运行和管理。

第七条 各单位党政负责人为本单位数据管理的第一责任人。根据全校数据资源总体规划，被确定为数据权威来源的单位，属于数据生产单位，应当按照“谁生产、谁维护、谁提供、谁负责”的原则，对本单位数据资源的生产、采集、存储、维护、治理、共享和安全等进行管理。使用学校共享数据资源的各单位，属于数据使用单位，应按照“谁使用、谁负责、谁经手、谁负责”的原则，负责共享数据资源使用全过程管理。

第八条 各单位由网络信息员专人负责本单位数据与学校公共数据平台的对接，并根据业务需要向公共数据平台提供或获取数据资源。

第三章 数据生产管理

第九条 数据资源生产主要包括数据采集、录入和审核三个步骤。学校各单位作为数据资源生产单位，应遵照本单位业务规范及学校信息标准编码规范，从源头确保数据质量，包括数据的真实性、准确性、时效性、完整性、规范性和一致性。

（一）真实性。学校各单位的数据资源必须真实，须经本部门业务人员审核。

（二）准确性。学校各单位的数据资源必须经过准确性核验并定期进行准确性核验，以保证数据的准确无误。

（三）时效性。学校各单位须实时或在规定的时间内进行数据资源更新，确保数据与实际业务同步，防止无效数据、过时数据产生。

（四）完整性。学校各单位须确保数据资源完整、齐全，避免数据缺失。

（五）规范性。学校各单位在进行数据采集、录入、审核时须保证数据资源的规范可用。

（六）一致性。学校各单位须确保本单位生产的数据具有一致性，防止出现数据取值不一致、数据值依赖关系不一致和数据值逻辑关系不一致等问题。

第十条 学校各单位有数据资源采集需求时，应按照“一数一源”的原则，优先通过共享的方式从数据生产部门单位获取数据，原则上不得重复收集数据。

第十一条 应遵循“最小够用”原则，并明确收集依据、范围、场景和用途，原则上不得超越工作职能采集数据。

第十二条 面向师生、家长收集信息应公开收集使用规则，明示收集使用目的、方式、范围和存储期限。

第四章 数据存储传输管理

第十三条 数据应存储于校内。如确需存储在校外或使用云平台存储数据的，须经领导小组审批同意，相关单位要与云提供方签署安全保密协议，做好数据备份，确保数据安全。数据严禁存储在境外。

第十四条 应遵循数据存储“最短周期”原则，数据的存储期限不超过业务有效期。

第十五条 应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性。

第十六条 学校各单位与信息办共同建立数据备份制度，制定合理的备份方案，重要数据资源必须进行容灾备份并对数据资源灾后恢复进行有效性检验。

第十七条 应明确数据传输的安全策略，对关键传输链路、重要设备节点实行冗余建设，保障数据传输可靠性和网络传输服务可用性。

第十八条 应采用符合国家相关规定的商用密码算法，对数据存储传输进行加密处理，保障数据在存储传输过程中的保密性、完整性、可用性。

第十九条 学校重要数据资源、敏感数据及涉及个人隐私的数据不允许通过社交软件、即时通讯工具等个人线上方式传输，严禁将学校数据资源传输至非业务需要的外网平台或个人网络空间。

第五章 数据共享管理

第二十条 各单位对本单位所掌握的数据资源进行梳理，按照国家和教育行业有关标准要求，结合业务特点与需求等因素对数据进行分类，形成数据资产目录。

第二十一条 数据提供与公开应明确数据范围、适用范围、用途和安全责任，提供与公开数据前须经业务主管部门同意。数据不得用于商业用途。未经同意，禁止与第三方共享。

第二十二条 鼓励各单位在业务和管理范围内共享使用数据，涉密数据除外。各单位需要共享使用其他部门数据时应向信息办提出申请，经审核批准后通过公共数据平台统一获取。

第二十三条 各单位应向信息办提供所负责信息系统的数据、数据字典以及其他相关文档，除各项法律法规规定的涉密数据外，其他数据均应进入公共数据平台，实现本单位业务系统与公共数据平台的自动对接和数据同步，数据同步周期一般不超过24小时。

第二十四条 学校各单位业务系统或数据资源存储架构发生变更的，应及时向信息办报备调整本单位数据资源与公共数据平台的同步机制。

第六章 数据使用管理

第二十五条 数据使用部门和个人应按照要求规范使用数据，不得将获取的共享数据超出审核时限定的范围使用，未经授权，不得以任何方式用于社会有偿服务或其他商业活动，并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。

第二十六条 数据使用部门和个人发现数据质量问题时，应及时向数据生产部门反馈，数据生产部门应尽快核实校正数据。

第二十七条 核心数据严禁出境。因业务需求向境外提供重要和一般数据的，应依法依规进行数据出境安全评估。

第二十八条 为确保数据一致性，数据生产单位不可随意删除所生产的数据。如确需删除数据，需本单位负责人审批同意并做好备份等技术处理，删除共享数据的须向信息办报备并做好与公共数据平台的同步和更新工作。

第七章 数据归档管理

第二十九条 各单位生产的业务数据作为各单位业务活动的原始记录，是学校重要的数字档案资源，应按照学校电子文件归档和电子档案管理规范归档。

第三十条 各单位根据学校数据资源归档管理制度，按照业务系统的数据资源归档功能要求，完成数据资源的移交归档等工作。公共数据资源由学校公共数据平台统一归档，其他业务数据由各业务系统通过统一数据交换平台进行归档。

第三十一条 各单位业务系统在新建或升级时需配置符合学校电子文件归档要求的数据归档功能，开放相应的数据接口。

第八章 数据安全管理

第三十二条 数据安全管理应遵守《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》等法律法规，严禁使用数据从事有违国家法律法规的活动。

第三十三条 各单位应按照数据在教育发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害性程度确定数据等级，实行分类分级保护。

第三十四条 各单位须确保数据资源的采集遵循知情同意原则且具有明确的使用用途。在使用校外数据时，应明确其来源，避免使用来源不明确的数据。

第三十五条 各单位应坚持最小化和最适用原则，合理设置数据资源管理及操作权限。

第三十六条 各单位应在数据处理活动过程中，记录数据处理、权限管理、人员操作等日志并定期开展审计检查。日志留存时间不少于六个月。

第三十七条 任何单位、团体、组织和个人在使用学校数据资源过程中，不得损害数据生产单位的合法权益，不得损害学校的合法权益。未经学校允许，严禁使用学校数据资源开展经营性活动。

第三十八条 各单位委托第三方建设、维护学校业务系统，加工业务数据的，应当监督受托方履行相应的数据安全保护义务，并签署安全保密协议。

第三十九条 对于违反法律法规和学校相关规定，造成国家、学校和个人损失的，学校将依法依规追究相关责任。

第九章 附则

第四十条 本办法由学校网络安全和信息化领导小组负责解释和修订。

第四十一条 本办法自印发之日起施行。