吉林财经大学数据安全管理办法

第一章 总 则

第一条 为规范学校信息化工作，保障个人信息和重要数据安全，维护广大师生和学校的合法权益，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术个人信息安全规范》（GB/T35273-2020）和教育部等七单位《关于加强教育系统数据安全工作的通知》（教科信函〔2021〕20号）等文件要求，制定本办法。

第二条 本办法所指的数据包括学校各单位在履行职能时，通过信息化手段获取的业务数据和统计数据，覆盖数据采集、存储传输、处理使用、共享开放等数据全生命周期活动。涉及国家秘密信息的数据安全管理，按照国家相关法律和规定执行。

第三条 本办法遵循一数一源、最小够用、分级保护、安全合规的原则，从管理和技术两个维度，重点保障个人信息安全和重要数据安全，全面提高校园数据安全保障能力。

第四条 学校数据管理遵循以下基本原则：

（一）统一标准，各负其责。各单位采集、处理数据应符合国家、教育部、行业、学校相关标准和制度，并确保所提供数据的真实性、准确性、完整性和及时性。

（二）一数一源，伴随式采集。按照单位职责，每个数据项确定一个权威单位，负责数据的采集与维护。各单位应切实加强业务信息系统的应用，在业务办理过程中同步采集、核验数据，把好入口关，确保数据准确、及时。

（三）最小必要、最多一次。各单位应充分利用已有数据积累，对时效性要求不高的数据最多组织采集一次，采集数据时精简表格设计，去除已掌握、无直接关系的数据项，避免数据重复填报，减轻师生负担。

（四）谁采集、谁审核、谁提供。各单位发文采集数据，应同时对所采集数据的质量进行审核把关，采集工作结束后应把数据提交学校信息管理中心共享使用。

（五）数据公有，授权共享。数据是学校公共资源，所有权归学校所有。各单位在履行职责过程中各负其责，在确保数据安全的前提下，实行以充分共享为原则，不共享为例外的授权共享机制。

（六）规范管理，保障安全。建立数据安全全过程管控体系，完善数据共享机制，保障数据安全。数据提供单位与使用单位应提高安全保密及个人隐私保护意识，规范使用数据。

第二章　职责分工

第五条 学校网络安全和信息化建设领导小组负责学校数据治理工作的统一领导，提出工作要求，督查考核工作结果，协调解决工作中有关问题。

第六条 信息管理中心负责制定出台学校数据标准，组织各业务单位需求调研，明确各项数据提供方与使用方，设置专岗负责学校数据中心的建设、运行，为学校管理提供数据支持服务。

第七条 业务单位负责各自分管领域的数据收集与维护，按照分工提供本单位权威数据，根据工作需要获取其他单位数据。

第八条 各单位需要使用数据，应向信息管理中心提出申请，由信息管理中心负责方案的实施，共同促进数据的高效利用。

第三章 数据分类分级

第九条 数据安全保障遵循分类分级保护的原则，基于数据重要性、敏感性确定数据等级，根据数据等级明确保护措施。

（一）第一级数据：即公开数据，是指国家、教育行业、学校公开的数据标准、代码信息，以及学校主动公开和依法申请公开的行政数据和业务数据。

（二）第二级数据：即内部数据，是指不予公开，但可在一定范围内共享的数据，包括各单位、学院和特定对象间共享的数据。按照职能收集并为公共服务、管理决策提供支撑的数据。

（三）第三级数据：即敏感数据，是指一旦遭篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据。

第十条 各单位须根据分级要求确定数据等级，并报信息管理中心备案。确定为第三级数据的，经信息管理中心审核后，报网络安全和信息化建设领导小组审定。

第四章　数据的采集、存储、共享与使用

第十一条 数据按照“一数一源”分工由责任单位统一采集，其他单位不得重复采集。

（一）统一标准。数据采集应符合国家、教育部、行业、学校等制定的相关标准和制度。

（二）全程管控。建立数据全过程管控体系，重点把好数据的采集关，确保数据的真实、准确、完整、及时。

（三）规范可用。数据生产单位在进行数据采集、录入、审核时须保证数据的规范可用。

（四）用途明确。数据生产单位必须确保数据的采集具有明确的使用用途，并不得私自采集超出本单位业务范围之外的数据。

第十二条 学校主数据库由信息管理中心统一规划、统一存储、统一备份，收纳学校基础数据与各单位业务状态数据，基于主数据库实现数据共享。各单位需做好业务信息系统本地数据的存储、备份工作，并按要求留存操作日志、访问日志等运行数据。

第十三条 数据共享分为无条件共享、有条件共享、不予共享等三种类型。

（一）无条件共享：无条件共享数据是指无需数据提供单位授权同意，可提供给所有数据使用单位共享使用的数据资源。

（二）有条件共享：有条件共享数据是指经数据提供单位授权同意后，方可提供给申请者共享使用的数据资源。

（三）不予共享：不予共享数据是指数据提供单位确定的不提供共享使用的数据资源。凡列入不予共享类的数据资源，须有学校文件或上级政策法规等依据。

第十四条 数据的共享类型与共享范围由数据提供单位提出初步意见，与信息管理中心共同商议确定，不能协商一致的，报学校网络安全和信息化建设领导小组裁决。

第十五条 学校各单位有义务向其他单位提供可共享的数据资源，并有权利根据工作需要，提出数据资源共享需求。

第十六条 学校各单位应严格按照申请的用途加强数据安全管理，数据共享平台仅供业务单位间数据共享和业务应用使用，不提供师生个人申请使用。不得直接或以改变数据形式等方式提供给第三方，也不得用于或变相用于其他目的。

第十七条 对使用用途不明确，存在安全风险隐患的数据申请，数据生产单位可以不予批准。

第十八条 各单位应加强业务数据的分析、应用，不断提升数据管理效能，充分发挥数据的作用，推动科学决策、精准管理和个性服务。

第五章　数据的质量管理

第十九条 数据质量管理主要是对数据质量进行约束性制度规范，确保数据生产和使用的一致性。数据管理单位负责对数据质量进行监管。数据生产单位在数据管理单位的指导下，负责对数据质量进行提升和优化。数据使用单位对使用过程中发现的数据质量问题进行反馈。

第二十条 各单位主要负责人为本单位数据质量第一责任人，应结合单位职责、岗位职责、工作要求，建立保障数据质量的长效工作机制，加强数据核查与质量监控，及时修正问题。

第二十一条 各单位建立数据质量反馈机制，以确保数据的可用性。数据使用单位有义务监督数据提供单位所提供数据的是否完整准确、更新及时，将使用中所发现的问题及时反馈给信息管理中心与数据提供单位。

第二十二条 学校各单位在数据提供内容确定、数据交换接口完成后，如果用于交换的源数据结构或内容要变更，需提前向信息管理中心提出变更申请，以避免发生数据混乱，造成数据服务异常。

第二十三条 为保证全校数据的一致性，对于从权威单位获取的基础数据，学校各单位只能进行共享、引用和衍生数据，不能增加、删除和修改。

第六章　数据安全管理

第二十四条 数据安全管理主要是为保障数据安全进行约束性制度规范，确保数据生产、提供和使用的可用性、完整性和保密性。数据管理涉及的校内各主体单位（数据管理单位、数据生产单位、数据使用单位）严格按照本办法履职尽责是数据安全管理的基础保障。

第二十五条 信息管理中心负责学校数据安全管理专门制度的制定，开展数据安全培训，指导监督各单位在数据采集、存储、共享、使用过程中的安全保障工作，组织开展数据安全风险评估和安全管理审查，确保数据安全。

第二十六条 各单位应遵循数据安全管理相关制度、规范，明确责任人，切实落实安全管理责任。

第二十七条 各单位应加强对数据采集、使用等相关工作人员的数据安全教育和培训，提高本单位人员数据安全意识和法制意识。

第二十八条 各单位应加强服务器、存储等硬件设施的管理维护，定期对系统运行状况、备份数据进行检查，定期开展备份数据恢复演练，防止因意外事件发生造成数据丢失、破坏。

第二十九条 学校各单位应定期对本单位负责管理的数据资源进行检查并做好记录。

第三十条 学校各单位应加强数据的容灾能力建设，建立数据容灾备份机制和数据操作日志记录机制，保障系统应急恢复和数据操作可追踪。

第三十一条 学校各单位发生信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，应当立即采取补救措施，并按要求向信息管理中心报告。

第三十二条 各单位应加强供应链的安全管理，与服务厂商签订数据安全保密协议，并负责监督落实。各单位托管于校外的的业务系统，均应实现数据的自主可控，在校内保持同步数据备份，确保学校数据的安全。

第三十三条 在数据应用时，应注意保护学校工作秘密、师生个人隐私。任何单位和个人不得将获得的学校数据公开、转给他人使用或用于申请授权范围以外的用途。对因各种原因导致学校数据泄露、产生严重不良后果的单位和责任人，交由有关单位依纪依规追究其责任。涉嫌违法犯罪的，按照国家有关法律规定处理。

第七章 附 则

第三十四条 本办法由信息管理中心负责解释，自发文之日起施行。