关于印发《长春金融高等专科学校
数据管理办法》的通知
各单位、部门:
现将《长春金融高等专科学校数据管理办法》印发给你们,请结合实际,认真贯彻落实。
附件:长春金融高等专科学校数据管理办法
长春金融高等专科学校
2022年9月15日
长春金融高等专科学校数据管理办法
第一章 总 则
第一条 为加强和规范长春金融高等专科学校数据安全管理工作,切实保障公共数据安全,落实数据安全管理责任,提升数据生命周期安全防控能力,依据《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例(征求意见稿)》等法律和标准,结合学校实际,制定本办法(下称“本办法”),本办法适用于在长春金融高等专科学校校园网内开展数据收集、存储、传输、处理、使用等活动,以及数据安全保护和监督管理。
第二条 本办法所称公共数据,是指本校各级管理部门和具有管理职能的其他部门为履行工作职责、提供公共服务收集、产生的,以电子或者其他方式对具有公共使用价值信息的记录。数据所有权归属于长春金融高等专科学校。
第三条 本办法所称“敏感数据” 是指相关部门和个人收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的公共数据,包括但不限于个人敏感信息。
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
第四条 本办法所称“数据安全”是指数据业务活动中,数据的所有者、管理者、使用者和服务提供者等采取保护的策略和措施,包括但不限于防范数据泄露、窃取、篡改、伪造、勒索及不当使用等风险与危害的能力、状态和行动。
涉及国家秘密的公共数据管理不包含在本规范调整范围之内,按照有关法律、法规和规定执行。
关于敏感数据的处理者应当设立数据安全负责人和组织机构、落实数据安全保护责任的要求,数据安全管理工作由长春金融高等专科学校网络安全和信息化领导小组负责,并落实数据安全责任人。
第二章 数据管理部门与管理职责
第六条 学校各单位(部门)根据单位(部门)职责和业务分工,作为相应数据的产生部门和权威单一来源部门,负责本单位(部门)数据资源的统筹规划、建设,执行学校相关的标准、规范, 按要求向数据共享平台提供权威数据,进行数据安全生命周期管理,并对数据质量负责。
数据安全责任人由具备相关管理工作经历或数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向长春金融高等专科学校网络安全和信息化领导小组的负责人报告工作。数据安全责任人应当履行下列职责:
组织制定数据保护计划并督促落实;
组织开展数据安全风险评估,督促整改安全隐患;
按要求向学校领导、相关监管部门和当地网信部门报告数据安全保护和事件处置情况。
第七条 数据安全事件应急响应和处置工作由网络安全和信息化领导小组办公室负责,并牵头成立数据安全应急领导小组。
第八条 数据保密协议
学校各单位(部门)的数据管理人员需要签订《长春金融高等专科学校数据安全保密承诺书》。所有参与数据运维的第三方机构需与所服务的业务部门签订《数据安全保密协议》。
第三章 数据共享平台建设
第九条 现代教育中心负责数据共享平台建立及管理。数据共享平台包括数据标准规范管理、数据质量管理、数据交换平台、数据服务平台和全域数据库等内容。
第十条 数据共享平台是学校数据资源建设的主要载体, 为业务部门之间信息化数据资源共享交换提供支撑。
第十一条 学校各单位(部门)数据资源原则上只允许通过数据共享平台对接方式交换共享。如因特殊情况不宜通过此方式提供,需与现代教育中心商讨确定切实可行的实施方案。
对外提供数据或与合作方进行数据交换活动时,须执行共享数据的安全风险控制措施,降低数据共享交换场景下的安全风险;进行数据发布的过程中,明确发布数据的格式、适用范围、发布者与使用者权利和义务,并执行必要的安全控制,实现数据发布的安全可控与合规。
长春金融高等专科学校网络安全和信息化领导小组统筹负责数据发布活动,制定数据发布审核流程,包括数据待发布内容、涉及的部门和机构、审核意见、数据发布应急处理流程等,确保发布内容为可公开,且符合法律法规要求。
第四章 数据质量管理
第十三条 数据质量管理主要包括数据产生、处理、存储、应用的全过程。对数据生命周期各个环节的精确管理可确保数据质量得到有效保障。各数据产生部门有义务保障数据的质量。长春金融高等专科学校网络安全和信息化领导小组办公室定期组织开展全校范围内的数据治理工作,学校各单位(部门)需做好配合。
第十四条 数据质量管理遵循“谁产生的数据,谁负责维护;谁使用的数据,可提出数据修订意见”的总体原则。
第十五条 学校各单位(部门)在数据提供内容确定、数据交换接口完成后,如果用于交换的源数据结构或内容要变更,需提前向现代教育中心提出变更申请,以避免发生数据混乱,造成数据服务异常。
第十六条 为保证全校数据的一致性,对于从权威部门获取的基础数据,学校各单位(部门)只能进行共享、引用和衍生数据,不能增加、删除和修改。
第五章 数据资源使用
第十七条 学校数据资源是学校的公共资产,应为学校各项事业发展和学校各单位(部门)业务需求服务,发挥数据资源在数据共享、管理服务能力提升、数据挖掘分析、辅助决策支持等方面的作用。
第十八条 学校各单位(部门)有义务向其他单位(部门)提供可共享的数据资源,并有权利根据工作需要,提出数据资源共享需求。
第十九条 数据资源使用模式:
(一)学校各单位(部门)根据数据需求向数据产生部门提交数据使用申请,并告知产生部门数据使用范围,获得数据产生部门的授权后,方可通过数据共享平台接口提供数据,授权书需数据产生部门、申请部门和现代教育中心三方会签。
(二)对使用用途不明确,存在安全风险隐患的数据申请,数据产生部门可以不予批准。
(三)数据使用后,按照相关规定不得留存的、不需要留存的,进行数据销毁处理。
在数据使用、处理过程中及数据挖掘、分析过程中,建立敏感数据保护机制,并采取适当的安全控制措施,防止有价值的业务数据和敏感数据发生泄露的安全风险,建立数据使用过程的责任机制,防止业务数据被用于不正当目的。
第二十条 申请的数据资源只能用于部门履行职责和特定工作需要,申请部门要按照“谁使用,谁负责”的原则对数据使用的全过程进行严格管理。
第二十一条 管理员账号登录行为必须经过双重验证,管理员账号只用于开通账号、用户和权限设置、变更,不可用于一切数据活动。
第二十二条 数据使用权限按照最小够用原则进行设置,如需获取其他数据须向数据所有者和相关领导提交申请,审批通过后方可获取数据或权限,并保存审批记录。
第二十三条 所有可接触数据的人员须一人一账号,不可跨部门使用账号,不可多人共用同一账号。
第二十四条 所有可接触数据的人员须每三个月修改数据相关平台/系统的密码,密码复杂度为不少于8位,包含数字和大小写字母,同时要求不得泄漏密码、口令等鉴权信息。
第二十五条 数据安全责任人应定期对申请使用数据活动和审批的记录进行审查,确保数据为正当使用,未超过申请时所声明的数据使用场景和使用范围。
数据安全管理
第二十六条 现代教育中心在履行职责中,发现学校各单位(部门)数据安全管理责任落实不到位的,有权督促整改。
第二十七条 学校各单位(部门)应加强数据的容灾能力 建设,建立数据容灾备份机制和数据操作日志记录机制,保障系统应急恢复和数据操作可追踪。
第二十八条 学校各单位(部门)发生信息泄露、毁损、 丢失等数据安全事件,或者发生数据安全事件风险明显加大时,应当立即采取补救措施,并按要求向现代教育中心报告。
第二十九条 学校各单位(部门)应严格按照申请的用途加强数据安全管理,数据共享平台仅供业务部门间数据共享和业务应用使用,不提供师生个人申请使用。不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。
第三十条 学校各单位(部门)应定期对本单位(部门)负责管理的数据资源进行检查并做好记录。
第三十一条 现代教育中心对数据共享平台数据负有安全保护责任,不得用于与履行职责无关的用途。
第三十二条 学校各单位(部门)违反本办法规定的,由现代教育中心根据实际情况责令限期改正;造成严重不良后果的,由长春金融高等专科学校按照相关规定予以追责问责。
第三十三条 学校各单位(部门)开展数据共享和流转以及业务系统建设和升级业务,原则上数据应存储在校内服务器。其他情形的,依照国家相关规定执行。
第三十四条 数据信息公开时,需做好个人信息和隐私保护,师生个人敏感信息需要进行脱敏等技术处理,方可公开。
第三十五条 针对数据业务开展过程中的数据安全生命周期实现安全监控和审计,以保证对数据的访问和操作均得到有效的监控和审计,实现对数据安全生命周期各阶段内可能存在的未授权访问、数据滥用、数据泄漏等安全风险的防控。
第三十六条 对各类业务数据访问和操作,进行日志记录、安全监控和审计,记录数据操作事件,并制定数据安全风险行为识别和评估规则。
第七章 附 则
第三十七条 触犯国家有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第三十八条 本办法由长春金融高等专科学校、长春金融高等专科学校网络安全和信息化领导小组办公室负责解释。
第三十九条 本办法自印发之日起施行。
