内蒙古农业大学数据使用及安全管理办法
第一章 总则
第一条 信息系统数据作为学校的重要资源,纳入学校统一管理范畴,实现信息系统数据的统一管控,提高数据质量和数据的利用效率,提供安全、完整、统一的数据服务,为学校教学、科研、管理提供信息服务和技术保障。
第二条 本办法所指的信息系统是指《中华人民共和国计算机信息系统安全保护条例》中所定义的,包括范围是:学校各类型的管理信息系统、网站、教学资源系统、用户服务系统等。
第三条 本办法所指的数据是指各类信息系统所覆盖的相关数据,包括但不限于:管理信息系统产生的业务数据、网站数据、教学资源(含多媒体视频、图片、课件等)、用户服务支持系统产生的数据。
第四条 信息系统数据管理是指利用信息系统对数据进行采集、录入、运维、存储、归档、应用的过程以及制定数据标准、数据安全策略和实施数据审核的管理。
第五条 信息系统数据管理应遵循以下原则:
(1)统一规范原则。信息系统采集和处理的数据,应符合学校制定的统一编码原则和信息系统所要求的特定数据标准。
(2)全程管控原则。建立数据从采集、处理到维护的全过程管控体系,重点把好数据的采集关,确保信息系统数据真实、准确、完整、及时。
(3)定期考评原则。相关业务部门对所管理的数据具有责任,对其权限范围内所负责的数据管理工作要进行定期的管理考评。
第六条 信息系统数据管理应达到如下目标:
(1)统一数据标准:要求数据管理有标准,即具备完善的数据标准管理规范,保证在系统建设过程中应用统一的数据标准。
(2)保障数据准确:在数据整个生命周期的各个环节建立完善的数据质量核查机制,制定完善的数据质量管理规范,确保数据的准确性。
(3)防止非法篡改和伪造:明确数据的所有权及更改权限,制定完善的数据所有权管理规范,确保对数据的所有更改均有据可查,对于不可更改的数据,应提供相应的安全技术防篡改和伪造。
(4)建立数据备份、容灾和恢复机制:建立数据的备份、容灾和恢复机制,加强数据存储和归档管理,制定完善的数据安全管理规范,确保所有数据有备份、可恢复。
(5)预防信息泄漏:根据国家和学校的要求,做好数据的保密工作,确保数据安全。
(6)提供数据服务:制定完善的数据服务管理规范,保证数据易获取、易应用,以充分发挥数据作为学校资产的价值。
第二章 数据管理角色及职责
第七条 学校数据管理部门包括信息与网络中心、学校党政系统职能部门、各院系和直属机构与数据管理相关的有关部门或科室。学校数据管理部门根据数据管理的目标设置数据管理具体角色,包括总体规划、数据标准和规范的制定与执行、数据实施和运维、数据应用。
第八条 各类角色的职责是:
(1)总体规划的制定与执行:制定数据管理的规划和目标,由学校信息化建设领导小组审批。承担部门:信息与网络中心以及党政系统职能部门。
(2)数据标准和规范的制定与执行:制定学校数据指标体系;制定学校的数据模型;制定和执行学校信息系统数据标准;制定和执行数据所有权管理规范;制定和执行数据安全规范;制定和执行数据服务管理规范;制定和执行数据质量核查机制。承担部门:信息与网络中心以及党政系统职能部门。
(3)数据实施和运维的范围与执行:进行数据整合、数据分析、数据的采集与运维管理、存储、归档等。承担部门:党政系统职能部门、各院系和直属机构与数据管理相关的有关部门或科室。
(4)数据应用范围与执行:数据的日常应用和提供共享、利用服务等;承担部门:学校党政系统职能部门、各院系和直属机构与数据管理相关的有关部门或科室。
第三章数据采集、录入与审核
第九条 数据采集应遵循真实、完整、规范、及时的原则。
(1)真实:操作人员应准确录入相关数据,不得随意修改、增减。数据还必须得到权威部门的审核。
(2)完整:要按照各类应用子系统的有关要求进行数据采集,保证数据齐全,避免数据的缺失。
(3)规范:数据采集应按照相关标准进行。
(4)及时:数据要在规定的时间内采集,确保数据与实际业务同步。
第十条 学校数据管理部门应统一制定数据采集、录入、审核规范,并在进行数据采集、录入、审核时要求各业务职能部门(含各院系)严格按照规范操作,如果各业务职能部门(含各院系)在执行过程中遇到规范未涉及的问题,应及时向学校数据管理部门上报。
第十一条 在各类信息系统中,要严格按照规定进行岗位设置和授权,严格按照岗位权限进行操作。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。各系统用户应当定期更改自己的口令,确保数据的安全。
第四章 数据运维管理
第十二条 数据运维管理是指学校各职能部门、各院系在业务操作过程中对系统中数据进行修正、补充、更新、删除等的管理。
第十三条 学校各职能部门、各院系应指定数据运维的负责人和接口人,在学校数据管理部门的指导和协助下,开展数据运维工作。
第十四条 学校各职能部门、各院系应在学校数据管理部门的指导和协助下,结合本部门实际情况,制定数据运维规范,明确数据维护的权限和职责,制定数据维护的规程。凡是进入信息系统中的数据,应严格按照规程进行操作。
第十五条 学校数据管理部门应及时研究数据运维过程中的问题,定期对系统中发现的各类问题进行分析,将经常出现的问题和解决方法分类汇总后予以发布,及时反馈给学校各职能部门、各院系的数据运维接口人员。
第十六条 学校数据管理部门建立数据运行平台,提高运行维护工作的实效。数据在系统运行中不可避免地遇见一些实际问题,需要建立统一的运行维护平台,及时、有效地进行信息的反馈和核查,确保信息系统数据运行和维护工作的有效性。
第十七条 学校数据管理部门制定数据在修正、补充、更新、删除时需要记录的审计日志规范,并将其作为信息系统的必须实现的功能。信息系统在记录审计日志的同时,应提供方便简捷的方式实现查询审计日志记录功能。
第五章 数据存储和备份
第十八条 学校数据管理部门应当配备数据存储、管理、服务和安全等必要的软硬件设施,构建统一的数据管理系统,确保数据的完整性和安全。备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗等安全措施。
第十九条 学校数据管理部门应当按照相关规定建立数据备份制度:
(1)根据业务实际需要定期进行数据备份。
(2)数据备份的介质要求有规范、清晰的标签标识。备份数据应定期测试,以确保备份数据的可恢复性。
(3)重要的数据载体应异地存放。
(4)一旦发生数据丢失或数据破坏等情况,要由系统管理员或相关技术支持人员对备份数据恢复,以免造成不必要的损失。
第二十条 学校数据管理部门应当配备专业技术人员,设定岗位,履行相关职责。
第二十一条 数据的备份、恢复、转出、转入的权限都应严格控制。指定专人进行备份操作及存放这些载体,并指定工作岗位替代人以确保备份工作不中断。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。
第六章 数据利用和服务
第二十二条 学校数据管理部门应制定数据服务管理和安全规范,明确定义数据服务的用户和提供服务的方式以及相关的安全管理规定。
第二十三条 外单位或外部信息系统需要利用或共享信息系统的数据时,需要出具书面申请文件和需求文档,并按照规定经过审批后,由学校数据管理部门提供。
第二十四条 未经批准,任何单位和个人不得擅自提供信息系统的内部数据。对于不能披露数据的利用和服务,数据管理部门应进一步制定相应办法予以明确。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第七章 数据安全管理
第二十五条 信息系统数据保护是数据安全管理的中心内容,主要指对信息系统用户数据(包括业务数据和系统数据)及安全功能数据的机密性、安全性和可用性的保护。
第二十六条 学校对信息系统数据实施统一安全管理策略,具体包括制度管理和技术管理等两方面。制度管理主要包括安全管理机构、制度、人员、责任和监督机制等内容。技术管理包括信息系统建设、运行和维护的各环节,如开发、试用、验收和推广各阶段上的安全管理,设备网络特别是保密设备和密钥的安全管理等。
第二十七条 学校数据管理部门应根据信息安全等级保护要求对数据建立相关的流程和制定相应的管理制度,信息系统应严格在流程管理和制度管理的约束下实施。
第二十八条 学校数据管理部门应制定介质管理制度,对存储一般数据介质(特别是移动介质)应加强存放管理,对存储关键数据或敏感数据介质应实施全生命周期管理(包括存放、使用、传输、销毁等)。对于特别敏感数据的存储可采用特殊的保护软件加密存储,采用独立计算机存取而非联网的方式。
第二十九条 存储过重要数据的介质报废时应由专业技术人员进行物理性销毁。
第三十条 对于有危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规和规章规定行为的,由公安、国家安全、保密以及其他监督管理部门依法处理;构成犯罪的,依法追究刑事责任。
第八章 附则
第三十一条 本办法由网络安全与信息化建设领导小组办公室负责解释。
第三十二条 本办法自文件下发之日起实施。
