第一章 总 则

第一条为规范数据安全管理，保护学校数据资源安全，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规，结合学校数据资源管理实际，制定本办法。

第二条本办法所称数据，是指学校各类信息化业务系统建设、使用过程中产生和累积的各类数字化的数据资源，包括但不限于各部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托业务信息系统形成的数据资源，包含但不限于各类系统数据、各类文字、图片和音视频、系统日志和程序代码等。

第三条数据管理是指学校办学过程中对数据资源的标准化与规范化，对数据资源的采集、存储、治理、共享与使用等方面的管理以及相关规章制度的建设。

第四条数据管理旨在建立安全、稳定、高效、可持续发展的数据资源管理体系，保证数据资源的一致性、准确性、有效性、时效性和安全性。数据管理的主要目标：

1.统筹管理，明晰数据权责。数据资源管理要在全校统筹管理、统一标准的基础上，由各业务归口部门分头实施、各负其责。明确数据的权威归口管理部门，遵照“一数一源、多元校核，最小必要、分级保护、安全合规”的原则，从管理和技术两个维度，重点保障个人信息安全和重要数据安全，全面提高校园数据安全保障能力。

2.数据公有，授权数据共享。数据是学校资产，所有权和使用权归学校。各数据主管部门在确保数据安全的前提下，建立共享与保密、授权与分级相统一的授权共享机制。在数据生命周期的各个环节建立完善的数据质量核查机制，制定完善的数据质量管理规范，确保数据的准确性。

3.规范管理，保障数据安全。建立数据的备份和恢复管理规范，加强数据存储和归档管理，确保所有数据有备份，可恢复；做好各类敏感数据的保密工作。

4.数据服务，发挥数据价值。依托数据服务管理规范，确保公开脱敏数据在权限范围内易获取、易应用，数据能够为各项工作提供参考和决策依据，充分发挥数据作为学校无形资产的价值，提升服务质量。

第二章 数据管理原则

第五条统一标准原则。信息系统采集和处理的数据，应遵循学院制定的数据标准和接口标准。图书与信息资源中心应及时制定和公开相关标准。

第六条归口管理原则。各类数据在纳入统一平台管理的基础上，按业务属性由学校各业务管理部门进行归口管理、分头实施、各负其责。数据的采集创建包括系统录入、采集设备自动生成等方式，按照“谁采集，谁维护；谁主管，谁负责”的原则进 行管理。数据归口部门作为一数一源的权威，总体负责分管领域的数据治理并按要求配合完成数据维护更新工作。开展数据采集维护等工作时，应充分调度、发动相关单位或个人做好数据的采集和维护工作，确保录入信息及时、准确有效。

第七条数据共享原则。全校数据以共享为原则，不共享为例外。除《中华人民共和国保守国家秘密法》所规定的涉密数据外，其他数据原则上允许校内各部门、各单位在其业务和管理范围内共享，并纳入校级数据中心统一管理、传输、检索、应用与分析。

第八条安全可控原则。从技术保障及制度保障两方面保证数据安全，坚持“一数一源”“动态更新”原则，相关业务部门对所管理的数据有把关质量的责任，应定期检查、梳理业务范围内所负责的数据，确保数据的真实、准确、完整、及时；各部门和个人对学校数据的使用应合法、合理，不得滥用乱用，不得泄露国家秘密、学校秘密和个人隐私，切实维护数据主体的合法权益。

第九条信息报备原则。学校各信息系统的后台数据所有权归学校所有，建设方须提供全量数据库信息，包括数据库规划和架构、IP 信息、端口号、实例名、所有数据库账号、备份存储位置和策略以及数据字典，并承诺免费实现单点登录和数据对接。 以上信息作为建设验收的必要条件由系统建设部门协同图书与信息资源中心进行审核，完成信息报备。

第三章 机构与职责

第十条数据安全是学校网络安全管理体系的重要组成部分。学校网络安全和信息化工作领导小组是学校信息系统数据管理的领导机构，负责政策制定、顶层设计，对重大问题进行决策和协调，推进学校信息系统数据的有效共享和治理，提升学校信息化建设和使用水平。

第十一条学校大数据中心建设由图书与信息资源中心牵头建设，相关部门协同完成。图书与信息资源中心负责学院数据的统筹管理和技术支撑，包括制定数据标准、接口标准、数据安全策略和管理规范，推进数据中心建设运行，提供公共数据服务等。

第十二条校属各单位根据业务属性和数据关联情况承担数据建设任务并履行数据管理职责，根据学校相关要求落实数据的采集、存储、发布、备份、归档工作，开展数据安全、质量及共享管理，部门主要负责人为数据第一责任人，校属各单位应指定数据管理员，部门负责人和部门数据管理员应认真履行数据管理职责，对数据的准确性、完整性、安全性负完全责任，因工作失误造成数据损坏、丢失、泄密的，追究部门或相关人员的责任。

第十三条根据学校业务分类和部分分工实际情况，设置数据统筹部门。数据统筹部门应履行数据建设统筹管理和建设指导责任，保证相应数据的规范性、标准性、准确性，负责审核数据，负责数据共享审核。

第四章 数据质量管理

第十四条数据质量是指数据满足信息系统功能的能力、数据准确度、真实性、可用性、完整性和权威性等方面的客观评价性指标。为了保证数据管理的科学性，遵循“谁生产，谁维护； 谁使用，谁反馈”的原则，数据产生部门对本部门所产生数据的 质量负责，建立健全数据质量管理制度，保证数据的质量。

1.已建且运行良好的信息系统，必须遵循学校的数据标准和接口标准，实现与学校数据中心的系统对接，通过数据采集工具实现自动采集；

2.所有在建业务系统或未来新建业务系统，在系统建设过程中，必须明确系统的数据标准和接口标准，确保系统建设完成后能与学校数据中心进行对接，实现数据自动采集。

3.信息系统归口管理部门以及信息系统管理员和用户应规范操作系统，如实填报数据，及时准确更新业务系统数据，确保数据的准确性和真实性。

4.未建立业务系统的数据通过电子表格填报的形式手工采集。手工数据采集工作由数据统筹部门组织，图书与信息资源中心统一下发数据采集模板，各部门按模板要求采集数据。

5.首次手工数据采集工作应在1个月内完成，日常数据手工更新应在状态数据发生变化后1星期内完成，确保手工采集数据的适时性。

6.数据统筹部门应对手工采集数据进行核实审签，确保数据的准确性和规范性。

第十五条加强数据采集、更新、修改过程中的质量监控，完善监控体系，确保数据运行过程中的质量。

1.所有数据的新增、更新及修改，必须履行相应的审签程序，由数据责任主体、数据责任部门和数据统筹部门逐级申请审批，数据操作员实施操作。

2.手工数据更新必须经部门负责人确认、数据统筹部门审核后，由图书与信息资源中心录入数据中心。

3.任何人不得违规私自修改公共数据，个人状态数据的修改必须经过组织人事部的审核。

4.所有在业务系统或数据中心发生的数据新增、更新及修改操作，系统软件必须留有完整的数据操作记录，详细记录数据修改内容、修改时间以及操作员信息。

第十六条定期开展数据分析、数据清理和数据检查，及时发现因误操作、误统计或误解读等失误造成的数据问题，不断优化提升数据质量。校属各单位应定期检查、梳理业务范围内所负责的数据，对信息系统涉及的各个信息采集点培训、指导，建立模式化的操作规程，降低数据操作失误率。

第五章 数据共享管理

第十七条除《中华人民共和国保守国家秘密法》及其它各项法规规定的涉密数据外，原则上，数据应允许校内各部门在其业务和管理范围内，通过一定工作程序，按需共享。

第十八条各类信息系统原则上应与学校数据中心集成，通过数据中心实现数据互联互通和共享利用。尚未与学校数据中心集成的，应制定工作计划，逐步完成数据集成工作。

第十九条新建信息系统应充分考虑用户认证功能和数据共享功能，在方案制定、招标文件和项目合同中必须明确提供功能接口和数据接口。

第二十条各部门因决策支持、教学科研、管理服务等需要相关数据的，应向数据统筹部门提交《湖南石油化工职业技术学院数据资源申请表》（见附件1），经分管信息化工作的校领导审核授权后，存储于数据中心的数据由图书与信息资源中心统一提供，未存储于数据中心的数据由数据统筹部门提供。

第二十一条数据的开放共享按照“最小必要”原则，由数据使用单位按上述规程提出申请，同时签订《湖南石油化工职业技术学院数据安全责任书》（见附件2）和《湖南石油化工职业技术学院数据使用保密协议》（见附件3）。经数据主管部门审核，对用途不明确、存在安全风险隐患的数据申请，不予审核通过。

第六章 数据安全管理

第二十二条数据安全管理是对信息系统各类数据的敏感性、隐私性、安全性、完整性和可用性的保护。图书与信息资源中心负责制定数据安全管理相关制度，开展数据安全培训，组织开展数据安全风险评估和安全管理审查。

第二十三条依据《中华人民共和国国家标准信息安全技术信息系统安全等级保护基本要求》，各部门须建立数据安全管理制度和安全防护体系。各部门应依据学院相关管理规定和技术规范，建立本部门的数据安全机制和制度规范，落实数据管理与监督责任。

第二十四条图书与信息资源中心负责按照信息安全等级保护要求，建立相应的安全管理技术方案，并负责学校数据中心安全的软硬件建设，逐步建立数据容灾备份中心，为信息系统数据安全管理提供系统支撑。

第二十五条学校严格信息网络安全管理制度，定期排查学校各类网络信息安全漏洞。对存在高风险网络信息安全漏洞的网站或系统，图书与信息资源中心应第一时间告知系统建设部门并关闭相应网站或系统，以确保信息系统数据安全。

第二十六条各部门应建立和严格执行信息系统安全运行、数据维护流程等制度，定期开展数据安全检查并做好检查记录，配合开展网络信息安全漏洞排查工作。

第二十七条各部门应建立数据备份制度，制定数据备份恢复方案，确保数据出现异常后能够及时恢复。

第二十八条各部门使用数据时，应依照国家相关法律法规，保护用户隐私。数据管理部门应针对数据授权对象和使用目的设置不同的数据管理机制，对关键数据建立脱敏机制。任何部门和个人未经批准不得擅自泄露数据。

第二十九条利用第三方平台或委托他人开展数据处理活动的，应由数据主管单位和被委托方签订数据安全与保密协议，明确使用方式、应用场景和使用边界，落实数据安全责任。委托处理重要数据的，应当对被委托方的数据安全保护能力、资质进行评估或核实。不得委托第三方个人进行数据使用与处理工作。

第七章 附 则

第三十条涉及国家秘密、商业秘密和个人隐私的数据安全，应当遵守保密法律法规和隐私保护要求。

第三十一条如需跨境流动的数据，应当遵守《中华人民共和国数据安全法》中对于跨境流动数据的安全管理要求。

第三十二条本办法根据国家现行法律法规、行业政策制定，未尽事宜按上级最新规定执行；若与后续出台的国家层面政策冲突，以国家政策为准。

第三十三条本办法由图书与信息资源中心负责解释，自发布之日起施行。

附件：

1.湖南石油化工职业技术学院数据资源申请表

2.湖南石油化工职业技术学院数据安全责任书

3.湖南石油化工职业技术学院数据使用保密协议

湖南石油化工职业技术学院

一审 陈雅菲

二审 彭奥

三审 熊伟