第一章 总则
第一条 为加强学校数据规范管理,提高数据质量,确保数据安全,推进数据的互联互通和共享公开,促进数据科学配置和有效利用,及时为各项工作提供准确和规范的数据,提高学校综合治理能力和公共服务水平,依据相关法律法规,结合学校实际,制定本办法。
第二条 本办法所称数据,是指学校各单位和全体师生员工在教学、科研、管理与服务等活动中产生并以信息化形式保存或记录的各类数据资产的总称,是学校的公共资源,包括但不限于文本、数据库、网页、图形图像、多媒体文件等格式。
第三条 本办法的主要内容包括数据管理的组织与职责,数据的生产、采集、存储、交换和共享,以及数据的质量要求与安全保障、权责监督等。
第四条 数据管理要遵循以下基本原则:
(一)统筹管理,各负其责。数据管理要在全校统筹管理、统一标准的基础上,建立数据资产目录体系和整合共享交换体系;
(二)一数一源,权威来源。明确数据的权威来源,各单位遵照“一数一源、多元校核,一次采集、重复使用”的原则,开展数据资产的生产、维护、采集、存储、交换、共享、应用、归档、备份和安全管理等;
(三)数据公有,授权共享。数据资产是公共资源,所有权和使用权归学校所有。各单位在确保数据安全的前提下,实行以共享与保密、授权与分级相统一为原则的授权共享机制;
(四)规范管理,保障安全。明确学校数据资产各环节的管理程序,建立全过程管控体系,做到数据资产管理全过程有规可依,保护个人隐私信息,保障数据资产安全。
第五条 数据管理要实现以下目标:
(一)确保数据完整准确。建立数据的生产和采集规范,建立数据交换和质量检查机制,确保各个环节中所产生的数据完整、准确;
(二)确保数据安全可靠。建立数据备份、容灾和恢复机制,建立数据日志记录体系,根据国家和学校的相关要求,做好数据保密工作;
(三)确保数据充分共享。明确数据的产生部门和使用部门,建立数据共享体系,确保共享数据可多方使用;
(四)确保数据使用规范。建立数据使用申请、审批管理机制,规范数据使用流程,合理利用数据辅助相关管理和决策。
第二章 数据管理的组织机构
第六条 学校网络安全和信息化工作领导小组负责领导学校的数据管理工作。
第七条 现代教育技术中心是数据管理的职能单位,在网络安全与信息化工作领导小组的领导下,负责规划、指导、协调、促进学校数据体系建设。主要职责包括:
(一) 建立建全数据管理规章制度,完善数据管理细则;
(二) 编制并发布数据资产目录,进行数据确权;
(三) 根据数据的确权结果,促使各单位按照数据资产目录提供相应数据并保障数据质量符合要求;
(四) 采集各单位数据,纳入学校数据中心,保障数据及时更新与发布。
(五) 对数据进行分类分级管理,设计数据共享审核流程和安全规则,实现数据充分共享;
(六) 按照规定进行数据的备份、存档工作;
(七)负责数据安全管理工作。
第八条 各单位是数据生产和使用的主体,数据生产单位作为数据来源部门,负责数据的采集、加工、维护。数据使用单位按照数据共享流程提出使用申请,获得数据的使用权,应严格遵守数据保密规范,保证数据实际用途与申请用途一致。
第九条 各单位主要负责人是本单位数据管理的责任人。责任人需指定专人具体负责本部门与学校数据中心平台对接、数据的日常管理、更新与运维等工作。
第三章 数据生产
第十条 数据生产是指数据从无到有的过程,具体形式包括各单位自行录入、系统自动产生、师生征集填报、从其它渠道获取导入等。
第十一条 依据各单位的职责范围、业务流程等因素,确定各项数据的权威来源单位。各单位应对数据确权结果予以确认。
第十二条 各单位对业务范围内的数据负有生产维护、质量保障、及时更新、提供共享的责任。
第十三条 为了保障数据的规范性和可共享性,各单位须用信息化系统和数据库技术对数据进行记录、存储、更新和维护。
第十四条 对于尚未应用信息化系统进行管理的数据,各单位原则上将可以生成结构化的数据以结构化形式(如电子表格)进行记载和存储。对于非结构化数据原则上要求转换为数字化形式存储和管理。
第十五条 各单位生产数据时,需要满足下列要求:
(一)数据内容应完整覆盖本单位确权范围内的数据;
(二)保障数据完整性、准确率;
(三)按照业务要求及时更新数据;
(四)字段命名及涵义应符合学校数据标准中的字段定义;
(五)数据编码应符合学校编码规范;
(六)使用代码表达的数据,应按照学校数据标准中定义的标准代码进行表达。
第四章 数据采集和存储
第十六条 现代教育技术中心负责建设和管理学校数据中心,从数据权威来源单位采集数据,存储到学校数据中心,形成校级数据资产,集中统一管理。
第十七条 数据采集需按照保密协议及相关规范进行;数据的存储应配备管理、服务和安全等软硬件设备,确保数据的完整性和安全性,同时还需按照相关规定制定数据备份制度,建立数据备份恢复方案的容灾系统,对特别重要的数据要异地备份。
第十八条 为了保障数据的权威性和唯一性,各单位对于不是由本部门产生但在日常管理中需要用到的数据,必须从学校数据中心对接到本单位系统中,不得独立生成,且不得私自对接其它数据源。
第五章 数据交换共享
第十九条 数据交换共享,是指数据经过采集、清洗、标准化治理后存储在学校数据中心统一管理,各单位通过学校数据中心在权限范围内可获取学校数据资产,用于日常办公及教学科研活动。
第二十条 数据资源共享分为无条件共享、有条件共享、不予共享等三种类型。
无条件共享数据是指无特定条件要求可提供给所有单位共享使用的数据资源。
有条件共享数据是指需满足一定条件且只可提供给相关单位共享使用的数据资源。
不予共享数据是指不宜提供给各单位共享使用的数据。
第二十一条 无条件共享和有条件共享的数据通过学校数据中心进行共享。
第二十二条 数据交换共享需要遵循以下原则:
(一)规范采集:各单位应按照统一的学校数据标准,录入和处理数据;
(二)充分共享:各单位应按照“共享为原则,不共享为例外”的原则为学校数据中心平台提供共享数据;
(三)平台归集:各单位的共享数据应归集到学校数据中心平台,统一向需求单位提供数据共享服务;
(四)按需共享:各单位不得超越权限获取和使用其他部门的数据资产;未经数据提供单位同意,使用单位不得擅自向社会发布或公开;
(五)安全可控:明确数据各环节的管理程序,做到数据管理全过程有规可依。完善数据共享安全机制,保护个人隐私信息,保障数据资源安全。
第二十三条 学校数据中心统一负责数据交换共享,对于有数据需求的数据使用方,应按数据共享和调用的发起流程来获取所需数据。具体要求如下:
属于无条件共享类的数据资源,使用部门在学校数据中心上直接获取;
属于有条件共享类的数据资源,通过提出申请、相关部门审核,获准后方可获取共享数据的使用。
对不予共享的,数据源头单位应说明理由。
第二十四条 数据交换共享范围主要包括学校各应用信息系统产生和保存的数据。具体的数据共享和管理范围以数据资产目录为主。
第六章 数据质量保障
第二十五条 各单位需保障本单位生产的数据资产符合数据质量要求,数据质量保障要求主要包括以下三个方面:
(一)数据录入和产生时,保证其正确性、完整性、有效性、政治安全性和及时性;
(二)发现数据存在质量问题时,需及时进行修正、补充;
(三)因工作流程不合理、业务系统不完善导致数据质量问题时,需采取有效措施优化工作流程、整改业务系统,从根源上解决数据质量问题。数据质量保障要求如下:
1、正确录入信息:录入的信息必须与真实情况一致。当多个系统中存在同一内容的信息时,信息的表达要保持一致。
2、完整录入信息:所有与业务相关的必要信息应完整录入到信息化系统中。
3、及时录入信息:在合理周期内将新增或变更的数据及时录入或更新到信息化系统中。
4、规范代码:需要填写代码的字段,应按正确的业务含义及规范的格式填写对应的代码,不应该在代码字段填写文字或名称等非代码信息。
5、规范编码:需要顺序编码的字段,应该填写正确编码,并保证编码的连续性、唯一性。不应该在编码字段填写文字或名称等非编码信息。
6、格式规范:具有固定格式要求的字段,如姓名、手机号、身份证号等,应该保证字符的连续性,并使用半角字符。不应出现空格、无效字符、位数错误、大小写错误、全角输入等情况。
7、日期规范:应该按照统一的日期/时间格式(包括年月日顺序、位数、精度、分隔符)进行填写日期/时间字段,不应出现顺序错误、不一致的分隔符。
8、数值规范:年龄、分数、价格等数值性字段,数值应该在有效阈值范围内,并填写规范的有效数字位数。
9、对于没有信息化系统管理的数据,需要及时采用手工方式记录到电子文件中。
10、信息化系统设计时,需要通过自动化机制保障上述特性的实现。
第二十六条 现代教育技术中心负责将数据管理过程中发现的质量问题及时向数据资产来源单位反馈。
第二十七条 各单位应针对反馈的数据质量问题及时对数据进行检查、修正、补录。
第七章 数据安全保障
第二十八条 现代教育技术中心应按照《哈尔滨医科大学网络安全管理办法》的要求对学校数据中心的数据资产进行安全管理。具体包括:
(一) 保证数据资产在学校数据中心的采集、存储、共享过程中始终处于安全可控状态,避免数据出现丢失、篡改或泄露等问题;
(二)保障学校数据中心安全可靠运行,对重要数据采取存档、备份、容灾等保障数据内容不会意外灭失。当发生设备故障或误操作时,须确保在规定时间内完成数据恢复;
(三)保障学校数据中心相关的主机、设备、系统、数据库账号密码满足密码强度策略的要求,保障数据体系的访问凭证不会泄露给无关人员,保障数据体系相关的物理设备不会被无关人员接触、操作。建设完善的网络安全体系保障学校数据中心安全,避免因侵入、攻击、渗透而导致数据泄露或破坏。
第二十九条 各单位应按照《哈尔滨医科大学网络安全管理办法》的要求对本单位生产的数据资产进行安全管理。具体包括:
(一) 采取必要的措施保证数据在本单位的产生、存储、流转、使用过程中始终处于安全状态,避免数据丢失、篡改或泄露等问题;
(二) 生产的数据中,涉及个人隐私或学校敏感信息的,在存储、传输时,需采用加密或脱敏技术进行处理(因业务需要必须采用明文方式的情况除外);
(三) 各岗位工作人员必须在权限范围内使用和记录工作相关的数据(包括线上和线下)。不得越权查看数据,不得越权进行数据相关的操作,不得私自将数据导出交给他人或外带(包括将存储数据的物理介质外带及通过网络等媒介传输)。
第三十条 数据用户获得数据资产的访问权后,必须严格按照申请流程所指定的应用名称、业务范围访问数据,不得将所获得的数据用于其他用途,不得超申请范围访问数据,不得将获取的数据访问权转交、泄露给任何第三方,不得将数据从申请时声明的应用程序中导出、复制、外传、外带(包括将存储数据的物理介质外带及通过网络等媒介传输)。
第八章 责任监督
第三十一条 各单位应严格遵守本管理,如有以下情形之一的,由现代教育技术中心根据实际情况督促限期改正,造成严重不良后果的,上报到学校网络安全和信息化工作领导小组,按照学校相关规定予以追责问责。
(一)不按照规定随意采集其他单位数据,未经允许扩大数据采集范围的;
(二)不按照规定将本单位数据资产提供其他单位共享的;
(三)提供不真实、不准确、不全面的数据,未按照规定做到数据同步与更新,导致数据不准确的;
(四)对获取的可共享数据管理失控,导致出现大量滥用、未经授权使用,以及擅自将获取的共享数据资产用于申请使用范围以外的,或擅自转让给第三方的,或利用共享数据资产开展经营性活动的。
第三十二条 对于违反法律法规和学校相关规定,造成国家、学校和个人损失的,依法依规追究相关单位及个人的责任。
第九章 附则
第三十三条 本办法适用于校本部和大庆校区的数据管理,各直属附属医院可根据本单位实际情况细化调整,参照执行。
第三十四条 本办法由学校网络安全和信息化工作领导小组负责解释。
第三十五条 本办法自印发之日起执行。
