关于印发《华中农业大学信息化数据管理办法（试行）》的通知

校发〔2021〕157号

校属各单位：

现将《华中农业大学信息化数据管理办法（试行）》印发给你们，请遵照执行。

华中农业大学

2021年12月25日

华中农业大学信息化数据管理办法

（试行）

第一章  总 则

第一条 为了规范学校信息化工作中的数据管理，提高数据质量，促进数据共享利用，保障数据安全，保护学校、教职工和学生的合法权益，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关于加强教育系统数据安全的指导意见》《教育部机关及直属事业单位教育数据管理办法》《高等学校数字校园建设规范》《华中农业大学网络安全管理办法》等有关文件精神和要求，结合我校信息化工作实际，制定本办法。

第二条 在学校信息化工作中开展的数据活动，适用本办法。

第三条 在学校信息化工作中所产生的数据资产归学校所有，未经学校授权任何单位和个人不得非法占有和使用。

第四条 数据管理遵循统筹兼顾、标准化、规范化、一数一源、最小必要和分级保护等原则。

第五条 网络安全和信息化办公室（以下简称“网信办”）负责统筹协调全校信息化数据管理和安全工作。负责建立全校统一的数据中心公共平台，对数据进行物理或逻辑的集中存储、质量管理和交换共享，实现数据整合。

第六条 校属各单位是本单位信息化工作中产生、汇总、加工和使用数据的责任单位，对所涉及数据的管理和安全负主体责任。各单位有责任支持和配合学校数据中心公共平台的建设、管理和运行工作。

第七条 网信办负责制订（修订）学校信息化数据标准。校属各单位数据均应符合学校标准。信息化数据标准面向全校公开，公共基础数据通过数据中心公共平台统一提供，各信息系统调用执行。标准中未明确规定且需规范管理的、根据实际工作情况需变更现有标准的，各单位向网信办提出标准增加或变更申请，经审核批准后修订标准并执行。

第八条 学校按照国家和教育部有关文件规定对数据实行分级分类管理。由网信办对数据进行分类，明确各个数据分类的单一来源，即数据产生单位，核定数据等级，根据等级执行不同的开放共享和安全保护策略。

第九条 主要名词解释。

数据。是指学校信息化工作中任何以电子或者非电子形式对信息的记录。

数据活动。是指数据的收集、存储、加工、使用、提供、交易、公开等行为。

数据资产。是指由学校所拥有或者控制的，能够产生效益的数据资源，是相对于实物资产以数据形式存在的一类资产。包括但不仅限于数据库、文本、电子表格、网页、图形图像、音频视频等形式的数据。

数据字典。是指对信息系统中所使用的数据集、数据项、数据处理程序的定义和描述文档。包括但不仅限于数据表或视图及其字段的定义和描述。

数据安全。是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。

个人信息。是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

敏感数据。是指泄漏后可能会给国家、社会、组织或个人带来严重危害的数据。数据是否属于敏感数据，应依据国家相关法律法规界定。

第二章  数据全生命周期管理

第十条 数据产生单位对本单位所产生数据的质量负责，应严格规范数据采集、录入与审核流程，主动遵守信息标准，从源头确保数据质量，包括数据的规范性、准确性、一致性、完整性、时效性和可访问性。面向师生群体采集数据应报网信办审核，不得过度采集、重复采集。

第十一条 数据应存储于校内，如需存储在校外，须报网信办审批，数据严禁存储在境外。数据的存储期限不超过业务有效期。应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性。

第十二条 各单位应向网信办提供所负责信息系统的数据、数据字典以及其他相关文档，所有数据均应进入数据中心公共平台。

第十三条 学校鼓励各单位在业务和管理范围内共享使用数据，涉密数据除外。各单位需要共享使用其他单位数据时应向网信办提出申请，经审核批准后通过数据中心公共平台统一获取。

第十四条 数据使用单位和个人应按照要求规范使用数据，不得将获取的共享数据超出审核时限定的范围使用，未经授权，不得以任何方式用于社会有偿服务或其他商业活动，并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。

第十五条 数据使用单位和个人发现数据质量问题时，应及时向数据产生单位反馈，数据产生单位应尽快核实校正数据。

第十六条 数据归档和销毁。各责任单位应对信息系统中超过存储期限的数据先归档后按要求销毁，数据归档系统应为异地独立系统，应与互联网物理隔离。

第三章  数据安全管理

第十七条 各责任单位对本单位所产生和共享使用的数据的安全负责。

第十八条 各责任单位应明确在职教工专人负责数据运维和数据安全工作。应做好数据运维日志审计，详细记录操作痕迹。未经批准，禁止其他个人或单位（包括系统承建单位）直接进行生产环境下的数据运维操作。

第十九条 为防止意外或人为原因导致的数据被破坏、篡改或丢失，各单位应为所负责的信息系统制订完善的数据备份与恢复方案，并报送网信办，定期检查实际备份情况，应在测试环境进行数据恢复演练。在执行重大操作或在业务关键节点前后应手动备份数据。

第二十条 敏感数据应仅限本人或工作关系人接触，并加密存储，批量操作时应预先做脱敏处理。共享使用其他单位的敏感数据时只使用不存储。

第二十一条 未经批准任何单位和个人不得非法留存、对外展示或泄露学校数据。

第二十二条 各责任单位应提高本单位人员数据安全意识，加强数据安全教育和培训。

第二十三条 各责任单位应建立数据安全应急处置机制，发生数据安全事件时，应当立即启动应急预案。

第四章  附 则

第二十四条 因人为原因导致数据安全事件的，由当事人及其单位负责。对未按本办法要求管理和使用数据，或对发生的安全事件瞒报、缓报、不报或处置整改不力的，学校将追究当事人及其单位的责任，情节严重而触犯法律的，将配合司法部门追究其法律责任。

第二十五条 本办法自发布之日起执行，由网信办负责解释并制定实施细则。