第一章总则

第一条为规范学校通过信息化手段开展的数据活动，保障个人信息和重要数据安全，维护学校和广大师生的合法权益，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术个人信息安全规范》（GB/T35273-2020）和教育部等七部门《关于加强教育系统数据安全工作的通知》（教科信函〔2021〕20号）等文件要求，结合北京语言大学相关管理条例，制定本办法。

第二条本办法所指的数据包括学校在办学过程中形成的各类数据信息，包括但不限于各单位在履行职能时，通过信息化手段获取的业务数据和统计数据，覆盖数据采集、存储传输、共享开放等数据全生命周期活动。涉及国家秘密信息的数据安全管理，按照国家相关法律和规定执行。

第三条 数据管理原则

(一)统一标准原则。校务数据的格式及管理应符合国家、 教育部、学校制定的相关标准和制度。

(二)全程管控原则。建立数据从产生、处理到维护、应用的全面管控体系，重点加强数据质量、安全和使用等方面的管理。

(三)安全共享原则。在保证数据安全的前提下，实现数据与信息的共享、应用以及衍生服务，为学校发展提供决策支持。

第四条数据管理目标

(一)统一数据标准：要求数据管理有标准，即具备完善的数据标准管理规范，保证在系统建设过程中使用统一的数据标准。

(二)保障数据完整准确：按照数据质量管理规范，实行数据质量核查机制，保障数据在各个环节的规范性、完整性和准确性。

(三)防止非法篡改和伪造：明确数据的所有权及更改权限，制定完善的数据所有权管理规范，确保对数据的所有更改均有据可查，对于不可更改的数据，应提供相应的安全技术防止篡改和伪造。

(四)预防信息泄漏：根据国家和学校的安全保密工作要求， 做好数据的保密工作，确保数据安全。

(五)提升数据服务质量：按照数据服务管理规范，全面提高数据质量、共享质量，提升管理服务水平，充分发挥数据在学校发展中的重要战略作用。

第二章职责分工

第五条“北京语言大学网络安全和信息化领导小组”负责学校数据安全战略、目标和任务的制定，明确学校各部门的数据安全职责，指导相关制度的制定，监督数据安全目标和任务的完成，负责数据管理工作的统一领导和协调。

第六条信息化办公室负责校务数据管理办法的实施，牵头领导小组成员单位开展数据共享工作，包括：数据资源的统一规划，对数据进行集中管理，建立数据资产台账；数据信息标准、编码标准、技术规范、管理规范的制定和完善；建设数据中心，为数据整合、共享、深度分析和综合应用提供服务保障；建立数据质量评价机制，统筹数据治理工作；为各部门的数据管理工作提供指导与业务支撑。

第七条数据管理部门职责

数据管理部门包括信息化办公室、各职能部门、各教学科研单位和校属机构中与数据管理相关的部门或科室。数据管理部门履行管理职责，负责具体的数据管理工作，包括总体规划、数据标准和规范的制定与执行、数据实施和运维、数据应用等，具体如下：

(一)建立数据标准，确保所有信息系统数据的规范性、准确性和一致性，有利于各信息系统之间进行数据共享和交换 。

(二)对数据资源进行统一规划，确定数据分类和对应的权威数据生产部门。

(三)信息化办公室建立公共数据服务平台，根据数据需求，规划数据库结构和内容，并通过数据交换功能获取信息系统权威数据，再将数据更新到相关部门的信息系统，实现数据的有效共享和交换。

(四)信息化办公室负责维护公共数据服务平台，设置数据维护权限，管理信息代码标准，设置数据同步策略，执行数据同步。

(五)负责向各部门系统管理员提供咨询、支持和培训。

第八条数据生产部门职责

数据生产部门为权威数据单一来源部门，履行数据形成职责，负责数据的产生、维护、发布、备份、归档等全生命周期的安全管理，并对使用其他部门的数据负相应安全职责。

(一)数据生产部门应进行数据编码，例如：校区编码、学号、教职工号、单位编码等。

(二)对于用于提供服务的数据，数据生产部门应提供相应的数据标准(字典表),例如：专业代码、项目等级代码等。

(三)业务数据生产部门不再向数据使用部门直接提供数据，统一由公共数据服务平台提供访问接口和数据服务。

(四)对本部门所属数据的正确使用及保密安全负责。

(五)数据生产部门不得以任何理由拒绝向公共数据服务平台提供数据和接口，阻碍公共数据的产生和流转，阻碍全校信息化建设。

第九条数据使用部门职责

(一)信息化办公室为各单位提供统一的数据交换接口，申请数据获取的单位不得将获取数据传播给其他单位使用。

(二)数据主要用于教学、科研、管理、服务等，申请数据获取的单位有义务保护数据的隐秘性，不得将数据信息用于申请用途外的活动。

(三)为保证数据的准确性和一致性，当需要使用非本单位产生和管理的数据时，原则上要求通过公共数据服务平台同步获取，不得另行录入和维护。

第十条各部门的信息安全员负责本部门数据安全的具体工作，有条件的部门应设立专职信息安全员、审计员。按照“关键操作、多人完成、分权制衡”的原则，数据操作要有授权，操作人员和授权人员分离。

第三章人员管理

第十一条应在员工录用前进行必要的背景调查。

第十二条数据处理关键岗位人员录用，应对其进行数据安全意识或专业能力的考核。

第十三条应制定数据安全培训计划，并定期更新培训计划。

第十四条应对全体人员开展数据安全意识教育培训，并保留相关记录。

第十五条每年至少1次对数据安全岗位人员进行专项培训，定期对关键岗位人员进行数据安全技能考核。

第四章数据资产管理

第十六条应按照国家和教育行业有关标准要求，结合业务特点与需求等因素对数据进行分类，形成数据资产目录。

第十七条资产目录需覆盖学校在教学、科研、管理、服务等业务开展过程中各类信息系统产生和采集的相关业务数据。

第十八条应通过数据资产管理工具形成支持即时更新的资产目录；

第十九条采用技术手段定期对数据资产进行扫描，能够发现识别常见个人信息。

第五章数据生命周期管理

第二十条数据生产部门对本单位所产生数据的质量负责，应严格规范数据采集、录入与审核流程，主动遵守信息标准，从源头确保数据质量，包括数据的规范性、准确性、一致性、完整性、时效性和可访问性。面向师生群体采集数据应报信息化办公室审核，不得过度采集、重复采集。

第二十一条 应按照“一数一源”的原则，优先通过共享的方式向数据生产部门获取数据，原则上不得重复收集数据。

第二十二条 应遵循“最小够用”原则，并明确收集依据、范围、场景和用途，原则上不得超越工作职能采集数据。

第二十三条 数据应存储于校内，如需存储在校外，须报送网络安全和信息化领导小组审批，数据严禁存储在境外。应遵循数据存储“最短周期”原则，数据的存储期限不超过业务有效期。应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性。

第二十四条 个人信息属于敏感数据，包括但不限于个人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。个人信息的收集、处理和利用应当遵循合法、正当、必要的原则，应用与共享必须与收集目的一致，不得违反国家法律、法规和学校相关规定。

第二十五条 数据删除是指删除信息系统、存储设备中的数据及其副本。如果数据来自外部实时数据流，在删除数据的同时，还应断开与实时数据流的链接。数据删除应具备相应报批手续，对于重要数据的删除须经信息化办公室审核及主管校领导批准。

第二十六条 各部门应向信息化办公室提供所负责信息系统的数据、数据字典以及其他相关文档，所有数据均应进入数据中心公共平台。

第二十七条 鼓励各单位在业务和管理范围内共享使用数据，涉密数据除外。各部门需要共享使用其他部门数据时必须提出申请，经数据生产部门审核批准后由信息化办公室通过数据中心公共平台统一获取。

第二十八条 数据使用部门和个人应按照要求规范使用数据，不得将获取的共享数据超出审核时限定的范围使用，未经授权，不得以任何方式用于社会有偿服务或其他商业活动，并对共享数据的滥用、非授权使用、未经许可的扩散，以及泄露等行为及后果承担全部责任。

第二十九条 核心和重要数据应采用符合国家相关规定的商用密码算法，对数据存储传输进行加密处理，保障数据在存储传输过程中的保密性、完整性、可用性。

第三十条规范数据访问权限，对数据开展查询、统计、分析等行为时，需经数据所属业务主管部门同意。核心和重要数据使用前应采用脱敏技术进行处理。

第三十一条 数据提供与公开应明确数据范围、适用范围、用途和安全责任，提供与公开数据前须经业务主管部门同意。数据不得用于商业用途。未经同意，禁止与第三方共享。

第三十二条 数据使用部门和个人发现数据质量问题时，应及时向数据产生部门反馈，数据产生部门应尽快核实校正数据。

第三十三条 数据使用部门应当在数据处理活动过程中，记录数据处理、权限管理、人员操作等日志并定期开展审计检查。日志留存时间不少于六个月。

第三十四条 核心数据严禁出境，因业务需求向境外提供重要和一般数据的，应依法依规进行数据出境安全评估。

第三十五条 各责任部门应对信息系统中超过存储期限的数据先归档后按要求销毁，数据归档系统应为异地独立系统，应与互联网物理隔离。

第六章数据安全管理

第三十六条 数据安全管理应遵守《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》，严禁使用数据从事有违国家法律法规的活动。

第三十七条 网络安全和信息化领导小组负责制定数据全流程合规与监管规则体系建设，指导督促数据采集、存储、传输、共享、使用、归档、销毁等全流程的安全保障，组织开展安全风险评估、安全管理审查、安全质量考核及安全宣传教育，推进常态化数据安全监管机制。数据生产部门应当按照谁主管、谁负责，谁提供、谁负责的原则，负责本部门数据采集、存储、传输、共享、使用、归档和销毁等环节的安全管理。数据使用部门按照谁经手、谁负责，谁使用、谁负责，谁主管、谁负责的原则，负责共享数据使用全过程安全。

第三十八条 学校各信息系统涉及到的重要级数据、核心级数据，在传输、存储、使用等操作时，要遵循学校基于国产商用密码的可信认证体系的安全要求。

第三十九条 各部门须定期对数据进行安全检查，加强业务系统安全防护，建立应急处置、备份恢复机制，保障数据、平台安全、可靠运行，杜绝越权访问、错误授权等不当行为。数据生产部门和数据使用部门在数据共享交换工作中分别承担相应的安全保障责任。

第七章数据合作方管理

第四十条凡参与学校信息化建设的第三方，均须严格保障所涉及的数据安全，须签订数据安全保密协议。如出现任何可能导致数据安全的违规操作，学校将保留追究其法律责任的权利。

第四十一条 各部门应对数据合作方的数据安全能力进行评估或监督，确保合作方的保护能力与面临的数据安全风险相符。

第四十二条 各部门应对合作方接入的系统、使用的技术工具进行技术检测，避免引入木马、后门等。

第四十三条 各部门为完成技术或服务目的向合作方提供的数据，应在合作结束后进行回收，并要求合作方对数据进行删除。

第八章附则

第四十四条 对违反本办法有关规定，非法收集、泄露、滥用、篡改数据，造成学校经济、名誉损失的，学校将视其情节轻重追究责任。涉及计算机信息犯罪的，依法移交公安机关。

第四十五条 本办法由信息化办公室负责解释，自发文之日起施行。