第一章 总 则

第一条 为加强学校信息化数据资源的统一管理和质量控制，建立高效的数据共享与安全保障体系，根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《关于加强教育系统数据安全的指导意见》等相关文件精神，结合我校实际情况，制定本管理办法。

第二条 本办法所称信息化数据（以下简称“数据”），是指学校各部门、各学院（以下简称“各部门”）以及全校师生员工在履行职责过程中,运用信息化技术所产生或获取的各类数据。

第三条 本办法适用于各部门在信息化工作中开展的数据活动。

第四条 在学校信息化工作中所产生的数据资产归学校所有，未经学校授权，任何部门和个人不得非法占有和使用。

第五条 数据管理遵循统一规划、规范标准、安全共享、全程管控的原则。

第二章 管理机构及职责

第六条 学校网络安全与信息化领导小组（以下简称“领导小组”）是学校数据管理工作的领导机构，负责学校在数据管理中的重大事项决策。

第七条 学校网络安全与信息化办公室(以下简称“网信办”)是学校数据管理的归口部门，负责以下工作：

（一）负责学校数据的总体规划、数据标准的制定工作；

（二）学校数据中心平台的建设和管理；

（三）负责审查、监督学校数据相关工作；

（四）统筹协调各部门做好数据治理和数据共享工作;

第八条 按照“谁产生谁负责、谁管理谁负责”的原则，数据生产部门是其数据的责任主体，负责及时提交、维护和更新数据，确保数据的完整性、准确性和规范性。

第九条 按照“谁经手谁负责、谁使用谁负责”的原则，数据使用部门应依法依规对数据的使用全过程进行安全有效的管理。

第十条 各数据使用部门对所管理的数据负有安全管理主体责任。

第十一条 各部门所生产的数据，应符合《漳州卫生职业学院信息系统数据标准》要求。对于《漳州卫生职业学院信息系统数据标准》中未涵盖的或需要变更标准的，各部门可根据本办法第三章，向网信办提出标准变更申请。

第十二条 各部门应向网信办提交所建设信息化系统的数据表结构图、数据字典等技术文档。定期整理本部门信息系统的数据变更情况，并及时上报网信办。

第十三条 各部门需配合网信办完成所生产数据对接学校数据中心平台及数据相关管理工作。

第十四条 建有信息化业务系统的部门，须根据业务系统数据视图，编制本部门的信息化数据资源目录（格式参考《信息化数据资源目录》附件1），上报网信办。编制部门应确保数据资源目录的准确性、完整性、及时性。网信办负责动态维护学校信息化数据资源目录。

第十五条 各部门应在信息化系统建设项目采购结束后，编制项目信息化数据资源目录。项目建成后，须将项目信息化数据资源目录及时纳入学校信息数据资源目录，作为项目验收的必要条件。

第三章 数据标准管理

第十六条 数据标准管理是对学校数据进行统一的标准制定和规范的过程。包括明确数据的命名、定义、类型、格式、业务含义等内容。通过严格执行这些标准，确保校内所生产数据的一致性、准确性、完整性和可用性，进而提高不同业务系统间的数据共享与交换效率，支持数据应用。

第十七条 数据标准制定应遵循以下原则：

（一）实用性：制定的数据标准应紧密结合学校的具体业务流程和管理需求，同时具有可操作性和实用性，能够在实际工作中得到有效的应用和执行。

（二）共享性：数据标准制定要立足全校，具备跨部门、跨应用的通用性，保障数据无障碍流通，提升资源利用率，助力部门高效协作。

（三）前瞻性及科学性：制定数据标准时，应充分考虑学校未来的发展方向，关注信息技术的发展趋势，确保所制定的标准具备前瞻性和扩展性，能够适应学校信息化建设发展的需求，避免频繁修订。

（四）遵循国家标准：数据标准制定时应优先参照、采用国家和行业标准，确保标准能与国家和行业的宏观要求相契合，便于数据跨部门、跨单位的交流与共享。

第十八条 学校数据标准的制定工作由网信办负责。网信办依据学校对数据的使用与管理需要，组织相关部门协同开展标准的拟定工作。

第十九条 数据标准拟定完成后，由网信办上报领导小组进行审批。待审批通过后，网信办负责将数据标准下发全校执行。

第二十条 在数据标准执行期间，若发现老旧信息系统确实难以执行，系统主管部门应及时上报网信办，由网信办协调相关部门，共同制定解决方案。

第二十一条 学校各部门均可提出对数据标准变更的需求。在进行数据标准变更时，应秉持审慎原则，尽量维持标准的相对稳定性，最大程度降低因标准变动给业务应用和系统运行带来的负面影响。

第二十二条 标准变更需求部门提交《数据字段标准变更、增加申请表》（附件2）后，由网信办组织相关部门对变更内容及影响进行评估审核。审核通过，网信办负责修改对应标准，并将变更内容下发全校。

第二十三条 数据标准复审工作由网信办根据标准实际使用情况组织发起，并负责修订。完成修订工作后，网信办将修订结果报送领导小组进行审批。待审批通过后，网信办下发修订内容。

第四章 数据全生命周期管理

第二十四条 各部门在数据生产中，应规范数据采集、传输与存储等过程，严格执行学校数据标准，从源头确保数据的真实性、准确性、一致性、完整性、时效性。

第二十五条 面向师生群体的数据采集活动，采集部门须依法依规开展（部门采集范围参照附件3）。数据不得重复采集，过度采集。开展数据采集前，采集部门需向网信办提交《信息化数据采集申请表》（附件4）进行审批，未经网信办批准，任何部门均不得擅自进行数据采集操作。

第二十六条 原则上，学校产生的各类数据应严格存储在校内服务器或指定的校内存储设施中，以确保数据的安全可控。针对敏感数据应采用加密、校验等安全技术，保证数据在存储和传输过程中的安全性与完整性。若因特殊业务需求，确需将数据存储在校外，相关责任部门必须提前向网信办提交详细申请，说明存储校外的原因，经由领导小组审批通过后，方可实施校外存储。

第二十七条 各部门应根据自身业务开展的实际情况，制定所管理数据的使用时限。当数据超过既定使用时限后，管理部门应及时归档或删除数据。数据归档系统应为异地独立系统，并与互联网物理隔离，确保归档数据的安全性与保密性。

第二十八条 各部门应明确本部门数据维护岗位职责与人员。按照“谁维护、谁负责”的原则，保证责任到岗、到人。

第二十九条 各部门应对自身生产的数据质量负责，一旦发现数据存疑或错误，应迅速校对修正。积极配合网信办持续开展的数据治理工作，保障数据准确与规范。

第五章 数据共享与使用

第三十条 学校信息化数据属校内资源，学校积极倡导各部门在业务范畴内安全共享数据，以提升资源利用效率。但需注意，国家定义的涉密、敏感数据除外。

第三十一条 各部门应依据本部门提交的信息化数据资源目录，向学校数据中心平台提供数据，并及时进行更新维护，确保所提供的数据及时、准确。

第三十二条 学校依托数据中心平台对各部门上报数据进行统一对接和管理，支撑各部门的数据共享。原则上只允许业务系统通过与数据中心平台对接的方式来获取共享数据，禁止业务系统之间直接交换数据，或以离线文档等形式进行传递。

第三十三条 当部门或个人因履行职责，需使用其他部门的数据时，可向网信办提交《漳州卫生职业学院数据使用申请表》（附件5）、《漳州卫生职业学院数据安全保密责任书》（附件6），审核通过后，由网信办通过学校数据中心平台下发数据。

第三十四条 部门与个人在调用共享数据开展工作时，应严格遵循数据使用规范，确保实际用途与申请用途完全相符。若共享数据使用方出现违规使用、滥用数据等不当行为，网信办将立即终止数据使用授权。同时，要求违规方及时采取补救措施，并限期整改。若发现有违法行为，学校将依法依规追究相关部门及个人的责任。

第三十五条 数据使用部门和个人在发现数据质量出现问题时，应及时向数据产生部门反馈，数据产生部门需尽快核实、校正数据。

第六章 数据安全管理

第三十六条 各部门对本部门所产生和管理的数据负有安全责任，应采取必要的措施保障数据安全，有效防范数据丢失、损坏、泄露和被篡改风险。

第三十七条 各部门需切实履行数据管理职责，须指定校内人员负责数据运维工作。日常应做好数据运维日志审计工作，保存操作记录时间不少于180天。未经批准，禁止任何部门或个人（包括系统承建方）进行数据操作。

第三十八条 为防止意外或人为原因造成的数据损坏、篡改、丢失，各部门应为所管理的信息系统制订完善的数据备份与恢复方案，定期做好数据备份和检查工作。

第三十九条 数据涉及敏感、个人隐私的，应当遵守有关法律、法规规定进行管理。

第四十条 未经批准，任何部门和人员不得非法留存、对外展示或泄露学校数据。

第四十一条 部门应提高本部门人员数据安全意识，加强数据安全教育与培训，并建立数据安全应急处置机制。在发生数据安全事件时，可以立即启动应急预案，减小损失。

第七章 个人信息保护管理

第四十二条 本办法中个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括但不限于如下信息：姓名、出生日期、身份证件号码、个人生物识别信息、银行账号、住址、个人通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、成绩信息等。

第四十三条 在学校信息化建设中，个人信息保护应遵循如下原则：

（一）合法原则：个人信息的使用和管理不得违反相关法律、法规；

（二）最小必要原则：在满足信息化建设必要需求前提下，在最小范围内采集、存储、使用个人信息，对于个人信息的处理采用最小操作权限划分，不得超范围处置个人信息；

（三）安全原则：信息化建设中应采用必要的安全技术措施和管理手段，保障个人信息的完整性、保密性及安全性，避免个人信息泄露、损毁和丢失；

（四）知情同意原则：学校对在科研、教学及校务管理中使用到的个人信息，应依法依规进行采集和使用；其他信息化应用中使用的个人信息，应明确告知相关个人，并由个人自愿同意后，方可使用。

第四十四条 各部门应采取有效技术手段和管理措施，保护存储有个人信息的服务器和数据库，避免个人信息的泄露、损坏或丢失。原则上，在信息化建设中，个人数据均需要存储在校内服务器中，不得在校外存储。

第四十五条 因信息化建设工作需要，可接触到个人信息的相关人员，必须严格遵守保密制度，未经授权严禁对外提供、泄露个人信息。

第四十六条 信息化系统中，对于个人信息的查询、修改等操作记录日记，应保留不少于180天。

第四十七条 针对非本单位提出的校内人员信息查询请求，原则上只接受公安部门或上级主管部门依法依规提出的查询要求。此类查询请求的受理工作，统一由对应个人信息数据的生产部门负责，其他业务部门不得擅自受理查询请求。

第四十八条 个人信息非必要不共享。如需共享使用个人信息，申请部门需充分评估合法性、必要性和安全性。信息系统在安全性可以满足保护等级的前提下，方可依法依规向学校申请个人信息共享。

第四十九条 当信息化项目应对需要通过界面（如显示屏幕、纸面）展示的个人信息的，必须进行脱敏处理。

第五十条 对不再使用的信息化系统或报废的存储设备，责任部门要确保存储的个人信息已被彻底清除才可进行报废处理。对于违反法律法规采集、存储的个人信息，应立即删除相关信息数据。

             第八章 监督问责

第五十一条 各部门及个人违反本办法规定，有下列情形之一的，由网信办代表学校根据实际情况责令限期改正。拒不整改或造成严重不良后果的，学校将按照相关规定予以追责问责。

（一）不按照规定将本部门信息化数据资源目录和掌握的数据资源提供给网信办共享的；

（二）不按照规定随意采集数据资源，扩大数据采集范围，造成重复采集数据，增加成本和负担的；

（三）提供不真实、不准确、不全面的资源目录和数据资源的，未按照规定及时更新维护资源目录和数据资源的；

（四）对所管理的数据资源失去有效控制，致使数据出现滥用、非授权使用及泄漏的；

（五）不按照规定，擅自将获取的共享数据资源用于本部门履行职责需要以外的，或擅自转让给第三方，或利用共享数据资源开展经营性活动的。

第五十二条 对于违反法律、法规和学校相关规定，造成国家、学校和个人损失的，学校将依法依规追究相关单位及个人的责任。

第九章 附则

第五十三条 主要名词解释。

（一）数据活动：是指数据的收集、存储、加工、使用、提供、交易、公开等行为。

（二）数据资产：是指由学校所拥有或者控制的，能够产生效益的数据资源，是相对于实物资产以数据形式存在的一类资产。包括但不仅限于数据库、文本、电子表格、网页、图形图像、音频视频等形式的数据。

（三）数据字典：是指对信息系统中所使用的数据集、数据项、数据处理程序的定义和描述文档。包括但不仅限于数据表或视图及其字段的定义和描述。

（四）数据安全：是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。

（五）敏感数据：是指泄漏后可能会给国家、社会、组织或个人带来严重危害的数据。数据是否属于敏感数据，应依据国家相关法律法规界定。

（六）数据标准变更：是指为满足业务运行与发展的需要，或由于上级单位的要求，发起对已发布的数据标准进行变更。

（七）数据标准复审：是指根据业务发展及信息系统建设情况，对数据标准适用性进行周期性评审。

第五十四条 本办法自发布之日起执行，由网信办负责解释。

漳州卫生职业学院

                                   2025年7月18日