江 西 服 装 学 院

网络与信息化管理中心文件

江服网管发〔2024〕17号

江西服装学院数据管理办法（试行）

第一章 总则

第一条  为规范江西服装学院数据的采集编目、共享应用和安全防护，保护公共数据资源，维护个人数据权益，明确数据标准、提升数据质量、推进数据共享、保障数据安全，更好地服务学校高质量发展，依据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》《中华人民共和国个人信息保护法》《国家数据标准体系建设指南》等相关法律及规章制度，结合学校实际，制定本办法。

第二条  数据是学校重要的无形资产。本办法所称数据，指江西服装学院及其所属各部门根据自身权责在运行过程中产生的，通过互联网、计算机系统存储或使用，具有管理属性特征的数据，包括但不限于：人员身份、资产设备、教学科研、学术支撑、行政运行、服务保障等各类管理数据。所属各部门是指学校所属学院、中心、馆、所、部、办、处等。

第三条  本办法适用于数据的采集编目、共享应用、安全防护等环节。根据校级规章制度已确定责任部门的非共享性数据，其应用管理不纳入本办法管理范畴，相关采集编目及安全防护等管理工作参照本办法执行。

第四条  数据管理的基本原则是：

（一）明确权责，归口管理。学校在严格保护数据安全、保障个人数据权益的前提下，有权在职责范围内合理合法管理使用数据。学校成立江西服装学院数据管理工作小组（以下简称数据小组）和数据监督工作小组（以下简称监督小组），作为全校数据管理和数据监督的决策机构，在江西服装学院网络安全与信息化领导小组领导下开展工作。数据小组负责数据发展规划、统筹管理、制度发布及数据安全保障，组长由分管数据工作的校领导和分管信息化工作的校领导担任，成员由相关数据来源的职能部门主要负责人组成。监督小组负责全校数据管理工作的监督和检查，组长由分管纪检监察的校领导担任。

（二）统筹管理，分工协作。数据的采集编目、共享应用和安全防护等工作在数据小组统筹管理的基础上，由数据小组和相关部门根据职责领域分工协作、各负其责，促进数据管理与使用更加安全、规范、高效。

（三）推进共享，有序公开。数据以校内共享为原则，不共享为例外。数据小组依照相关法律法规，在符合学校发展需要的前提下，保障社会公众的知情需要，有序公开数据。

（四）分级分类，规范管理。按照《数据安全法》等国家相关法律及规章制度要求，对数据实施分类分级保护。分级安

全管控依据“谁主管、谁负责，谁使用、谁负责 ”的原则实施管理，数据定级定类和数据全生命周期管控，按照国家数据标准体系建设指南教育数据分级分类规范实施。

（五）制定标准，促进共享。按照统一标准原则，数据小组依据国家、行业等相关标准，制定江西服装学院数据标准，促进学校数据的汇聚互联和融合共享。

（六）规范程序，保障安全。按照数据管理的流程标准和技术标准，做到数据管理全过程有法可依、有章可循。数据小组依托校内外各级数据安全保障体系，完善数据共享与公开安全机制，保护个人数据权益，保障数据安全；各部门按照“谁主管谁负责、谁运营谁负责、谁使用谁负责 ”的原则对工作中数据的安全处理承担主体责任。个人信息数据原则上禁止校内共享，经相关主体明示同意或者为维护国家安全、公共安全及增进社会公共利益等特定需要，通过规范程序且进行必要处理的除外。

第五条  数据小组积极借鉴国际标准，充分运用国家标准、 行业标准、教育部、江西省等相关标准，结合学校实际情况，制定并发布学校数据采集、归集、整合、共享、开放以及质量和安全管理等标准。

第六条  学校通过实施目录编撰机制和建设校级数据平台进行数据管理。数据小组参照数据标准，制定《江西服装学院数据编码标准》（以下简称《数据编码标准》），同时建设大数据综合管理及可视化平台（以下简称数据平台）；全校各部门基于《数据编码标准》、 依托数据平台进行数据规范管理。网络与信息化管理中心负责《数据编码标准》和数据平台的日常维护和备案管理，以及技术实施和安全保障。

第七条  学校各部门为相关领域数据管理的主责部门，应落实数据小组关于数据治理的工作要求，执行数据标准、提升数据质量、促进数据共享；根据本办法制定本部门数据管理的实施细则，完善本部门数据管理制度和安全措施。

第八条  学校保密办公室统筹负责数据的保密指导、监督及检查工作；网络与信息化管理中心统筹负责数据归档工作。

第二章  采集编目

第九条 数据的采集是指各部门在《数据编码标准》既有条目范围内或在既有条目范围外进行数据采集。数据采集管理以备案管理和审批管理相结合的方式进行。《数据编码标准》既有条目范围以内的数据采集，经采集部门报数据小组备案后方可实施；《数据编码标准》条目范围外的数据采集，报请数据小组审批同意后方可实施。未经备案或审批，不得采集。个人信息数据采集应遵循必要性原则，不得过度收集，原则上须经相关主体明示同意，法律法规有明确规定的除外。

第十条  数据采集遵循一数一源、精简高效原则，凡属于数据平台可以获取的数据，原则上不得重复采集。

第十一条  学校各部门应制定数据采集的规则和合规程序， 建立质量核查、保密审查和技术保障制度，确保数据真实、准确、 完整，保障数据采集的规范性。各部门数据采集制度规则及变动情况，应报数据小组事前审批或备案。

第十二条 学校各部门采集数据，应按规范程序进行，如数据采集超出《数据编码标准》既有条目范围，应适时组织论证。论证内容包括：数据采集的必要性和可行性、拟采集数据与已有数据的关系、数据采集机制、经费保障、安全措施等。采集部门应及时将论证材料报数据小组事前审批或备案。

第十三条  学校各部门在数据采集存储管理过程中应制定完善的数据安全存储管理方案、配备必要的设施和设备并及时安 排储存备份，确保数据存储的安全可靠。

第十四条  学校各部门应当根据本部门采集的数据，结合本部门业务的发展状况进行数据建设分析，向数据小组提供必要的数据监测信息、咨询意见和决策建议。

第十五条  学校各部门在数据采集完成后应按照统一标准及时编制、审核，向数据小组提交本部门数据目录，并确保其准确完整、合法合规。

第十六条  学校各部门数据编码标准应按照上级要求、参照行业标准、结合学校标准实际编制，一般包括数据的分类、责任方、格式、属性、更新时限、共享类型、共享方式、公开类型、公开方式、使用要求等内容。数据目录是数据共享公开和业务协同的基础和依据。

第十七条  学校各部门应建立本部门数据目录更新维护制度，每学期应当至少进行一次全面维护。如数据目录发生调整或可共享公开的数据出现变化，应当及时更新并报数据小组审批或备案。

第十八条  学校各部门在申报数据项目或制定数据预算前， 完成本部门数据目录的编制计划，作为项目审批或预算审批的要件；项目建设结束前，应及时将本部门数据目录纳入校级《数据目录》中，作为项目验收或年度结算的必要条件。不按本办法编制数据目录的申请项目和相关预算，原则上不予立项，不予安排经费。

第十九条  数据小组不断调整完善校级《数据目录》，并根据实际需要及时修订；信息化工作办公室负责《数据目录》采集的技术保障，协助各部门通过数据平台完成数据目录的编辑和报送。

第三章 共享应用

第二十条  本办法所称共享应用，是指在严格保障安全和保护隐私的前提下，为促进数据的充分利用，以数据交换应用为主要形式，在学校各部门之间开展的数据跨部门共同开发和应用行为。鼓励使用方以用而不存的方式，使用数据开发数据应用。法律明确允许除外，涉及个人信息的数据在去标识化处理后才能共享应用。

第二十一条  数据主责部门应按照“谁主管，谁提供，谁负责 ”的原则，根据使用部门提出的数据共享需求和用途，及时提供、维护和更新共享数据，保证共享数据的完整性、准确性、时效性、标准性、结构性。

第二十二条  因履行职责需要使用共享数据的部门，应按照 “谁经手，谁使用，谁管理，谁负责 ”的原则，依法依规使用共享数据，加强共享数据使用的全过程管理。

第二十三条  数据分无条件共享、有条件共享、不予共享三种类型。

（一）无条件共享数据是指应提供给学校所有部门共享使用的数据；

（二）有条件共享数据是指可依规范或约定提供给学校特定部门共享使用的数据；

（三）不予共享数据是指不宜共享使用的数据。

第二十四条  数据的不同共享类型划定， 由数据小组基于《数据目录》和学校发展实际及各部门业务情况进行研究审定；凡判定数据列入不予共享类的，应有法律、行政法规或上级政策 等依据，数据主责部门应说明理由。

第二十五条  使用部门凡需共享数据，应经由数据平台向数据小组提出明确的共享需求、数据用途及安全方案，经决策批准后，提供相应共享数据，信息化工作办公室为共享提供技术支持。共享各类数据的基本流程如下：

（一）无条件共享类的数据，使用部门在数据平台上直接获取；

（二）有条件共享类的数据，使用部门向数据小组提出申请，由数据小组负责人决定共享方案，使用部门按共享方案使用共享数据；

（三）不予共享的数据，数据主责部门应向使用部门说明理由。

第二十六条  使用部门应签订数据共享安全保密承诺书，按照承诺方式共享数据。涉及国家秘密、工作秘密、商业秘密和个人信息的数据，禁止共享，法律明文规定或相关主体明示同意的除外。

第二十七条  使用部门依据职能获得的共享数据仅限内部使用，如需对外提供或发布，应当向数据小组提出书面申请，经同意后方可对外提供或发布。

第二十八条  使用部门不得超出申请范围使用共享数据，不得以任何方式用于社会有偿服务或其他商业活动，并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担相应责任。

第二十九条  使用部门使用数据开发新的应用系统或制作视听资料，应经所在业务归口主管部门同意，并将实施方案与用途范围报数据小组备案或审批。未经同意和备案，不可跨部门应用，不得通过任何渠道进行传播。

第三十条  使用部门在使用共享数据过程中，可以共享、引用和扩展数据，对获取的共享数据有疑义或发现有明显错误的，应及时反馈给数据小组予以核校，不得擅自修改。

第三十一条  使用部门共享数据必须依据整合共享原则，通过接入数据平台实现数据的统筹管理与维护，不得擅自在校外或非指定系统进行数据共享应用。

第三十二条  各部门按照归口管理的原则，负责各自数据系统与数据平台的联通保障工作，并按照《数据目录》定期向数据平台提供相应的数据。

第三十三条  学校建设数据平台，用于管理数据目录和支撑 数据共享。作为支撑数据共享的专用管理服务应用，数据平台应接入国家、教育部信息数据共享交换平台，并对接数据公开渠道。校外单位应遵照有关法律法规及江西服装学院的数据公开制度，通过规范渠道获取、使用江西服装学院公开的数据。

第三十四条 公开数据不得泄露国家秘密、工作秘密、商业秘密和个人信息。经权利人同意公开或者不公开可能对公共利益造成重大影响的涉及商业秘密、个人信息的数据，经规范程序批准，可予以公开。

第四章 安全管理

第三十五条  数据按照四种级别进行分级管控。

（一）第 1 级管控，实施基本的内部安全管理措施和基本的数据全生命周期安全管理。

（二）第 2 级管控，实施必要的内部安全管理措施、审批制度、应急处置措施。将相关安全责任落实到项目负责人，签订负责人安全承诺。实施必要的数据全生命周期管理；采用必要的技 术措施保障数据安全；建立准实时安全预警机制。

（三）第 3 级管控，实施严格的内部安全管理措施、审批制度及应急处置措施。将相关安全责任落实到接触数据个人，签订个人安全承诺。实施严格的数据全生命周期管理；采用严格的技术措施保障数据安全；建立准实时安全预警机制。

（四）第 4 级管控，实施最严格的内部安全管理措施、审批制度及应急处置措施。将相关安全责任落实到接触数据个人，签订个人安全承诺。实施最严格的数据全生命周期管理；采用严格 的技术措施保障数据安全；建立实时安全预警机制。

第三十六条  数据小组制定数据安全管理制度，协调数据管理全过程的安全保障工作，防止未经授权的数据活动，信息化工 作办公室开展数据安全风险评估、安全管理审查、安全质量考核及安全宣传教育，推进常态化数据安全监管机制。信息化工作办公室负责校级数据平台的安全防护工作，保障数据的全流程、全方位安全。

第三十七条  学校各部门数据采集应根据有关法律法规和江西服装学院网络安全管理相关办法，制定涵盖数据采集、应用、开放、共享、安全等实施细则，明确责任人，开展数据风险评估，落实安全管理责任制。存储大规模（5000 人以上）个人信息数据或敏感数据的信息系统应定期进行安全审计，并就此向数据小组进行备案。

第三十八条  数据使用部门应当遵守有关保密和权益维护 的法律法规和学校制度，在数据管理工作中承担相应的安全保障 责任，发现违法违规问题应及时报告有关部门依法依规处置。

第三十九条  涉及个人信息的数据活动中，相关主体依法具有知情、决定、查询、更正、删除等权利。个人信息处理应当遵循合法、正当、必要、诚信的原则，按照“告知—同意 ”规则，在事先充分告知的前提下取得个人同意，法律规定不需取得个人同意的除外。数据小组负责数据个人信息保护工作的统筹协调工作，校内各有关职能部门在职责范围内负责数据个人信息保护工作。信息化工作办公室承担数据个人信息保护的技术保障。

第四十条  监督小组负责全校数据安全工作的监督检查，并 对落实不力或风险事项发出检查通知单。各部门应按检查通知单要求限期整改；经反复催告仍不按要求完成整改的，予以通报。

第五章 附则

第四十一条  本办法由网络与信息化管理中心负责解释。

第四十二条  本办法自发布之日起施行。