关于印发《陕西警官职业学院数据安全与个人信息保护管理办法(试行)》的通知
各系、部、处、室:
《陕西警官职业学院数据安全与个人信息保护管理办法(试行)》已经2022年8月29日院长办公会研究通过,现印发你们,请认真组织学习,抓好贯彻落实。
特此通知。
陕西警官职业学院
2022年9月5日
数据安全与个人信息保护管理办法(试行)
第一章 总则
第一条 为加强学院网络与信息安全,规范数据管理,保护学院重要数据和个人信息,切实维护广大师生的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规及《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术 个人信息安全规范(GB/T 35273-2020)》等相关国家标准,按照《教育部机关及直属事业单位教育数据管理办法》《陕西省教育厅办公室关于进一步加强数据安全和个人信息保护的通知》等要求,结合学院网络与信息安全工作实际,制定本办法。
第二条 学院各部门通过信息化手段开展数据收集、存储传输、处理使用等活动(以下简称“数据活动”),以及数据安全的保护和监督管理,适用本办法。
涉及国家秘密信息的数据安全管理,按照国家相关标准和规定执行;非信息化手段采集的数据参考本办法执行。
第三条 学院按照安全合规、分级保护、最少够用、优先共享的原则,从管理和技术两个维度,重点保障个人信息安全,全面提高学院数据安全保障能力;并按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息安全责任体系。
第二章 管理机构与职责
第四条 学院网络安全与信息化领导小组(简称“网信领导小组”)是数据安全与个人信息保护工作的领导机构,主要职责是贯彻落实上级关于数据安全与个人信息保护工作的发展战略、宏观规划、重大政策和工作部署,统一领导、统一谋划、统一部署学院的数据安全与个人信息保护工作,统筹协调和决策学院数据安全与个人信息保护工作中的重大问题等。
第五条 学院网络安全与信息化领导小组办公室(简称“网信办”)负责组织落实领导小组的各项决议与工作部署,研究制定数据安全与个人信息保护工作发展规划、工作计划、规章制度和标准规范,建立覆盖数据采集、存储传输、处理使用、开放共享等全生命周期的数据安全保障和监督检查机制,协调处理数据安全重大突发事件有关应急工作等。
第六条 各部门主要负责人是本部门数据安全与个人信息保护工作第一责任人,落实本部门数据安全防护措施,保障数据安全。各部门所采集、共享的重要数据和个人信息数据,实行部门责任人负责制度。
第七条 学院信息化工作部门是数据安全的技术支撑部门,组织开展数据安全评估,同时配合信息系统使用部门做好数据中心所承载信息系统的数据安全保障工作。
第三章 数据分级
第八条 学院的数据按照分级进行保护。基于数据重要性、敏感性确定数据级别,根据数据级别明确保障措施。
第九条 根据数据泄露、滥用、篡改、毁损可能对国家安全、社会秩序、学院及个人利益造成的影响程度,将数据分为公开数据、内部数据和敏感数据等3类。
公开数据是指学院可以主动公开的数据。
内部数据是指可在特定范围内无条件共享的数据,包括学院部门间共享和与政府部门间共享。学院信息化工作部门制定学院部门间数据共享责任清单,明确学院部门间应共享的内部数据。
敏感数据是指一旦遭泄露或篡改,可能对国家安全、社会秩序、学院利益、个人人身与财产安全等造成损害的数据,包括个人敏感信息及学院业务敏感数据。学院对敏感数据实施重点保护,以维护学院数据安全。
第十条 信息系统的使用部门根据数据的重要性、敏感性和对业务的影响程度对现有的数据进行分级。
第四章 数据采集的安全保障
第十一条 未经学院网信办批准,院内任何部门和个人不得以任何理由,私自收集学院范围内的师生、聘用人员等个人信息。
第十二条 数据采集应明确采集依据、范围、场景和用途,原则上不得超越各部门的工作职能采集数据。
第十三条 新建信息系统应在建设方案中明确数据采集内容和数据等级。事先由学院网信办和相关专家进行建设方案评审,对数据采集的必要性和数据分级的合理性进行审核。
第十四条 各部门对已建信息系统的数据采集项目建立信息资源目录,并报学院网信办备案,由学院网信办和相关专家进行审核。凡新增数据采集项目应及时更新报备信息。
第十五条 各部门按照“一数一源”优先由学院数据共享平台匹配需求,原则上数据共享平台中已有数据应通过共享的方式获取数据。
第十六条 各部门原则上不得采集学生、家长、教师的个人生物识别信息。采集敏感数据或采集500人以上个人数据的,需报网信办审核批准。
第五章 数据存储传输的安全保障
第十七条 学院的内部数据和敏感数据应保存在学院数据中心,禁止保存在校外数据中心(含云服务平台);所有数据禁止保存在设置在境外的数据中心。
第十八条 各部门使用的信息系统应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施。个人信息或敏感数据应采用符合国家要求的密码算法进行加密存储。
第十九条 各部门使用的信息系统应制定数据备份恢复策略和操作规范。
第二十条 在线的内部数据和敏感数据传输应采用加密传输信道或专线,以保证数据传输的机密性和完整性;离线的内部数据和敏感数据应加密后传输,且不得使用社会电子邮件系统、聊天平台等方式传递。
第二十一条 根据国家有关数据出入境相关规定,内部数据和敏感数据禁止出境;严格遵守“涉密信息不上网,上网信息不涉密”。
第六章 数据使用处理的安全保障
第二十二条 信息系统使用部门应实现数据管理、数据使用和数据审计的权限分离;数据管理人员负责分配数据使用权限、按最小化授予各级各类人员的相关权限;数据使用人员根据业务和权限需要使用数据;数据审计人员负责对各类人员的数据操作进行审计记录和分析。
第二十三条 学院鼓励在保障数据安全的前提下,充分发掘数据潜在价值。对数据开展统计分析、科学研究、决策分析时,需经业务职能部门同意,且确保不泄露敏感信息。敏感数据使用前应采用适当的脱敏技术进行脱敏处理。
第二十四条 信息系统使用部门应记录对业务数据的查询、修改、增加、删除、导出等操作日志,保留时间不少于六个月。
第七章 数据共享公开的安全保障
第二十五条 公开数据的共享和公开工作由学院宣传部门统筹负责,根据相关法规确定公开属性。内部数据的共享由学院网信办统筹负责,统一由学院网信办负责审核共享需求。敏感数据的共享由信息系统使用部门负责,并自行决定是否共享。
第二十六条 内部数据和敏感数据不得用于商业用途。未经学院网信办同意,禁止与第三方共享。信息发布或共享使用前必须先经过脱敏处理,所有涉及人员身份、联系方式、学生学籍、人事、金融、资产、招生、科研、档案等中含有敏感信息数据的,应采用屏蔽、变形、替换等多种手段来满足不同的隐私数据匿名化的数据合规性。
第二十七条 信息系统的使用部门应明确本部门所采集数据的安全防护要求。数据共享审核部门负责与被共享部门通过协议等方式确定数据共享范围、用途和安全责任,并将安全防护要求告知被共享部门。被共享部门负责落实数据防护安全,保障数据不被窃取、滥用和篡改。
第二十八条 共享个人信息原则上通过接口方式实现,确需通过拷贝进行共享的,应报所在部门主要负责人同意,并由被共享方签订安全承诺书报学院网信办备案。
第八章 数据库的安全保障
第二十九条 各部门应根据信息系统安全等级和数据级别采用必要的数据库安全防护措施,以保障数据库安全。
第三十条 数据库系统原则上不应使用互联网访问方式部署,如确需使用,应将具体情况说明上报学院网信办审核,采用互联网访问的数据库系统必须采用高强度的安全防护措施以保障数据库安全。
第三十一条 各部门应指定专人负责数据库的安全管理,制定严格的数据库访问控制权限,采用高强度的系统密码策略,检测数据库系统存在的安全问题,对数据库的安全状况进行持续化监控,保持数据库的安全健康状态。
第三十二条 数据库系统负责人应对数据库系统存在的安全漏洞进行及时修补,以降低数据库攻击风险;同时须定期对数据库访问行为进行审计,对出现的异常访问行为要及时排查和处置。
第九章 监督检查
第三十三条 学院网信办负责数据安全和个人信息保护工作落实情况的监督检查,建立健全数据安全监督检查机制,联合相关部门定期组织开展学院数据安全风险评估检查工作,及时发现问题并督促相关部门进行整改。
第三十四条 各部门在收到网络安全限期整改通知书后,应及时进行整改。对整改不力的,学院给予通报批评;造成严重安全后果,依照有关规定进行追责处罚。
第三十五条 各部门应按照学院网络安全事件应急预案和信息技术安全事件报告与处置流程,在发生网络安全事件时立即采取应急响应措施控制、降低损失,并及时如实报告和妥善处置。如有瞒报、迟报、处置和整改不力等情况的,将对责任部门予以通报并追究责任人的责任。
第十章 附则
第三十六条 本办法由学院网信办负责解释。
第三十七条 本办法自发布之日起施行。