为加强学院校园网数据与信息安全,规范数据管理,保护学院重要数据和个人信息,切实维护广大师生的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《信息安全技术个人信息安全规范》等相关法律法规,结合我院实际,制定本制度。校内各单位通过信息化手段开展数据采集、存储传输、使用处理、数据公开等活动,以及数据安全的保护和监督管理,适用本制度。
各单位负责建设、维护本部门、单位业务应用系统所配套的业务数据库,对本单位业务数据库的系统安全、数据安全负责。各单位负责人是本单位数据安全与个人信息保护工作第一责任人,按照“谁收集,谁负责”、“谁使用,谁负责”、“谁发布、谁负责”的原则,落实本单位数据安全防护工作;开展数据处理等活动应当依照法律法规的规定,在网络安全等级保护制度的基础上,采取相应的技术措施。针对重要数据的处理,应当明确本单位数据安全负责人;发现数据安全缺陷、漏洞时,应当立即采取处置措施消除隐患。
一、针对数据采集:各单位在数据采集时,应遵循合法性、最小必要原则,明确采集依据、范围、用途,原则上不得超越本单位工作职能采集数据。各单位和个人不得以任何理由,私自收集本单位师生个人信息。
二、针对数据存储传输:各单位在对师生敏感信息传输和存储时,应采用加密等安全措施,信息系统应根据数据的不同安全级别采取相应的数据加密、访问控制、数据防泄漏等安全措施。对计算机数据及存储数据的载体必须进行安全、妥善的管理。重要数据必须存储在防火、防水、防盗的安全环境中,同时要做到:
1.数据的备份、恢复、转出、转入的权限都应严格控制。数据备份的介质要求有规范、清晰的标签标识。备份数据应定期测试,以确保备份数据的可恢复性。
2.指定专人进行定期备份操作及存放这些载体,并指定工作岗位替代人以确保备份工作不中断,重要的数据载体应异地存放。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。
对于特别敏感数据的存储可采用特殊的保护软件加密存储,采用独立计算机存取而非联网的方式,该计算机要用加锁等方法实施保护,确保内部数据和敏感数据禁止出境;严格遵守“涉密信息不上网,上网信息不涉密”。当存储过重要数据的介质(如光盘、软盘、磁带等)报废时应由专业技术人员进行物理性销毁。
三、针对数据使用处理:各单位在数据使用处理上,应遵循最小授权访问控制策略,确保数据处理人员只能访问职责所需的最小必要信息、具备最少的数据操作权限。各单位及个人在使用电子邮件发送信息时,应防止泄漏部门机密数据,同时禁止在联网的计算机上处理和存储涉密文件;信息系统使用单位应记录对业务数据的查询、修改、增加、删除、导出等操作日志,保留时间不少于六个月。
四、针对数据公开:各单位因职责要求等合理事由确需公开披露学院内部数据和敏感数据的,应遵循内部数据和敏感数据不得用于商业用途,禁止与第三方共享。信息发布或共享使用前必须先经过脱敏处理,所有涉及人员身份、联系方式、学生学籍、人事、资产、招生、科研、档案等中含有敏感信息数据的应采用屏蔽、替换等多种手段来满足不同的隐私数据匿名化的数据合规性。
五、本制度由信息中心负责解释。
六、本制度自发布之日起实施。
湄洲湾职业技术学院
2024月6月6日