浙江工商大学
数据安全管理办法
第一章 总则
第一条 为加强浙江工商大学数据安全管理,落实数据安全工作责任,健全行业数据安全保障体系,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据开放与安全管理暂行办法》《浙江省公共数据条例》,教育部印发的《教育部等七部门关于加强教育系统数据安全工作的通知》《教育系统核心数据和重要数据识别认定工作指南(试行)》等有关规定,特制定本管理办法。
第二条 在我校及各部门开展数据处理全流程管理过程中,为保障数据的完整性、保密性、可用性所执行的各项工作,适用本办法。
第三条 本办法所指数据,包括但不限于信息系统运行产生的业务数据、网站数据和日志、物联数据、教学资源数据等。学校信息系统产生和使用的数据所有权属于学校,信息系统相关业务部门具有数据使用、维护的义务和权利。涉及国家秘密的数据资源不在本办法范围内。
第四条 我校的数据安全工作遵循“积极利用、依法管理、科学发展、确保安全”的方针,根据“同步规划、同步建设、同步使用”要求,坚持“谁生产,谁提供,谁负责”原则,实行分级管理和分工负责。
第二章 总体策略
第五条 数据安全治理的总体策略是围绕数据的全生命周期进行安全管理,包括数据的采集、存储、使用、加工、传输、共享、公开等各个环节。通过实施一系列技术和策略措施,确保数据的完整性、可用性和保密性。
第六条 建立完善的安全管理制度和流程,如组织安全制度、培训与学习制度、分类分级安全管理、数据合作方安全、终端安全管理、安全审计、访问控制以及应急响应等,从流程和制度上提升数据安全能力。
第三章 方针
第七条 数据安全治理的方针是坚持保障数据安全与发展并重。在推进数据资源开发利用的同时,严格遵守相关法律法规,确保数据依法有序自由流动。
第八条 积极建设有关数据安全的技术能力,包括数据监测、防御、管控技术,提高数据安全的整体防护能力,为数据的可持续发展提供有力保障。
第九条 在所有涉及数据处理的决策中,将数据安全放在首位。任何可能危及数据安全的行为或项目都应进行严格的安全评估,确保不会对现有数据环境造成不可控的风险。
第十条 建立持续改进的数据安全管理体系,根据信息技术的发展和社会环境的变化,及时调整和完善安全策略和技术手段。
第四章 目标
第十一条 数据安全治理的目标是确保数据在整个数据生命周期的安全性,保证数据的安全风险可控;保障数据的可用性,在授权人员需要时能够及时、可靠地获取数据。
第十二条 提升自身数据安全管理能力、技术能力和运营能力,增强防御外部威胁(如网络攻击、数据泄露等)和应对内部安全挑战(如员工误操作或恶意行为)的能力。
第十三条 满足国家相关法律法规、国家标准及地方标准要求,避免因信息泄露等数据安全事故造成的损失;支撑数据相关产品的安全流通,保障数据在流通等环节的安全性。
第五章 原则
第十四条 数据安全治理的原则主要包括以下几点:
(一) 合法合规原则:严格遵守国家法律法规和相关政策,确保数据收集、使用、处理等活动合法合规。
(二) 最小权限原则:授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系,以减少数据泄露的风险。
(三) 责任明确原则:明确数据安全责任人和相关人员的职责,确保数据安全管理工作得到有效落实。
(四) 技术防护原则:采用先进的技术手段,如数据加密、访问控制、安全监测等,提高数据安全的防护能力。
(五) 风险可控原则:开展数据安全风险评估,及时发现和处置潜在的安全风险,确保数据安全可控。
(六) 持续改进原则:不断学习和了解最新的法律法规和技术趋势,持续优化数据安全管理制度和流程,提高数据安全管理的水平和效率。
第六章 职责和分工
第十五条 我校数字化办公室(以下简称数字办)在学校网络安全和信息化领导小组(以下简称领导小组)领导下,制定数据管理的战略规划、总体目标、工作步骤和技术方案,审核数据使用需求,监控数据共享执行情况。按照有关规定,领导小组具体承担以下工作:
(一) 按照国家数据安全相关法律法规和我校决策部署,制定我校数据安全规划、制度。
(二) 监督、指导我校各部门开展数据资产管理工作,建立数据清单。
(三) 监督、指导我校各部门开展数据分类分级工作,建立重要数据目录。
(四) 开展数据安全检查和评估工作,考核我校各部门数据安全工作。
(五) 组织开展行业数据安全宣传和教育工作。
第十六条 各部门在本部门领导的带领下,贯彻落实国家、行业、地方数据安全相关法律法规及政策制度,负责本部门的数据安全工作。
第十七条 应当明确主管部门、支撑部门、建设部门、用户部门等的责任,多个责任部门可以是同一部门,各责任部门的数据安全职责为:
(一)主管部门是指业务数据管理的牵头部门,具体承担数据的安全指导和协调责任。
(二)支撑部门是指提供网络、计算、存储等基础资源的管理部门,具体承担业务信息系统底层运行环境安全责任。
(三)建设部门是指承担业务数据所在信息系统建设运维的部门,对业务数据运行管理和安全防护负主体责任。
(四)用户部门是指业务数据的使用部门,对业务数据的安全使用负主体责任。
具体责任参见数据安全相关责任说明(附件)。
第十八条 数字办应明确承担本部门数据安全监督管理职责的部门,负责本部门数据安全保护。数字化办公室主要负责人是数据安全工作主要责任人,主管数据安全的领导班子成员是直接负责人。
第七章 数据安全管理
第十九条 充分发挥领导小组作用,统筹协调相关数据要素发展及数据安全和相关监管工作。数字办负责学校公共数据平台的安全可靠运行,协调推动数据安全战略和重大方针政策落实,指导各部门加强数据安全保护。各部门按要求组织落实法律和政策要求,开展信息报送、共享和监测预警等工作。
第二十条 建设部门应梳理本部门数据资产,形成数据资产目录,依照行业标准对数据资产进行分类分级,根据分级结果编制重要数据目录,强化重要数据和个人信息保护,不断完善数据安全保障措施。
第二十一条 支撑部门建立数据全生命周期安全保护技术规范,配合建设部门履行数据安全保护义务,落实数据安全管理责任,对数据采集、存储、处理、传输、交换、销毁等过程制定具体分级防护要求和操作规程,采取有效安全保护措施,切实保障重要数据全生命周期安全,并记录数据处理、权限管理、人员操作等业务系统日志。日志留存时间不少于六个月。
第二十二条 建设部门应当通过招标采购、合同约定等方式要求参与数据处理的企业建立完善的数据安全防护体系,加强数据收集、存储、使用、加工、传输、提供、公开、销毁等全流程各环节安全管理,不得擅自留存、使用、泄露或者向他人提供数据,不得擅自用于商业用途,不得擅自向境外提供数据。
第二十三条 用户部门应加强数据授权管理,强化重要敏感数据的使用管理,严控使用范围,确保数据规范使用,不被泄露、滥用、篡改。
第二十四条 用户部门要确保数据处理各相关方及人员仅有“最小授权”,最高管理权限必须由专人负责,不得擅自委托第三方人员管理使用,不得向第三方转移数据管理权。各部门应对数据处理关键环节进行审核把控,按照最小化和最适用原则对参与数据处理的相关人员进行精细化授权,建立数据安全事前审核、事中留痕、事后追溯机制,确保数据安全事件可定责、可追溯。
第二十五条 数字办应加强个人信息安全保护,采取安全技术措施,确保个人信息处理活动符合法律法规要求,防止未经授权的访问以及个人信息泄露、篡改和丢失。
第八章 数据安全风险评估
第二十六条 支撑部门应定期针对各业务信息系统开展数据安全风险评估,提升系统数据安全防护水平。建设部门配合开展风险问题整改,防止数据泄露、毁损、丢失。
第二十七条 建设部门应当要求参与信息化建设的企业对其技术、管理的数据安全能力进行评估,定期确认其信息化产品或服务具有相应的数据安全保障能力。优先采用安全可靠产品和服务。
第九章 数据安全监测预警与应急管理
第二十八条 建立数据安全风险监测预警机制,组织开展数据安全风险监测,按照有关规定及时发布预警信息,通知各部门数据处理者及时采取应对措施。
第二十九条 支撑部门应开展数据安全风险监测,及时排查安全隐患。当支撑部门发现数据安全缺陷、漏洞等风险时,应立即告知相应建设部门采取补救措施;当发生数据泄露、毁损、丢失事件或可能发生造成较大及以上安全事件时,建设部门除采取补救措施外还应同时按照规定及时告知用户部门并向主管部门报告。
第三十条 建设部门应当参照《数据安全应急响应制度》制定数据安全应急预案,在数据安全事件发生后,按照应急预案,及时开展应急处置,支撑部门做好配合。涉及重要数据和核心数据的安全事件,第一时间向主管部门报告,事件处置完成后在规定期限内形成总结报告。建设部门对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
第三十一条 建立数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展调查。
第十章 责任追究
第三十二条 对违反本办法规定的,按照相关规定和程序对其进行约谈,并要求采取措施进行整改。情节严重的,依照有关法律法规,启动问责程序,逐级倒查,追究当事人、数据安全负责人直至主要负责人责任,协调监管不力的,还应追究综合协调或监管部门负责人责任。
第十一章 保障措施
第三十三条 数字办主要领导应加强数据安全工作的统筹管理,召开数据安全专题会议,听取工作汇报、协调解决重大问题,组织落实机构、人员和经费等必要条件。
第三十四条 数字办应加强数据安全自身能力建设,积极推动监测预警、安全防护、应急处置等技术支撑条件完善,加强数据安全专业人才队伍建设。
第三十五条 数字办应定期组织数据安全宣传教育,加强全员数据安全意识和知识技能培训。数据安全培训教育情况应归档保存。各部门全员参加数据安全培训每年度不少于1学时,数据安全人员岗位参加数据安全专业技能培训每年度不少于4学时。
第三十六条 数字办应将数据安全管理、教育培训、评估自查、应急处置等数据安全经费纳入年度预算,合理保障数据安全经费投入。
第十二章 附则
第三十七条 存储、处理涉及国家秘密信息的数据安全保护工作,按照国家涉密相关规定执行。
第三十八条 本管理办法的解释和修改权归属浙江工商大学数字化办公室所有。
第三十九条 本办法自印发之日起施行。
附件:数据安全相关责任说明
对象 | 主要责任和职责说明 |
主管部门 | 主管部门是指业务数据管理的牵头部门,具体承担数据的安全指导和协调责任。 主管部门应对重要数据及个人信息采集范围、目的、规模等进行审查,规范采集、存储、使用、共享交换、销毁等行为,指导有关部门采取措施确保重要数据及个人信息安全。 |
支撑部门 | 支撑部门是指提供网络、计算、存储等基础资源的管理部门,具体承担业务信息系统底层运行环境安全责任。 1.支撑部门建立数据全生命周期安全保护技术规范,配合建设部门履行数据安全保护义务,落实数据安全管理责任,并记录业务系统日志。日志留存时间不少于六个月。 2.支撑部门应定期针对各业务信息系统开展数据安全风险评估,并向建设部门通报数据安全风险评估结果。 3.支撑部门应开展数据安全风险监测,及时排查安全隐患。当支撑部门发现数据安全缺陷、漏洞等风险时,应立即告知相应建设部门采取补救措施。 |
建设部门 | 建设部门是指承担业务数据维护任务的各部门,对业务数据运行管理和安全防护负主体责任。 1.建设部门负责应用系统包含重要数据和大量个人敏感信息,服务于直接影响党政机关运转和公众生活工作的关键业务的,应在确保安全的前提下上线部署,发布应用。 2.建设部门应在设计阶段组织开展数据分类分级工作,明确数据安全防护要求,采取重要数据备份和加密认证等措施,并制定数据备份和恢复策略。采集、处理重要数据和个人信息(含个人敏感信息)的,建设部门应编制清单,清单包括但不限于重要数据和个人信息的种类、数量,收集、存储、加工、使用等情况。 3.建设部门应在建设阶段采取身份鉴别、访问控制、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。 4.建设部门应在运行阶段履行数据安全保护义务,落实数据安全管理责任,对数据采集、使用、传输和存储等进行规范化管理,评估安全手段是否有效。加强数据安全风险监测,防止泄漏、毁损、丢失。 5.建设部门未经主管部门同意,不得在互联网上以任何形式发布有关数据,或将存储数据的设备或数据库直接接入互联网。 6.建设部门应及时整改风险问题,防止数据泄露、毁损、丢失。 |
用户部门 | 用户部门是指业务数据的使用部门,对业务数据的安全使用负主体责任。 1. 依法依规使用数据,不得擅自留存、使用、泄露或者向他人提供数据,不得擅自用于商业用途,不得擅自向境外提供数据。 2. 明确数据的用途、使用范围、留存期限等。 3. 采取相应安全措施,防止数据在使用过程中发生安全事件。 4. 对被授权访问数据,建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的数据,且仅具备完成职责所需的最少操作权限。 |