浙江工商大学
数据合作方管理制度
第一章 总则
第一条 编制目的
为规范浙江工商大学与数据合作方之间的合作行为,明确相关部门和人员职责,确保数据的安全性、合规性及双方权益,特制定本管理制度。
第二条 术语和定义
数据合作方:指与我校签订数据合作协议,共同收集、处理、存储或分析的合作伙伴。
数据合作协议:指我校与数据合作方之间就数据合作事宜达成的正式书面协议。
第三条 基本原则
责任延展原则。数据服务管理责任不随合作而转移,无论我校数据和业务是位于自身信息系统还是合作方的信息系统上,我校都是数据服务的最终责任人。
领导决策原则。数据服务合作应获得我校服务主管领导的支持、批准和授权。
风险控制原则。我校应始终关注数据合作方可能带来的数据安全风险,并能够及时应用风险控制措施。
监督检查原则。我校应对数据合作活动进行监管。
数据归属关系不变。我校提供给数据合作方的数据、设备等资源,以及合作过程中收集、产生、存储的数据和文档等资源属我校所有。数据合作方应保障我校对这些资源的访问、利用、支配,未经我校授权,数据合作方和任何第三方不得访问、修改、披露、利用、转让、销毁。
第二章 管理机构与职责
第四条 主管部门(领导小组)
我校工作领导小组担任数据合作方服务数据管理的最高管理机构,承担合作方活动的数据管理总职责,对合作中的数据服务相关事项具有一票否决权。主管领导具有以下职责:
(一)根据我校的数据管理总体框架,批准服务合作方数据管理策略。
(二)授权并支持服务合作方的接口人负责管理合作活动中相应的数据。
(三)提供并保障服务合作方数据管理所需要的资源。
(四)组织检查合作方的数据管理控制措施的执行情况。
(五)承担服务合作方数据管理的监管职责。
(六)定期评审并发布本制度。
第五条 合作方服务责任人
主管领导可根据合作类型和项目的不同,设置多个合作服务责任人,负责具体的合作项目管理活动,主要职责如下:
(一)对数据服务主管领导负责,将服务合作方数据管理情况、数据安全执行情况及时报告主管领导。
(二)负责按本制度要求来管理合作方服务人员,落实并监督合作基本数据安全控制措施的执行情况,及时制止合作方服务人员的非安全行为。
(三)负责与我校业务部门的协调,负责与合作方的协调。
(四)负责合作方服务人员的管理,包括保密协议的签订、服务人员信息数据网接入管理、服务人员权限创建与移除、服务人员的变更管理等;
(五)承担合作方服务数据安全管理的直接责任。
第六条 合作方服务人员
服务人员应严格遵守本规定中的相关要求。
第三章 管理规定
第七条 安全审查
在选择数据合作供应方时,应对其资质和背景进行安全审查,审查内容应该包括但不限于以下内容:
(一)管理能力和行业地位。
(二)经营声誉和企业文化。
(三)服务资质、技术实力、服务质量、技术人员稳定性。
(四)突发事件应对能力。
(五)对服务需方业务的熟悉程度。
(六)对其他机构提供服务的情况。
(七)当合作活动涉及多个服务供方时,应当对这些服务供方进行关联关系的调查。
第八条 合同签订
合作方与我校应签署合作合同,合同内容应包括但不限于以下内容:
(一)所承担服务的安全目标和保障措施。
(二)服务过程中不泄露我校重要敏感信息的信息安全承诺。
(三)未经我校授权不将服务进行分包的承诺。
(四)接受我校信息安全管理部门监督检查的义务。
(五)数据合作合同终止后对服务内容和信息的保密承诺。
第九条 合作方服务人员管理
服务前:合作方服务责任人在服务开始前应通过以下措施对服务人员进行安全管理:
(一)对于能接触到我校敏感信息的服务人员,应与其签订保密协议,协议签订后方可接触我校的敏感信息。
(二)应对服务人员进行适当的岗位描述、任用要求和其应履行的数据安全职责要求,以降低资源被盗窃、滥用和误用的风险。
(三)应要求合作方提供我校外包服务人员的背景调查信息,要求合作方为背景调查的结果负责。
(四)应要求服务人员承诺不使用含有恶意代码的产品、有缺陷的产品或假冒产品进行相关服务工作。
服务中:服务责任人在服务过程中应通过以下措施对服务人员进行安全管理:
(一)应对服务人员进行数据安全意识和相关管理制度的培训,告知服务人员相关的安全责任和要求,并对培训结果进行考核。
(二)应要求服务人员对工作中接触到的我校敏感资源,不得提供给其他任何人员,更不得上传到网络中供他人下载、使用或查看。
(三)当出现服务人员职责变更或离职时,合作方应提前一个月向服务责任人提出申请,同时合作方应安排接替人员进行一个月的交接与熟悉,接替人员在这一个月中其专业技能、工作能力、职业素养获得服务责任人认可后,方能核准服务人员职责变更或离职申请,并要求合作方收回其掌握的信息资产,禁止其向外传播。
服务变更或中止:服务变更或中止后,服务责任人应要求服务人员归还借用的相关设备,办理资源归还手续,并通知各信息系统和IT基础设施负责人移除服务人员的相关权限。
第十条 服务人员权限与设备接入管理
服务人员对需方信息系统和资源的访问权限以及电脑等硬件设备接入需方的办公网络,应遵照以下要求执行:
(一)因工作需要访问互联网、我校办公网络及信息系统和数据资源的,应填写业务申请表,经主管领导审批同意后,由服务责任人为其开通相关权限,权限应按照“必须知道”和“最小授权”原则对服务人员进行授权。工作结束后,服务责任人须将申请的临时权限和资源及时注销登记。
(二)因工作需要申请我校相关信息设备或需接入自带设备及使用附属设备的,应填写业务申请表,经主管领导审批同意后,由服务责任人提供相关设备,对于服务人员的自带设备需进行安全检查后方允许其使用。
(三)原则上,禁止服务人员自带电脑接入我校办公网络,但如工作需要确需接入办公网络时,应由服务责任人进行防病毒检测及漏洞扫描后方可接入办公网络,服务人员不得使用任何黑客工具及与工作无关的软件,不得从事任何网络、主机的安全攻击、信息窃取。
第十一条 物理与环境安全管理
物理与环境规划:服务责任人应对我校的物理和环境做出规划,将关键和重要敏感信息及信息处置设备控制在安全区域内,且该区域具有清晰的安全边界标识,防止服务人员非授权接触重要敏感信息。服务人员应在指定的办公场所及公共区域内活动,未经许可不得随意进出其他办公区域。
物理环境访问控制:我校应建立物理环境访问控制机制,对服务人员的物理访问进行授权,主要包括:
(一)对所有机房、重要办公空间实施物理访问授权,具体包括:在准许进入机房前验证其访问授权、使用门禁等控制设施。
(二)制定和维护服务人员的物理访问审计日志。
(三)确保钥匙、访问凭证以及其他物理访问设备的安全。
第十二条 合作方运维安全管理
服务责任人应对服务人员在我校系统中的运维活动采取以下安全控制措施:
(一)应根据自身的业务需求,对信息系统组件的维护进行规划、实施、记录,并对维护记录进行审查,维护记录中,至少应包括维护日志和时间、维护人员姓名、陪同人姓名、对维护活动的描述、被转移或替换的设备列表等信息。
(二)所有服务人员对信息系统与IT基础设施进行维护时,均需要使用运维审计系统来对信息系统与IT基础设施进行运维,以便进行强制留痕。
(三)应建立对维护人员的授权流程,对已获得授权的人员建立列表,确保只有列表中的维护人员才可在没有人员陪同时进行系统维护;不在列表中的人员,必须在服务责任人授权且技术可胜任的人员陪同与监督下,才可开展运维工作。
第十三条 应急处置
应急处置计划:合作方应制定应急处置计划,以应对服务过程中可能出现的信息安全事件,应急处置计划应包括:
(一)说明启动应急处置计划的条件和方法
(二)说明其机构内与应急处置有关的组织架构和人员
(三)定义需要报告的安全事件
(四)定义必要的资源和管理支持
应急演练:合作方应制定应急演练计划,对可能发生的安全事件进行应急演练,并根据演练结果修订应急处置方法。
事件报告:当发生信息安全事件时,合作方应及时启动事件报告机制,向服务责任人报告,并启动相应的应急处置计划。
第十四条 违规处罚
合作方及服务人员如违反上述规定,服务责任人有权终止其服务,如影响业务正常使用的,需方将根据影响程度保留进一步追究的权利。
第四章 附则
第十五条 本制度由我校数字化办公室负责制定、解释和修改。
第十六条 数字办有权根据我校业务发展、技术更新以及法律法规的变化对本制度进行修订与完善。
第十七条 对于违反本制度的行为,将依据我校相关的奖惩制度进行处理,对造成严重数据安全事故的,将依法追究法律责任。
