浙江工商大学
数据安全人员管理制度
第一章 总则
第一条 为建立健全浙江工商大学数字化办公室(以下简称数字办)数据安全人员管理制度,规范员工管理工作,确保数据的安全性和完整性,根据《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》《浙江工商大学数据安全管理办法》等有关规定,制定本制度。
第二条 本制度适用于数字办所有涉及数据处理的岗位及其相关人员,包括但不限于正式员工、临时工及第三方服务提供商。
第二章 数据安全人员管理
第三条 明确设定各岗位的数据安全职责,确保每个环节都有专人负责。定期审查和更新岗位说明书,以适应技术和业务发展的需要。
第四条 数据安全人员应进行身份、背景、专业资格和资质等方面的审查。每年组织一次,如发现其违反数据安全规定,应调整岗位。
第五条 对新招聘的数据安全人员进行严格的背景调查,核实其身份信息、工作经历和技术能力。
第六条 根据最小权限原则分配系统和资源访问权限,确保员工只能接触与其工作相关的数据。
第三章 全体员工数据安全基本要求
第七条 所有员工必须严格遵守国家有关数据安全的法律法规,以及学校内部的相关规定。
第八条 掌握所在岗位需要的计算机数据安全知识,妥善保管计算机系统中的重要文件和数据,妥善保管身份认证凭据(如用户账号、密码、数字证书等)。
第九条 发现疑似数据安全相关的事件时,有责任和义务及时报告,有责任和义务自觉接受数字办在数据安全防范方面的管理、监督和检查。
第十条 有义务参加数据安全教育和培训。
第四章 数据安全人员离岗
第十一条 数字办应明确数据安全人员离岗要求,一般包括:
(一)在归还数据资产方面的职责,包括工作中使用的文件、数据和软硬件设备等。
(二)员工离职时需按照规定完成所有必要的工作交接,特别是涉及数据管理和访问权限的部分。
(三)确保所有由该员工掌握的机密信息已被适当转移或销毁,并关闭其账户和访问权限。
(四)离职员工在离开前须签署保密协议,承诺不再使用或泄露任何未公开信息。
第五章 数据安全培训
第十二条 数字办应每年定期组织员工数据安全培训,宣讲最新数据安全管理策略、制度和规范,及时通报典型的数据安全事件及处理情况等。
第十三条 数据安全人员应每年开展一次数据安全宣讲,普及数据安全知识。
第十四条 数字办应定期开展针对不同场景下的应急响应演练,提高员工应对突发事件的能力。
第六章 第三方人员管理
第十五条 第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非我校人员。
第十六条 第三方人员来数字办访问、参观、对接工作时,应确保其了解和遵守访问、参观时应注意的数据安全规定。
第十七条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第十八条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,并签署保密协议。
第十九条 当第三方人员发生变化时,应及时清除其所有访问权限。
第七章 附则
第二十条 本制度中涉及的定义、术语等,如有歧义或未尽事项,以我校数字化办公室解释为准。