浙江工商大学

数据安全人员管理制度

第一章 总则

第一条 为建立健全浙江工商大学数字化办公室（以下简称数字办）数据安全人员管理制度，规范员工管理工作，确保数据的安全性和完整性，根据《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》《浙江工商大学数据安全管理办法》等有关规定，制定本制度。

第二条 本制度适用于数字办所有涉及数据处理的岗位及其相关人员，包括但不限于正式员工、临时工及第三方服务提供商。

第二章 数据安全人员管理

第三条 明确设定各岗位的数据安全职责，确保每个环节都有专人负责。定期审查和更新岗位说明书，以适应技术和业务发展的需要。

第四条 数据安全人员应进行身份、背景、专业资格和资质等方面的审查。每年组织一次，如发现其违反数据安全规定，应调整岗位。

第五条 对新招聘的数据安全人员进行严格的背景调查，核实其身份信息、工作经历和技术能力。

第六条 根据最小权限原则分配系统和资源访问权限，确保员工只能接触与其工作相关的数据。

第三章 全体员工数据安全基本要求

第七条 所有员工必须严格遵守国家有关数据安全的法律法规，以及学校内部的相关规定。

第八条 掌握所在岗位需要的计算机数据安全知识，妥善保管计算机系统中的重要文件和数据，妥善保管身份认证凭据（如用户账号、密码、数字证书等）。

第九条 发现疑似数据安全相关的事件时，有责任和义务及时报告，有责任和义务自觉接受数字办在数据安全防范方面的管理、监督和检查。

第十条 有义务参加数据安全教育和培训。

第四章 数据安全人员离岗

第十一条 数字办应明确数据安全人员离岗要求，一般包括：

（一）在归还数据资产方面的职责，包括工作中使用的文件、数据和软硬件设备等。

（二）员工离职时需按照规定完成所有必要的工作交接，特别是涉及数据管理和访问权限的部分。

（三）确保所有由该员工掌握的机密信息已被适当转移或销毁，并关闭其账户和访问权限。

（四）离职员工在离开前须签署保密协议，承诺不再使用或泄露任何未公开信息。

第五章 数据安全培训

第十二条 数字办应每年定期组织员工数据安全培训，宣讲最新数据安全管理策略、制度和规范，及时通报典型的数据安全事件及处理情况等。

第十三条 数据安全人员应每年开展一次数据安全宣讲，普及数据安全知识。

第十四条 数字办应定期开展针对不同场景下的应急响应演练，提高员工应对突发事件的能力。

第六章 第三方人员管理

第十五条 第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非我校人员。

第十六条 第三方人员来数字办访问、参观、对接工作时，应确保其了解和遵守访问、参观时应注意的数据安全规定。

第十七条 应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。

第十八条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定，并签署保密协议。

第十九条 当第三方人员发生变化时，应及时清除其所有访问权限。

第七章 附则

第二十条 本制度中涉及的定义、术语等，如有歧义或未尽事项，以我校数字化办公室解释为准。