浙江工商大学

数据安全评估与新应用开发评估管理制度

                                                 第一章 总则

第一条 建立健全浙江工商大学数字化办公室（以下简称数字办）数据安全评估管理制度，主动发现原系统潜在的数据安全风险，新上线应用系统的数据安全风险，识别数据安全合规差距，根据《浙江工商大学数据安全管理办法》等有关规定，制定本制度。

第二条 在数字办数据安全评估管理过程中，为降低数据安全风险而开展的各项评估工作，适用于本制度。

                                       第二章 组织机构与职责

第三条 数字办作为《浙江工商大学数据安全管理办法》中的支撑、建设部门，负责数据安全评估管理工作。

第四条 数字办按规定履行数据安全评估管理综合协调和指导监管职责，负责规划、组织、协调和监督数据安全评估工作，制定相应的风险控制措施。

                                         第三章 数据安全评估

第五条 数字办应建立数据安全检查评估机制，制定数据安全评估计划，涉及重要数据和核心数据处理应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向领导小组报送风险评估报告。

第六条 涉及业务数据安全方面，有下列情形之一的，应进行数据安全评估：

（一）在新应用系统上线前；

（二）国家及行业主管部门的相关要求发生变化；

（三）发生重大数据安全事件；

（四）业务模式或信息系统运行环境发生重大变更；

（五）向境外提供数据。

第七条 涉及个人信息保护方面，有下列情形之一的，应进行数据安全评估：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第八条 数据安全评估需明确记录下列内容：

（一）数据处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

第九条 数字办应根据数据安全评估报告，制定整改计划，采取有效措施降低数据安全风险。

第十条 数字办应要求委托的数据安全评估机构工作人员对在履行职责中知悉的数据严格保密，不得泄露或者非法向他人提供。

                                                 第四章 附则

第十一条 本制度由数字办负责解释和修订。

第十二条 本制度自印发之日起施行，有关原有制度和规定与本制度不符的，以本制度为准。