浙江工商大学

数据加密管理制度

                                                 第一章 总则

第一条 目的

数据加密管理制度的目的是保护浙江工商大学数据的保密性、完整性和可用性，防止数据泄露、篡改、非法获取和未授权访问，确保数据的安全性，提高数据管理和交换的效率。

第二条 适用范围

本制度适用于我校内所有涉及数据处理的业务流程、信息系统以及相关工作人员。包括但不限于教职工和学生数据、教学数据、科研数据、财务数据、行政管理数据等各类敏感数据。

第三条 基本要求

数据加密管理制度的执行必须遵循以下要求：

（一）安全性要求：数据加密算法必须具备强大的安全性，能够防止常见的攻击手段，如破解、穷举等。同时，必须定期更新加密算法，以应对新的安全威胁。

（二）可行性要求：数据加密算法必须能够在计算机系统中实现，并对原始数据进行加密和解密操作，保证数据的机密性和可用性。

（三）灵活性要求：数据加密算法必须能够适应不同数据类型和规模，包括文本、图片、音频、视频等，并能够自动适配不同的数据格式和长度。

（四）可控性要求：数据加密算法必须具备可控性，能够实现对数据加密、解密和管理的有效控制，包括访问控制、密钥管理和审计跟踪等。

（五）法律合规要求：数据加密管理制度必须符合国家相关法律法规的要求，包括个人信息保护法、网络安全法等，确保数据加密的合法性和合规性。

                                           第二章 组织与职责

第四条 主管部门（领导小组）

（一）制定数据安全战略和总体方针，明确数据加密防泄漏管理的目标和方向。

（二）审批数据加密防泄漏相关的制度、流程和技术方案，确保其符合国家法律法规和我校实际需求。

（三）定期召开数据安全工作会议，审议数据安全工作进展情况，协调解决数据安全管理中的重大问题。

（四）监督各部门数据安全工作的执行情况，对违反数据安全规定的行为进行问责和处理。

第五条 支撑、建设部门（数字办）

（一）根据领导小组的要求，制定数据加密防泄漏技术方案和实施计划，选择合适的加密算法和技术产品。

（二）负责数据加密系统的部署、配置和日常运维，确保加密系统的稳定运行和数据的安全加密。

（三）对数据加密设备和软件进行定期检查、更新和升级，及时修复安全漏洞，提高数据加密的安全性和可靠性。

（四）为其他部门提供数据加密技术支持和培训，指导各部门正确使用数据加密工具和技术。

第六条 用户部门（业务部门）

（一）组织本部门员工学习和遵守数据安全管理制度，提高员工的数据安全意识和保密意识。

（二）识别本部门重要数据资产，确定数据的敏感级别，并按照规定对敏感数据进行加密处理。

（三）在数据的使用、共享和传输过程中，严格遵守数据加密防泄漏的操作流程，确保数据的安全。

（一）及时向领导小组和数字办反馈数据安全问题和需求，配合做好数据安全管理工作。

                                         第三章 加密流程管理

第七条 数据分类分级

根据数据的来源、用途、敏感性等因素对数据进行分类。针对不同类别数据评估风险，划分数据安全级别。

第八条 加密算法选择与密钥管理

根据数据级别、性能要求、兼容性等因素选择合适的加密算法，如对称加密算法（如AES）、非对称加密算法（如RSA）等。建立安全的密钥生成机制，确保密钥的随机性和唯一性。

对密钥进行妥善存储，可采用硬件安全模块（HSM）等安全存储设备。严格控制密钥的分发与共享，记录密钥的使用与变更情况。

第九条 数据加密实施

在数据产生时，根据数据级别自动触发相应的加密程序进行加密。在数据传输过程中，采用加密通道（如SSL/TLS协议）确保数据的安全传输。在数据存储环节，对存储介质中的数据进行加密存储。

第十条 加密数据的访问与解密

建立严格的访问控制机制，只有经过授权的人员在符合规定的条件下才能进行解密操作。记录解密操作的相关信息，包括操作人、操作时间、操作原因等。

                                         第四章 实施步骤管理

第十一条 实施步骤

数据加密管理制度的实施步骤如下：

（一）制定制度计划：明确制度实施的目标和计划，确定制度的编制范围、编制部门和编制时间，明确责任人和配合部门。

（二）制订制度草案：编制数据加密管理制度的草案，包括制度的名称、目的和要求，主要内容和实施步骤等，征求相关部门和人员的意见和建议。

（三）审核修订：将制度草案提交给相关部门进行审核和修订，确保制度的合理性和可行性，避免制度中的矛盾和冲突。

（四）审批发布：经过审核和修订后，将制度草案提交给相关领导审批，并进行正式发布，明确制度实施的时间和范围。

（五）实施培训：制定数据加密管理制度的培训计划和教材，对相关人员进行培训和考核，确保教职工了解制度要求和操作规程。

（六）实施监督：建立数据加密管理制度的监督机制，监督制度执行情况和效果，并进行定期检查和评估，及时发现和改进问题。

                                           第五章 监督与审计

第十二条 内部审计

建立内部审计机制，定期对数据加密工作进行审计，检查加密策略的执行情况。审计人员有权对数据存储、传输、处理等环节进行检查，发现问题及时要求整改。

第十三条 外部监督

接受外部对我校数据加密工作的监督和检查，按照要求提供相关资料。根据外部监督意见，及时调整和完善数据加密管理制度。

                                                 第六章 附则

第十四条 数字化办公室有权根据我校业务发展、技术更新以及法律法规的变化对本制度进行修订与完善。

第十五条 对于违反本制度的行为，将依据我校相关的奖惩制度进行处理，对造成严重数据安全事故的，将依法追究法律责任。