永州职业技术学院个人信息保护和数据安全保障管理办法

作者: 时间:2024-05-17 点击数:

第一章      

为贯彻落实《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》和《中华人民共和国数据安全法》,加强个人信息保护和数据安全保障,切实提高我校个人信息保护和数据安全保障水平,特制定本办法。

第一条 在我校管理范围内运用网络开展数据采集、存储、传输、处理使用等活动,以及个人信息保护和数据安全保障,适用本办法。

第二条 在学校网络安全和信息化工作领导小组的领导下,信息网络中心负责个人信息保护和数据安全保障的指导和检查工作。

第三条 学校各部门、学院依照本办法、相关法律法规和规范要求,参照国家安全标准,进行个人信息保护和数据安全保障的工作和履行个人信息保护和数据工作保障的责任和义务。

第二章  数据采集

第四条 学校各部门、学院作为数据产生单位,严格按照《中华人民共和国网络安全法》采集必要数据。数据采集原则应该遵循最小范围原则,对于身份证号、电话号码、家庭住址等个人敏感信息收集应该严格控制。

第五条 各部门、学院采集的数据必须经过本部门负责人审核,确保其真实可靠。

第六条 各部门、学院采集的数据,必须严格按照业务系统的规范要求录入,确保数据全面和完整性,保证数据操作过程可追溯。

第七条 各部门、学院采集产生的个人信息和重要数据,不得用于商业用途,未经采集数据的部门批准同意,不得与第三方共享。

因阶段性工作采集产生的重要数据和个人信息,在相应工作结束后(如因疫情防控收集的相关数据,在疫情防控工作结束后应及时清除),相关数据原则上不能保留,按有关规定进行处理。

第八条 为保障我校基础数据的规范性,学校各业务系统数据字典的编码规则必须符合《永州职业技术学院数据标准与规范》的要求。

第九条 为保障各部门、学院数据的规范性和准确性,学校各部门、学院须向信息网络中心提供本部门建设的业务系统的设计文档、数据字典和数据接口等相关资料。

第十条 学校各部门、学院在变更应用系统数据结构时,须提前告知业务部门并经业务部门和信息网络中心批准同意后才可进行变更,避免数据混乱及服务异常。

第三章  数据处理使用

第十一条 学校各业务系统主管部门负责其系统的直接使用,其他部门属于间接使用。直接使用部门负责数据的增加、修改、删除、导入、导出等,并需通过数据分类、备份、加密等措施加强个人信息保护和数据安全保障。其他部门不得对原始数据进行增加、修改、删除等操作。

同一部门同一系统内部由系统管理员对用户按职能分组,设定用户的访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。

如需跨部门、学院数据共享,纸质数据需由各部门、学院主管人员签字审核确认,才可将数据提交给需共享的部门;同时根据需要可提供完整电子文档,方便对方进行编辑和调整。

第十二条 各业务部门禁止通过公共邮箱、微信和QQ等公共即时通讯工具传递涉密重要数据。重要数据不得通过公共互联网传递。

第四章  数据安全

第十三条 数据安全是指数据处理系统的硬件、软件及数据本身受到保护,不受偶然的或恶意的原因而遭到破坏、更改和泄露。

第十四条 坚持“涉密计算机不上互联网,非涉密计算机不处理涉密信息”的原则。涉及我校机密的信息系统服务器,不得直接或间接地与国际互联网或其它公共信息网络相连接,需要与业务内网相连接的服务器必须划分在专属网段进行逻辑隔离。

第十五条 为保障数据安全,各部门、学院的应用系统须经信息网络中心检测合格后方可上线运行。

第十六条 各部门、学院需对主管的业务系统开展网络安全等级保护测评和备案工作,在发生新增、变更、撤销时要及时对备案信息进行更新。

第十七条 各部门、学院的信息系统管理员需要定期进行数据安全检查,并做好检查记录。不符合相关安全保障要求的部门必须及时对其应用系统进行整改。

第十八条 各部门、学院自建的业务信息系统要及时打补丁和封堵漏洞,数据必须定期进行双备份(一份本地,一份异地)并明确落实备份数据的管理职责。

第十九条 各系统的管理部门需要定期对电脑、服务器、存储介质进行病毒检查,一旦发现病毒及时清除。

第二十条 非本单位技术人员对本单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督并做好人员登记。

第二十一条 各部门、学院对于不再使用或无法使用的涉密信息存储介质进行报废处理时,应进行信息清除或载体销毁处理,所采用的技术、设备和措施应符合国家保密工作部门的有关规定。

第二十二条 各业务系统的管理部门不但对产生的数据负有安全管理责任,而且对参与应用系统开发建设的企业负有安全管理和约束的责任,须与其签订数据安全保密协议。

第二十三条 各部门、学院一旦发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,应按照《永州职业技术学院网络安全应急预案》的要求及时报送网信办和上级领导,并妥善处置,将影响降到最低。

第二十四条 发现相关部门的个人信息保护和数据安全管理责任落实不到位时,应及时按照相关规定要求和程序督促整改。

第五章      

第二十五条 本管理办法由永州职业技术学院信息网络中心负责解释。

第二十六条 本管理办法自颁布之日起实行。




永州职业技术学院信息网络中心  地址:零陵区永州大道289号