第一章 总则
第一条 为规范学校通过信息化手段开展数据活动,保障个人信息和重要数据安全,维护广大师生和学校的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《个人信息保护合规审计管理办法》和教育部等七部门《关于加强教育系统数据安全工作的通知》等文件要求,制定本办法。
第二条 本办法所称数据,是指任何以电子或其它方式对学校、校内各单位、学校师生相关信息的记录,包括学校各级单位以及全校师生员工在履行职责过程中产生或获取的各类数据资源,包括但不限于各单位直接或通过第三方依法采集的、依法授权管理的和因履行职责需要以电子或非电子方式形成的数据资源。涉及国家秘密信息的数据安全管理,按照国家相关法律和规定执行。
第三条 数据安全管理原则
(一)安全合规原则:严格遵循国家法律法规和政策要求,开展数据安全管理工作,确保数据活动合法合规。
(二)分级保护原则:根据数据的重要性和敏感程度,对数据进行分类分级,实施差异化的安全保护措施。
(三)最少够用原则:在满足业务需求的前提下,最小化数据采集范围和使用权限,减少数据暴露风险。
(四)优先共享原则:在保障数据安全的基础上,积极推动数据共享,充分发挥数据价值,促进学校各项事业发展。
第二章 组织机构
第四条 开封职业学院网络安全与信息化工作领导小组(以下简称“网信领导小组”)是数据安全管理的领导机构,负责学校数据安全工作的战略决策、实施监督及重大数据安全事件处理的决策指导。
第五条 现代教育技术中心是学校数据安全相关工作的具体实施、保障单位,负责组织落实网信领导小组的各项决议与工作部署、校务数据管理办法的实施、牵头网信领导小组成员单位开展数据共享工作、推动学校数据安全建设,制定工作规划、实施方案、标准规范并监督落实。
第六条 各单位负责人是本单位数据安全保护工作第一责任人,同时按照“谁收集谁负责、谁使用谁负责、谁发布谁负责”的原则责任到人,落实本单位数据安全防护措施,保障数据安全。统筹协调和落实数据安全管理相关工作,包括但不限于数据资产梳理、分类分级、合规性评估、权限管理、安全审计、应急响应、教育培训等工作。
第三章 数据分类
第七条 数据资源按照主题域和数据服务进行分类
(一)主题域分类原则
1.按照数据资源所涉及的范围,将学校数据按照主题域进行分类,采用大类、中类和小类三级分类法。
2.按主题域将数据资源分为以下大类:行政管理、学生管理、教学资源与管理、科研管理、资产管理、财务管理、人力资源管理、公共服务。
3.对每一大类主题,按照关联主题信息划分中类。每一中类,按照分类属性划分小类。大类之外的其他主题可以作为扩展主题,依照主题域划分原则对所有数据资源进行全面分类。
(二)数据服务分类原则
1.基础数据类。支撑业务系统基础数据应用,主要通过数据共享、接口调用服务等方式。
2.公共服务类。支撑服务类平台数据应用,主要向公共服务类平台提供数据支持。
3.决策分析类。支撑校内分析平台数据应用,主要提供各类分析、报表、决策分析支持等。
4.报表类。向上级部门和校外其他单位报送数据服务。
第四章 数据分级
第八条 学校的数据安全保障遵循分级保护的原则。基于数据敏感性确定数据级别,将数据分为普遍共享、有条件共享、不予共享3类,根据数据级别明确保障措施。
表1数据资源分级
数据敏感程度 | |||
非敏感数据 | 涉及部门隐私数据 | 涉及学校秘密数据 | |
分级划分 | 普遍共享 | 有条件共享 | 不予共享 |
(一)普遍共享
1.具有基础性、基准性、标识性的信息化数据资源。
2.数据提供方明确可以共享的信息化数据资源。
(二)有条件共享
数据内容敏感、按照学校保密管理或其它规定,只能按特定条件提供给数据需求方(包括数据需求部门和个人)的信息化数据资源。
(三)不予共享
有法律法规、学校规章制度或其他依据明确规定不允许共享的数据资源对于部分需要开放的数据,原则上不违反相关规定的条件下,需进行脱敏处理,且控制数据分析类型。
第五章 数据资产管理
第九条 各单位按照数据分类、分级标准要求,结合业务特点与需求等因素对本单位信息系统数据进行分类、分级,形成数据资产目录。
第十条 资产目录需覆盖数据库、大数据存储组件、云端存储或网盘等存储工具,个人计算机、U盘、光盘等存储媒介中的数据。
第十一条 应通过数据资产管理工具形成支持即时更新的资产目录;
第十二条 采用技术手段定期对数据资产进行扫描,能够发现识别常见个人信息。
第六章 数据采集安全管理
第十三条 数据生产单位对本单位所产生数据的质量负责,应严格规范数据采集、录入与审核流程,主动遵守信息标准,从源头确保数据质量,包括数据的规范性、准确性、一致性、完整性、时效性和可访问性。不得过度采集、重复采集。
第十四条 按照“一数一源”的原则,优先通过共享的方式通过主数据服务平台获取数据,原则上不得重复收集数据。
第十五条 遵循“最小够用”原则,并明确收集依据、范围、场景和用途,原则上不得超越工作职能采集数据。
第十六条 未经学校网信领导小组批准,校内任何单位和个人不得以任何理由,私自收集学校范围内的师生、聘用人员等个人信息;各单位未经单位负责人批准,任何人不得以任何理由,私自收集本单位师生、聘用人员等个人信息。
第十七条 各单位原则上不得采集学生、家长、教师的个人生物识别信息。采集敏感数据或采集五百以上个人数据需报现代教育技术中心审核批准。
第七章 数据存储传输安全管理
第十八条 数据应存储于校内,如需存储在校外,须报现代教育技术中心审批,数据严禁存储在境外。数据存储应遵循“最短周期”原则,存储期限不超过业务有效期。应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性。
第十九条 各单位应向现代教育技术中心提供所负责信息系统的数据、数据字典以及其他相关文档,所有数据均应进入主数据服务平台。
第二十条 鼓励各单位在业务和管理范围内共享使用数据,涉密数据除外。各单位需要共享使用其他单位数据时应向现代教育技术中心提出申请,经审核批准后通过主数据服务平台获取。
第二十一条 数据使用单位和个人应按照要求规范使用数据,不得将获取的共享数据超出审核时限定的范围使用,未经授权,不得以任何方式用于社会有偿服务或其他商业活动,并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。
第二十二条 明确数据传输的安全策略,对关键传输链路、重要设备节点实行冗余建设,保障数据传输可靠性和网络传输服务可用性。
第二十三条 采用符合国家相关规定的商用密码算法,对数据存储传输进行加密处理,保障数据在存储传输过程中的保密性、完整性、可用性。
第二十四条 规范数据访问权限,对数据开展查询、统计、分析等行为时,需经业务主管部门同意。有条件共享和不予共享数据使用前应采用脱敏技术进行处理。
第八章 数据使用安全管理
第二十五条 数据对接应明确数据范围、适用范围、用途和安全责任,提供公开数据前须经业务主管部门和现代教育技术中心同意。数据不得用于商业用途。未经同意,禁止与第三方共享。
第二十六条 数据使用单位和个人发现数据质量问题时,应及时向数据产生单位反馈,数据产生单位应尽快核实校正数据。
第二十七条 应当在数据处理活动过程中,记录数据处理、权限管理、人员操作等日志并定期开展审计检查。日志留存时间不少于六个月。
第二十八条 不予共享数据严禁出境,因业务需求向境外提供普遍共享和有条件共享数据的,应依法依规进行数据出境安全评估。
第二十九条 各责任单位应对信息系统中超过存储期限的数据先归档后按要求销毁,数据归档系统应为异地独立系统,应与互联网物理隔离。
第九章 数据共享公开安全管理
第三十条 现代教育技术中心负责制定数据全流程合规与监管规则体系建设,指导督促数据采集、存储、传输、共享、使用、销毁等全流程的安全保障,组织开展安全风险评估、安全管理审查、安全质量考核,推进常态化数据安全监管机制。数据生产部门应当按照谁主管谁负责,谁提供谁负责的原则,负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。数据使用部门按照谁经手谁负责,谁使用谁负责,谁管理谁负责的原则,负责共享数据使用全过程安全。
第三十一条 各单位须定期对数据进行安全检查,加强业务系统安全防护,建立应急处置、备份恢复机制,保障数据安全、可靠运行,杜绝越权访问、错误授权等不当行为。数据生产部门和数据使用部门在数据共享交换工作中分别承担相应的安全保障责任。
第三十二条 加强数据的统筹授权使用和管理。鼓励在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以数据模型、数据服务等形式向学校各部门提供,对不承载个人信息和不影响公共安全的公共数据,按用途加大供给使用范围,促进数据的共享使用,发挥数据效能。
第十章 供应链数据安全管理
第三十三条 凡参与学校信息化建设的供应链合作方(第三方),均须严格保障所涉及的数据安全。涉及重要数据信息的,须签订《开封职业学院数据安全保密协议》“附件一”。如出现任何可能导致数据安全的违规操作,学校将保留追究其法律责任的权利。
第三十四条 学校对供应链合作方的数据安全能力进行评估或监督,确保合作方的保护能力与面临的数据安全风险相符。
第三十五条 对于学校采购或定制开发的业务系统,供应链合作方应提供相关安全代码审计报告,业务上线前接受漏洞扫描、渗透测试等技术检测,避免引入木马、后门、逻辑越权等导致数据安全。
第三十六条 学校严格掌握和控制供应链人员在系统建设、开发、运维过程中所接触的系统数据和网络边界,建立工作内容监管机制和措施。
第三十七条 为完成技术或服务目的向供应链合作方提供的数据,应在合作结束后进行了回收,并要求合作方对数据进行删除。
第十一章 数据安全应急管理
第三十八条 数据安全事件包括数据泄露(丢失、被窃取)、数据滥用、数据被篡改、数据被损毁、数据违规使用和其他数据破坏事件:
(一)数据泄漏(丢失、被窃取)事件是指因误操作、人为蓄意、软硬件缺陷或电磁泄漏等因素导致网络/系统/平台中的保密、敏感、个人隐私等重要数据暴露于未经授权者,而导致的数据安全事件。
(二)数据滥用事件是指数据使用方违规或超范围收集、使用数据而导致的数据安全事件。
(三)数据被篡改事件是指未经授权将网络/系统/平台中的数据更换为攻击者所提供的数据而导致的数据安全事件。
(四)数据被损毁事件是指因误操作、人为蓄意或软硬件缺陷等因素导致网络/系统/平台的数据删除、乱码、数据完整性破坏、数据存储介质销毁等数据安全事件。
(五)数据违规使用事件是指在数据使用的过程中违反学校管理规定及相关国家法律法规或条例而导致的数据安全事件。
(六)其它数据安全事件是指不能被包含在以上分类之中的安全事件。
第三十九条 根据国家相关政策标准和数据安全事件对国家安全、社会稳定、公众权益、单位利益和声誉的影响程度,并按照数据安全事件的影响范围及持续时间等因素,将学校数据安全事件分为四级:特别重大数据安全事件(I级)、重大数据安全事件(II级)、较大数据安全事件(III级)和一般数据安全事件(IV级)。当数据安全事件同时满足多个级别的定级条件时,按最高级别确定数据安全事件等级。
(一)特别重大件(I级)
特别重大事件是指能够导致特别严重影响或破坏的数据安全事件,包括以下情况:
(1)500条以上师生个人信息数据丢失或被窃取、被损坏、被非法使用,造成特别重大经济损失的,或者特别重大损害公众利益,对学校师生产生极大负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生特别重大的社会影响;
(3)其他造成或可能造成特别重大危害或影响的数据安全事件。
(二)重大事件(II级)
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
(1)大于300条小于500条师生个人信息数据丢失或被窃取、被损坏、被非法使用,造成重大经济损失的,或者重大损害公众利益,对学校师生产生重大负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生重大的社会影响;
(3)其他造成或可能造成重大危害或影响的数据安全事件。
(三)较大事件(III级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
(1)大于100条少于300条师生个人信息数据丢失或被窃取、被损坏、被非法使用,造成严重经济损失的,或者严重损害公众利益,对学校师生产生严重负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生严重的社会影响;
(3)其他造成或可能造成较大危害或影响的数据安全事件。
(四)一般事件(IV级)
(1)100条以内师生个人信息数据丢失或被窃取、被损坏、被非法使用造成一般经济损失的,或者一般损害公众利益,对学校师生产生一定负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生一般的社会影响;
(3)其他造成或可能造成一般危害或影响的数据安全事件。
第四十条 学校开展数据安全监测预警与信息通报,发现问题及时上报与处置。
第四十一条 各信息系统主管单位根据业务特点制定数据安全事件应急预案,建立数据安全应急处置流程,明确处置措施,定期开展数据安全事件应急演练。
第四十二条 定期组织开展数据安全教育宣传和培训,提升全员数据安全意识,确保数据安全策略的有效防护。
第十二章 附则
第四十三条 本办法由现代教育技术中心负责解释。
第四十四条 本办法自发布之日起执行,修订时亦同。
