第一章 总则
第一条 为规范学校通过信息化手段开展数据活动,保障个人信息和重要数据安全,维护广大师生和学校的合法权益,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)《信息安全技术 个人信息安全规范》(GB/T35273-2020)和教育部等七部门《关于加强教育系统数据安全工作的通知》(教科信函〔2021〕20号)等文件要求,制定本办法。
第二条 本办法所指的数据包括各单位在履行职能时,通过信息化手段获取的业务数据和统计数据,覆盖数据采集、存储、传输、处理、共享和销毁等数据全生命周期活动。涉及国家秘密信息的数据安全管理,按照国家相关法律和规定执行。
本办法所指各单位包括学校各机关、部、处、室、学院、直属单位、附属单位。
第三条 数据安全管理原则
本办法遵循安全合规、分级保护、最少够用、优先共享的原则,从管理和技术两个维度,重点保障个人信息安全,全面提高学校数据安全保障能力。
第二章 职责分工
第四条 网络安全和信息化领导小组(以下简称“网信领导小组”)是数据安全保护的领导机构,主要职责是贯彻落实上级有关部门关于数据安全保护工作的发展战略、宏观规划、重大政策和工作部署,统一领导、统一谋划、统一部署学校的数据安全保护工作,统筹协调和决策学校数据安全保护工作中的重大问题等。
第五条 信息化处是学校数据安全相关工作的具体实施、保障单位。具体职责包括:
(一)负责组织落实网信领导小组的各项决议与工作部署,研究制定数据安全工作发展规划、工作计划、规章制度和标准规范,建立覆盖数据采集、存储传输、处理使用、开放共享等全生命周期的数据安全保障和监督检查机制,协调处理数据安全重大突发事件的应急工作
(二)负责校务数据管理办法的实施,牵头网信领导小组成员单位开展数据共享工作,包括:数据资源的统一规划;数据信息标准、编码标准、技术规范、管理规范的制定和完善;为数据整合、共享、深度分析和综合应用提供服务保障。
(三)负责数据管理工作的总体规划,对数据进行集中管理,建立数据资产台账。
(四)负责建设数据中心,建立和完善数据标准规范。
(五)负责建立数据质量评价机制,统筹数据治理工作。
(六)负责建设和运维主数据服务平台、数据资产信息服务平台、数据交换服务平台等公共技术服务平台。
(七)负责数据安全保障体系建设。
(八)负责推进数据互联互通、归集汇聚、共享开放和开发应用,为各单位数据管理工作提供业务指导和技术支持。
第六条 数据生产单位职责
数据生产单位同时为数据的管理单位,为权威数据单一来源单位,履行数据生成和管理职责,负责数据的产生、维护、实施、运维、发布、应用、备份和归档等,具体如下:
(一)数据生产单位应进行数据编码,例如:校区编码、学号、教职工号、单位编码等。
(二)用于提供服务的数据,数据生产单位应提供相应的数据标准(字典表),例如:专业代码、请假类别、性别等。
(三)业务数据生产单位不再向数据使用部门直接提供数据,统一由数据资产信息服务平台提供访问接口和数据服务。
(四)根据学校制定的数据标准,确保所有的信息系统数据的规范性、准确性和一致性,有利于个信息系统之间进行数据共享和交换。
(五)对本单位所属数据的正确使用及保密安全负责。
第七条 数据使用单位职责
(一)信息化处为各单位提供统一的数据交换接口,申请数据获取的单位不得将获取数据传播给其他单位使用。
(二)数据主要用于教学、科研、管理、服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
(三)为保证数据的准确性、一致性和及时性,当需要使用非本单位产生和管理的数据时,原则上要求通过主数据服务平台同步获取,不得另行录入和维护。
第八条 各单位党政负责人是本单位数据安全保护工作第一责任人,同时按照“谁收集,谁负责”、“谁使用,谁负责”、“谁发布、谁负责”的原则责任到人,落实本单位数据安全防护措施,保障数据安全。统筹协调和落实数据安全管理相关工作,包括但不限于数据资产梳理、分类分级、合规性评估、权限管理、安全审计、应急响应、教育培训等工作。
第三章 数据分类
第九条 数据资源按照主题域和数据服务进行分类
(一)主题域分类原则
1.按照数据资源所涉及的范围,将学校数据按照主题域进行分类,采用大类、中类和小类三级分类法。
2.按主题域将数据资源分为以下大类:行政管理、学生管理、教学管理、科研管理、资产管理、财务管理、人力资源管理、图书管理、安防管理、公共服务。
3.对每一大类主题,按照关联主题信息划分中类。每一中类,按照分类属性划分小类。大类之外的其他主题可以作为扩展主题,依照主题域划分原则对所有数据资源进行全面分类。
(二)数据服务分类原则
1.基础数据类。支撑业务系统基础数据应用,主要通过数据共享、接口调用服务等方式。
2.公共服务类。支撑服务类平台数据应用,主要向公共服务类平台提供数据支持。
3.决策分析类。支撑校内分析平台数据应用,主要提供各类分析、报表、决策分析支持等。
4.报表类。向上级部门和校外其他单位报送数据服务。
第四章 数据分级
第十条 学校的数据安全保障遵循分级保护的原则。基于数据敏感性确定数据级别,将数据分为普遍共享、有条件共享、不予共享3类,根据数据级别明确保障措施。
表1 数据资源分级
|
数据敏感程度 |
| 非敏感数据 |
涉及部门隐私数据 |
涉及学校秘密数据 |
| 分级划分 |
普遍共享 |
有条件共享 |
不予共享 |
(一)普遍共享
1.具有基础性、基准性、标识性的信息化数据资源。
2.数据提供方明确可以共享的信息化数据资源。
(二)有条件共享
数据内容敏感、按照学校保密管理或其它规定,只能按特定条件提供给数据需求方(包括数据需求部门和个人)的信息化数据资源。
(三)不予共享
有法律法规、学校规章制度或其他依据明确规定不允许共享的数据资源对于部分需要开放的数据,原则上不违反相关规定的条件下,需进行脱敏处理,且控制数据分析类型。
第十一条 本章未尽事宜应参照《leyu·乐鱼(中国)体育官方网站数据分类分级办法》相关规定执行。
第五章 数据资产管理
第十二条 各单位按照数据分类、分级标准要求,结合业务特点与需求等因素对本单位信息系统数据进行分类、分级,形成数据资产目录。
第十三条 资产目录需覆盖数据库、大数据存储组件、云端存储或网盘等存储工具,个人计算机、U盘、光盘等存储媒介中的数据。
第十四条 应通过数据资产管理工具形成支持即时更新的资产目录;
第十五条 采用技术手段定期对数据资产进行扫描,能够发现识别常见个人信息。
第六章 数据采集安全管理
第十六条 数据生产单位对本单位所产生数据的质量负责,应严格规范数据采集、录入与审核流程,主动遵守信息标准,从源头确保数据质量,包括数据的规范性、准确性、一致性、完整性、时效性和可访问性。不得过度采集、重复采集。
第十七条 按照“一数一源”的原则,优先通过共享的方式通过主数据服务平台获取数据,原则上不得重复收集数据。
第十八条 遵循“最小够用”原则,并明确收集依据、范围、场景和用途,原则上不得超越工作职能采集数据。
第十九条 未经学校网信领导小组批准,校内任何单位和个人不得以任何理由,私自收集学校范围内的师生、聘用人员等个人信息;各单位未经单位负责人批准,任何人不得以任何理由,私自收集本单位师生、聘用人员等个人信息。
第二十条 各单位原则上不得采集学生、家长、教师的个人生物识别信息。采集敏感数据或采集五百以上个人数据需报信息化处审核批准。
第七章 数据存储传输安全管理
第二十一条 数据应存储于校内,如需存储在校外,须报信息化处审批,数据严禁存储在境外。数据存储应遵循“最短周期”原则,存储期限不超过业务有效期。应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性。
第二十二条 各单位应向信息化处提供所负责信息系统的数据、数据字典以及其他相关文档,所有数据均应进入主数据服务平台。
第二十三条 鼓励各单位在业务和管理范围内共享使用数据,涉密数据除外。各单位需要共享使用其他单位数据时应向信息化处提出申请,经审核批准后通过主数据服务平台获取。
第二十四条 数据使用单位和个人应按照要求规范使用数据,不得将获取的共享数据超出审核时限定的范围使用,未经授权,不得以任何方式用于社会有偿服务或其他商业活动,并对共享数据的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。
第二十五条 明确数据传输的安全策略,对关键传输链路、重要设备节点实行冗余建设,保障数据传输可靠性和网络传输服务可用性。
第二十六条 采用符合国家相关规定的商用密码算法,对数据存储传输进行加密处理,保障数据在存储传输过程中的保密性、完整性、可用性。
第二十七条 规范数据访问权限,对数据开展查询、统计、分析等行为时,需经业务主管部门同意。有条件共享和不予共享数据使用前应采用脱敏技术进行处理。
第八章 数据使用安全管理
第二十八条 数据对接应明确数据范围、适用范围、用途和安全责任,提供公开数据前须经业务主管部门和信息化处同意。数据不得用于商业用途。未经同意,禁止与第三方共享。
第二十九条 数据使用单位和个人发现数据质量问题时,应及时向数据产生单位反馈,数据产生单位应尽快核实校正数据。
第三十条 应当在数据处理活动过程中,记录数据处理、权限管理、人员操作等日志并定期开展审计检查。日志留存时间不少于六个月。
第三十一条 不予共享数据严禁出境,因业务需求向境外提供普遍共享和有条件共享数据的,应依法依规进行数据出境安全评估。
第三十二条 各责任单位应对信息系统中超过存储期限的数据先归档后按要求销毁,数据归档系统应为异地独立系统,应与互联网物理隔离。
第九章 数据共享公开安全管理
第三十三条 信息化处负责制定数据全流程合规与监管规则体系建设,指导督促数据采集、存储、传输、共享、使用、销毁等全流程的安全保障,组织开展安全风险评估、安全管理审查、安全质量考核,推进常态化数据安全监管机制。数据生产部门应当按照谁主管、谁负责,谁提供、谁负责的原则,负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。数据使用部门按照谁经手、谁负责,谁使用、谁负责,谁管理、谁负责的原则,负责共享数据使用全过程安全。
第三十四条 各单位须定期对数据进行安全检查,加强业务系统安全防护,建立应急处置、备份恢复机制,保障数据安全、可靠运行,杜绝越权访问、错误授权等不当行为。数据生产部门和数据使用部门在数据共享交换工作中分别承担相应的安全保障责任。
第三十五条 加强数据的统筹授权使用和管理。鼓励在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以数据模型、数据服务等形式向学校各部门提供,对不承载个人信息和不影响公共安全的公共数据,按用途加大供给使用范围,促进数据的共享使用,发挥数据效能。
第十章 供应链数据安全管理
第三十六条 凡参与学校信息化建设的供应链合作方(第三方),均须严格保障所涉及的数据安全。涉及重要数据信息的,须签订《leyu·乐鱼(中国)体育官方网站数据安全保密协议》“附件一”。如出现任何可能导致数据安全的违规操作,学校将保留追究其法律责任的权利。
第三十七条 学校对供应链合作方的数据安全能力进行评估或监督,确保合作方的保护能力与面临的数据安全风险相符。
第三十八条 对于学校采购或定制开发的业务系统,供应链合作方应提供相关安全代码审计报告,业务上线前接受漏洞扫描、渗透测试等技术检测,避免引入木马、后门、逻辑越权等导致数据安全。
第三十九条 学校严格掌握和控制供应链人员在系统建设、开发、运维过程中所接触的系统数据和网络边界,建立工作内容监管机制和措施。
第四十条 为完成技术或服务目的向供应链合作方提供的数据,应在合作结束后进行了回收,并要求合作方对数据进行删除。
第十一章 数据安全应急管理
第四十一条 数据安全事件包括数据泄露(丢失、被窃取)、数据滥用、数据被篡改、数据被损毁、数据违规使用和其他数据破坏事件:
(一)数据泄漏(丢失、被窃取)事件是指因误操作、人为蓄意、软硬件缺陷或电磁泄漏等因素导致网络/系统/平台中的保密、敏感、个人隐私等重要数据暴露于未经授权者,而导致的数据安全事件。
(二)数据滥用事件是指数据使用方违规或超范围收集、使用数据而导致的数据安全事件。
(三)数据被篡改事件是指未经授权将网络/系统/平台中的数据更换为攻击者所提供的数据而导致的数据安全事件。
(四)数据被损毁事件是指因误操作、人为蓄意或软硬件缺陷等因素导致网络/系统/平台的数据删除、乱码、数据完整性破坏、数据存储介质销毁等数据安全事件。
(五)数据违规使用事件是指在数据使用的过程中违反学校管理规定及相关国家法律法规或条例而导致的数据安全事件。
(六)其它数据安全事件是指不能被包含在以上分类之中的安全事件。
第四十二条 根据国家相关政策标准和数据安全事件对国家安全、社会稳定、公众权益、单位利益和声誉的影响程度,并按照数据安全事件的影响范围及持续时间等因素,将学校数据安全事件分为四级:特别重大数据安全事件(I级)、重大数据安全事件(II级)、较大数据安全事件(III级)和一般数据安全事件(IV级)。当数据安全事件同时满足多个级别的定级条件时,按最高级别确定数据安全事件等级。
(一)特别重大件(I级)
特别重大事件是指能够导致特别严重影响或破坏的数据安全事件,包括以下情况:
(1)500条以上师生个人信息数据丢失或被窃取、被损坏、被非法使用,造成特别重大经济损失的,或者特别重大损害公众利益,对学校师生产生极大负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生特别重大的社会影响;
(3)其他造成或可能造成特别重大危害或影响的数据安全事件。
(二)重大事件(II级)
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
(1)大于300条小于500条师生个人信息数据丢失或被窃取、被损坏、被非法使用,造成重大经济损失的,或者重大损害公众利益,对学校师生产生重大负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生重大的社会影响;
(3)其他造成或可能造成重大危害或影响的数据安全事件。
(三)较大事件(III级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
(1)大于100条少于300条师生个人信息数据丢失或被窃取、被损坏、被非法使用,造成严重经济损失的,或者严重损害公众利益,对学校师生产生严重负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生严重的社会影响;
(3)其他造成或可能造成较大危害或影响的数据安全事件。
4.一般事件(IV级)
(1)100条以内师生个人信息数据丢失或被窃取、被损坏、被非法使用造成一般经济损失的,或者一般损害公众利益,对学校师生产生一定负面影响;
(2)有条件共享数据和不予共享数据丢失或被窃取、篡改、假冒,产生一般的社会影响;
(3)其他造成或可能造成一般危害或影响的数据安全事件。
第四十三条 学校开展数据安全监测预警与信息通报,发现问题及时上报与处置。
第四十四条 各信息系统主管单位根据业务特点制定数据安全事件应急预案,建立数据安全应急处置流程,明确处置措施,定期开展数据安全事件应急演练。
第四十五条 定期组织开展数据安全教育宣传和培训,提升全员数据安全意识,确保数据安全策略的有效防护。
第十二章 附则
第四十六条 本办法由信息化处负责解释。
第四十七条 本办法自发布之日起执行,修订时亦同。
附件:leyu·乐鱼(中国)体育官方网站数据安全保密协议
