第一章 总 则
第一条为规范学院通过信息化手段开展的数据活动,保障个人信息和重要数据安全,维护广大师生和学院的合法权益,根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《信息安全技术网络安全等级保护基本要求》、《民航领域数据分类分级办法》、《学院党委网络安全工作责任制实施细则》等文件要求,制定本规定。
第二条本规定所指的数据包括学院相应业务职能部门(以下简称部门)在履行职能时,通过信息化手段获取的业务数据和统计数据,覆盖数据采集、存储传输、处理使用、共享开放等数据全生命周期活动。涉及国家秘密信息的数据安全管理,按照国家相关法律和规定执行。
第三条本规定遵循一数一源、最小够用、分级保护、安全合规的原则,从管理和技术两个维度,按照“谁管业务、谁管业务数据、谁管数据安全”的原则,重点保障个人信息安全和重要数据安全,全面提高校园数据安全保障能力。
第二章 工作职责
第四条学院网络信息安全工作小组是数据安全与个人信息保护工作的领导机构,主要职责是负责学院数据安全战略、目标和任务的制定,贯彻落实上级有关部门关于数据安全与个人信息保护工作的发展战略、宏观规划、重大政策和工作部署,统一领导、统一谋划、统一部署学院的数据安全与个人信息保护工作,统筹协调和决策学院数据安全与个人信息保护工作中的重大问题等。
第五条学院网络信息安全工作小组主要负责组织落实工作小组的各项决议与工作部署,研究制定数据安全与个人信息保护工作发展规划、工作计划、规章制度和标准规范,建立覆盖数据采集、存储传输、处理使用、开放共享等全生命周期的数据安全保障和监督检查机制,协调处理数据安全重大突发事件有关应急工作等,会同学院其它部门做好数据规划与管理工作,规范数据收集管理,统筹学院数据的安全保障工作。
第六条各部门对本部门信息系统的数据安全负直接责任,编制信息系统资源目录,提出数据分级建议,明确不同等级数据防护措施,保障数据安全。按照“关键操作、多人完成、分权制衡”的原则,数据操作要有授权,操作人员和授权人员分离。
第三章 数据分类分级
第七条数据安全保障遵循分类分级保护的原则,基于数据重要性、敏感性确定数据等级,根据数据等级明确保护措施。具体可参照《教育系统核心数据和重要数据识别认定工作指南(试行)》。
第四章 数据收集的安全保障
第八条各部门须按照“一数一源”的原则,应从数据源头采集数据,以保障数据的权威、准确和可靠,避免歧义。应采取适当的技术和管理措施持续保障数据的准确性、唯一性、规范性和时效性。优先通过共享方式从学院的数据中心获取数据。原则上不得重复收集数据。
第九条各部门利用信息系统收集数据应遵循最小化原则,并明确收集依据、范围、数量和用途。
第十条新建信息系统应在建设方案中明确数据收集内容和拟定数据等级,提供数据资源目录与表结构。学院网络信息安全工作小组办公室对数据收集的必要性和数据等级的合理性进行审核。
第十一条已建系统因升级改造或业务调整新增数据收集项目的,应及时更新数据资源目录与表结构,并反馈至学院网络信息安全工作小组办公室。
第十二条计划收集个人信息的应当参照国家有关标准,采用数据分类、脱敏、备份、加密等措施加强对个人信息和重要数据保护。数据如需出境的参照国家《数据出境安全评估办法》执行。
第五章 数据存储传输的安全保障
第十三条各部门须明确数据存储和传输的安全策略,确保数据安全和系统稳定运行。
第十四条学院各类信息系统的核心和敏感数据原则上应集中存储在学院的数据中心,杜绝将业务部门的核心和敏感数据存放在个人电脑或部门不相关的服务器上。确实需要将数据存放到公有云或校外商用IDC的,需经过学院网络信息安全工作小组的安全评估和审批。所有数据不得保存至境外服务器。
第十五条应当对利用生物特征(人脸、步态、指纹、虹膜、声纹等)进行个人身份认证的必要性、安全性进行风险评估。未经评估,一律不得擅自利用。不得将个人生物特征作为身份认证的唯一方式。个人信息属于敏感数据,包括但不限于个人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息的收集、处理和利用应当遵循合法、正当、必要的原则,应用与共享必须与收集目的一致,不得违反国家法律、法规和学院相关规定。
第六章 数据中心建设与安全保障
第十六条数据中心主要包括支撑各类应用系统运行的中心数据库、代码标准、数据标准与质量管理、数据交换服务等。
第十七条学院网络信息安全工作小组办公室负责学院数据中心建设与安全管理、各信息系统业务数据库与数据中心的数据交换,以及业务数据的质量核检。
第十八条各部门应基于学院数据中心实施本部门信息化建设。在提交数据资源申请前,须签订《上海民航职业技术学院信息化安全保密承诺书》,申请的数据原则上只能用于业务系统对接使用,不得随意导出数据文件,确需查询导出的,须经部门领导同意并做好防毒防盗及保密工作,未经授权不得向第三方机构或个人提供所申请的数据。
第十九条数据共享遵循“谁主管谁负责、谁审核谁负责、谁使用谁负责”的原则。
第二十条业务部门因开发对接需要,把数据接口密钥信息交给第三方时,必须与第三方签订数据安全保密协议。
第二十一条各部门的信息员应认真履行职责,发现数据下发异常的情况,应及时与学院网络信息安全工作小组办公室联系处理。
第二十二条数据使用部门负责下发数据的管理,落实使用完毕的数据清理和销毁工作,对数据的安全、保密负责。
第二十三条校内师生为其个人信息所有者,在学院信息化建设中,师生有权查询、更正、补充本人的个人信息,有权对信息化建设中违规处置个人信息的行为向数据源头部门进行反馈或向学院网络信息安全工作小组办公室报告。
第二十四条校内师生作为个人信息的所有者,应当及时更新信息化建设中使用到的个人信息,保证信息的准确性和完整性,并在信息化应用过程中妥善保管。由于师生个人原因造成个人信息泄露、损坏或丢失的,由本人承担相应责任;如对他人个人信息造成不良影响的,应追究相关责任人的责任。
第二十五条业务主管部门原则上必须通过业务系统采集数据,不允许线下采集。业务主管部门应对采集的个人信息进行审核和及时更新,确保个人信息的准确性和完整性。师生个人信息如发生变更或采集的数据有误,可向业务主管部门提出更新申请,业务主管部门应及时更新个人信息。
第二十六条业务主管部门采集到的个人信息,除存储在相关的业务系统数据库中,还应通过学院相关数据交换途径,交换到学院数据中心。
第二十七条依照本规定获取的个人信息,经过匿名化、脱敏处理后无法识别特定个人且不能复原的,经过数据源部门审批后,可应用于学院的科学研究,研究成果归学院所有。
第二十八条对于非学院信息化工作中的个人信息查询,原则上只接受公安部门和上级主管部门依法依规的查询请求。查询请求受理部门为数据源头部门,其他业务部门不得接受查询请求,也不得进行个人信息查询和提供个人信息数据。
第二十九条只有相关法律法规和学院制度有明确规定需要公开的个人信息,方可进行公开。公开个人信息遵循最小化原则,严禁超范围公开其他相关信息。个人敏感信息进行脱敏处理后方可公开。
第三十条注销的信息化项目或报废的存储设备,确保承载的信息数据被清理后,方可进行注销或报废处理。
第三十一条各部门因违反信息安全保密管理等规定,导致敏感信息泄露的,学院网络信息安全工作小组办公室有权关闭相关数据接口权限。涉嫌违法犯罪的,移交司法机关处理。
第七章 数据安全监督管理
第三十二条各部门应积极配合网络信息安全工作小组、审计部门进行检查、审计,落实数据安全责任制度,规范数据管理,加强安全防范。网络信息安全工作小组办公室设在图文信息中心,负责落实及组织协调相关网络信息安全工作。
第三十三条网络信息安全工作小组对发生重大数据安全事件报告处置不及时、不到位的部门进行问责。构成违法和犯罪的,移交司法机关处理。
第八章 附 则
第三十四条本规定自发文之日起施行,由学院网络信息安全工作小组办公室负责解释。
网络信息安全工作小组办公室
2023年12月1日
