第一条 为贯彻落实《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,切实加强网络安全防护和保障能力,以及校园数据安全、网络个人信息安全,落实教育系统数据安全指导意见,结合学校实际,特制定本办法。
第二条 本办法所指的数据是指各类信息系统所覆盖的相关数据和线下数据。
第三条 学校数据管理按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则明确单位数据安全保护责任人,并签署保密协议。
第四条 学校数据信息主要用于教学、科研、管理、生活服务等。数据使用者需先签署《数据使用审批单》和《数据使用保密协议》,经由数据所在单位领导审核同意,并承诺在使用时必须保护数据的隐秘性,不得将数据信息用于申请授权使用范围外的活动。
第五条 各单位应按照学校有关网站信息系统管理等制度,严格执行信息发布审核机制,禁止发布各类危害国家安全,扰乱社会秩序的不良信息,以确保网站、自媒体等信息平台数据的安全性和有效性。
第六条 各单位应对发布的数据进行安全与内容的审核,任何单位、个人不得将教职工和学生的身份证号、电话号码、银行卡号、通讯地址等个人敏感信息直接发布在网站上(包括附件形式),如确需发布的,应严格按照要求将数据信息做脱敏处理,并在数据传输过程中进行数据加密。
第七条 严格落实上网实名认证管理制度,做到一人一号,严禁一号多用。校园网用户应妥善保管个人账号,严禁将账号转借他人使用。
第八条 个人电脑终端、服务器应做好数据安全防护,及时更新补丁,修复漏洞,安装正版杀毒软件。及时升级病毒库,定期杀毒,清理电脑、服务器的系统数据垃圾。
第九条 信息系统管理员用户名尽量避免administrator、admin等,禁止使用弱口令、默认口令、通用口令以及长期不变口令。密码应至少包含数字、大写字母、小写字母、特殊字符等三种以上的组合,严禁使用简单的数字或字母,避免被暴力猜解。
第十条 各单位进行线下个人信息收集、使用、加工、传输、提供、公开等相关工作时,均应遵循数据安全管理相关制度,明确责任人,落实数据安全管理责任。
第十一条 为保障数据安全,学校业务系统需按照要求完成等保定级,新开发的应用系统必须完成安全检测方可上线运行。
第十二条 针对外部公司代维护的业务系统,维护前需申请学校内堡垒机临时使用权限,通过堡垒机进行运维。
第十三条 未经批准,任何单位和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,将依照相关规定予以追责。
第十四条 本办法由信息中心负责解释,自印发之日起施行。