第一章 总 则

第一条 根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《信息安全技术网络安全等级保护基本要求GB/T22239-2019》、《信息安全技术个人信息安全规范 GB/T35273-2020》和教育部等七部门《关于加强教育系统数据安全工作的通知》（教科信函（2021）20号）等要求，为维护广大师生和学院的合法权益，规范学院通过信息化手段开展的数据活动，保障个人信息和重要数据资产安全，结合学院实际，制定本办法。

第二条 适用范围。本办法所指的数据包括学院各部门在履行职能时，通过任何以电子或者其他方式对信息的记录，覆盖数据采集、存储传输、处理使用、共享开放等数据全生命周期活动。涉及国家秘密信息的数据安全管理，按照国家相关法律和规定执行。

第三条 基本原则。本办法遵循一数一源、最小够用、分级保护、安全合规的原则，从管理和技术两个维度，重点保障个人信息安全和重要数据资产安全，全面提高校园数据安全保障能力。

第二章 工作职责

第四条 学院网络安全与信息化工作领导小组统筹学院数据安全工作，负责学院数据安全工作的战略决策、实施监督及重大数据安全事件处置。

网络安全与信息化工作领导小组下设办公室，办公室设在网络信息中心，负责制定学院数据安全的总体规划、数据安全工作检查及考评机制，协调重大数据安全事件的处置。

第五条 网络信息中心负责统筹数据安全管理工作，制定数据安全管理制度，建立数据全生命周期的安全保障机制和监督检查机制。同时作为数据安全的技术支撑部门，负责组织开展数据安全评估，负责校本公共数据平台的建设与安全管理、各信息系统业务数据库与公共数据平台的数据交换，以及业务数据的质量核检。公共数据平台包括数据标准规范管理、数据质量管理、数据交换平台、数据服务平台、数据应用平台等。

第六条 学院各部门遵循“谁主管谁负责、谁审核谁负责、谁使用谁负责”的原则，对本部门信息系统的数据安全负责，要编制信息系统资源目录，提出数据分级建议，明确数据防护措施，保障数据安全。各部门应对所有数据使用人员进行身份验证，防止未授权、超授权访问各类数据，账户权限以最小化原则分配，操作人员权限分离，防止越权访问数据的情况。各部门党政负责人是本部门数据安全保护工作第一责任人。

第三章 数据分类分级

第七条 数据安全保障遵循分类分级保护的原则，基于数据重要性、敏感性确定数据等级，根据数据等级明确保护措施。数据资产应按照学院各部门对数据的需求自行确定梳理周期，同时在发生重大更变后应及时对数据资产进行梳理确保其准确性、完整性。

（一）第一级数据：即不敏感数据，是指国家、教育行业、学院公开的数据标准、代码信息，以及学院主动公开和依申请公开的行政数据和业务数据。

（二）第二级数据：即低敏感数据，是指不予公开，但可在一定范围内共享的数据，包括各部门、系部和特定对象间共享的数据。按照职能收集并为公共服务、管理决策提供支撑的数据。

（三）第三级数据：即较敏感数据，是指一旦遭篡改、泄露、丢失、损毁后，对公民、法人和其他组织的合法权益造成一般损害的数据。

（四）第四级数据：即敏感数据，是指一旦遭篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成严重损害的数据。

第八条 信息系统数据可根据其属性和重要程度划分为基础数据、业务数据、关键数据、个人数据等类别。业务部门须根据分级要求确定数据等级，并报网络信息中心备案。确定为第三级及以上数据的，经网络信息中心审核后，报网络安全与信息化工作领导小组审核。

第四章 数据采集安全

第九条 学院各部门须按照“一数一源”“一次采集，多次使用”的原则，优先通过共享方式从学院公共数据平台获取数据。原则上不得重复收集数据。

第十条 业务主管部门（数据源部门）采集到的数据，应明确采集依据、范围、数量和用途，遵循数据采合法正当、目的明确和最小够用等原则，并告知被采集部门和个人。

第十一条 业务主管部门（数据源部门）采集到的数据，除存储在相关的业务系统数据库中，还应按照学院数据接口规范的要求交换公共数据平台。

第十二条 新建信息系统应在建设方案中明确数据收集内容和拟定数据等级，提供数据资源目录与表结构。网络信息中心对数据收集的必要性和数据等级的合理性进行审核。

第十三条 已建系统因升级改造或业务调整新增数据收集项目的，应及时更新数据资源目录与表结构，并反馈至网络信息中心。

第五章 数据存储传输安全

第十四条 学院各部门对本部门信息系统数据的存储、传输和使用承担相应责任，须明确数据存储和传输的安全策略，应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施，个人信息或敏感数据应采用符合国家要求的密码算法进行加密存储，确保数据安全和系统稳定运行。

第十五条 数据原则上须存储在校内，所有数据不得保存至境外服务器。因业务原因确需保存至公有云端储存的，应事先开展安全评估并在通过国家云计算服务安全评估的公有云平台进行储存。

第十六条 敏感数据传输应采用加密传输信道或专线，以保证数据传输的机密性和完整性，且不得使用社会电子邮件系统、聊天平台等方式传递。

第六章 数据处理使用安全

第十七条 学院各部门在申请使用共享数据资源时，须征得网络信息中心和业务主管部门（数据源部门）同意，并承担相应数据安全管理责任。在提交数据资源申请前，须签订《15vip太阳集团官网数据安全保密承诺书》。申请的数据原则上只能用于业务系统对接使用，不得随意导出数据文件，未经业务主管部门（数据源部门）同意不得向第三方机构或个人提供所申请的数据。学院各部门在提供数据时，应明确规定本部门和第三方处理数据的责任和义务，同时对数据进行安全审计。

第十八条 学院各部门在进行数据共享活动时，应约定共享数据的目的、范围、处理方式，采取必要的数据安全保护措施，并对数据共享活动进行监督。

第十九条 学院各部门负责下发数据的安全，落实使用完毕的数据清理和销毁工作，对数据的安全、保密负责，设置销毁相关监督角色，对销毁过程进行记录。

第二十条 学院各部门应认真履行职责，发现数据下发异常的情况，应及时与网络信息中心联系处理。

第二十一条 注销的信息化项目或报废的存储设备，确保承载的信息数据被清理后，方可进行注销或报废处理。

第二十二条 学院各部门因违反信息安全保密管理等规定，导致敏感信息泄露的，网络信息中心有权关闭相关数据接口权限。涉嫌违法犯罪的，移交司法机关处理。

第七章 数据安全监督管理

第二十三条 学院各部门应积极配合学院网络安全与信息化工作领导小组、网络信息中心进行检查、审计，落实数据安全责任制度，规范数据管理，加强安全防范。

第二十四条 学院网络安全与信息化工作领导小组对发生重大数据安全事件报告处置不及时、不到位的部门进行问责，构成违法和犯罪的，移交司法机关处理。

第八章 附 则

第二十五条 本办法自发文之日起施行，由学院网络安全与信息工作化领导小组办公室负责解释。