XX大学规范师生个人敏感信息使用管理
- 2024-10-07
- 2368
中共XX大学委员会办公室
关于进一步规范师生个人敏感信息使用管理的通知
各基层党委、党政群各部门、校直各单位:
近期我校二级网站上泄露师生个人敏感信息等事件时有发生。为进一步贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,按照上级部门对师生个人信息数据管理的相关文件和通知精神,做好在网络环境下师生个人信息保护,规范师生个人敏感信息使用管理,各单位在相关工作中必须遵守以下规定:
一、根据《信息安全技术个人信息安全规范》(GB/T 35273-2017)相关规定,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。根据学校实际情况,个人敏感信息还包括师生批量手机号码。
二、禁止发布师生个人敏感信息的网络环境是指互联网网站和信息平台、微博、微信公众号、微信群、QQ群和XX大学校园网内网的网站和各类应用系统等。
三、任何单位和个人禁止在网络环境以任何形式发布师生个人敏感信息,严禁批量发布。
四、在网络环境发布公示、公告和通知等信息时,确需公布个人身份证件信息时,必须有效遮盖身份证号码一半以上位数,确保身份证号码不被泄露。
五、未经学校批准,任何单位和个人不得以任何理由,私自采集学校范围内师生个人敏感信息,特别是个人生物识别信息;各单位未经单位主要负责人批准,任何人不得以任何理由,收集本单位师生个人敏感信息,特别是个人生物识别信息。
六、接触师生个人敏感信息的部门,严禁以任何形式向外单位或个人提供师生个人敏感信息。确因工作需要提供的,必须经学校批准,并签署保密协议。
七、接触师生个人敏感信息的部门,严禁以任何形式把师生个人敏感信息数据储存在校外数据中心及云平台,特别是境外的数据中心及云平台。
八、如违反上述规定,造成师生个人敏感信息泄露的,学校将视其后果、情节轻重,追究当事人和单位负责人的责任。
特此通知
中共XX大学委员会办公室
篇2:专科学校信息化中心机房运行管理办法
专科学校信息化中心机房运行管理办法
第一章总则
第一条 为科学、有效地管理信息化中心总机房,保证校园网络、设备、系统能够安全、高效运行,更好为学校教学、科研、管理和学生服务,结合我校实际情况,制定本办法。
第二章机房日常管理
第二条 管理目标是保证学校信息化中心设备与信息的安全,保障机房具有良好的运行环境和工作环境。
第三条 中心机房日常管理设定总负责人、设备负责人、安全负责人、防火安全负责人等,进行专人负责制。
第四条 机房钥匙要严格保管,不得随意转借,一旦丢失要及时报告并积极寻找,并采取有效措施予以补救。
第五条 无关人员未经批准不得进入机房,更不得动用机房设备、物品和资料,确因工作需要,相关人员需要进入机房操作必须经过安全负责人批准,方可在管理人员的指导或协同下进行。
第六条 机房应保持清洁、卫生,温度、湿度适可,机房内严禁吸烟,严禁携带食品、饮料、易燃、易爆物品及其他危险品进入机房。
第七条 消防物品要放在指定位置,任何人不得随意挪动;机房工作人员要掌握防火技能,消防负责人及其小组定期检查消防设施是否正常。出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理。
第八条 硬件设备要注意维护和保养,做到设备物卡相符、设备使用状态记录完整。
第九条 建立机房登记制度,对本校局域网、广域网的运行情况建立档案。未发生故障或故障隐患时,网管人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等要做好详细记录。
第十条 网管人员应做好网络安全工作,严格保密服务器的各种账号,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
第十一条 网管人员要对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改,安全负责人要定期检查。
第三章设备管理
第十二条 信息化中心人员对机房各种设备的使用需按操作程序或使用说明书进行。
第十三条 定期对硬件设备进行检查、测试和保养维护,确保其运行完好。
第十四条 服务器等贵重设备设专人保管,不得外借或由非专业人员单独操作。
第十五条 信息化中心的所有设备未经许可一律不得挪用和外借,特殊情况经批准后办理借用手续,借用期间如有损坏由借用单位或使用人员负责赔偿。
第十六条 硬件设备发生损坏、丢失等事故,应及时上报,填写报告单并按有关规定处理。
第十七条 信息化中心及其附属设备的管理(登记)与维修由网管人员负责。设备负责人每半年要核准一次设备登记情况。
第十八条 信息化中心系统服务器、网络安全设备、数据交换设备及其外围等设备由网管人员每周进行一次例行检查和维护,尤其是设备供电、运行状态是否正常等要时常检查和维护。
第十九条 每季度对机房精密空调室外机组合过滤网进行一次冲洗,每年对精密空调全部点前控制系统和制冷、除湿及进出水道进行一次全面检查。
第二十条 定期对UPS电源放电,当市电不停时,应每三个月对UPS电源的电池组进行一次维护性放电,每年进行一次全面维护。
第四章系统软件、应用软件管理
第二十一条 软件要定期进行系统维护与备份,备份至少保持一式两套,并存放在温度湿度适宜的磁介质库存中。
第二十二条 应用软件、应用数据应根据运行频率进行定期或不定期的备份工作,备份软件和数据亦应存放于的磁介质库存中。
第二十三条 应用软件的源程序除了在磁介质上备份以外,网管员应自己进行备份,以防应用程序发生意外,难以恢复。
第二十四条 为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使用手册和各种指南等资料,以便维护人员查阅。其资料未经许可,任何人不得拿出机房。
第二十五条 应用软件人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。
第二十六条 当应用软件修改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。
第二十七条 为确保软件系统的安全,磁介质除了应有专人管理外,还应配备防火器具,确立防磁、防静电、防灰尘等有效措施,磁介质保管要明确责任,遵守出入库制度。
第五章计算机病毒防范管理
第二十八条 网管人员应有较强的病毒防范意识,定期进行病毒检测(特别是服务器),发现病毒应立即处理。
第二十九条 依据防范规则,定期对防病毒软件进行检测升级。
第三十条 机房内服务器不得擅自安装与系统无关的软件;软件安装前须对安装文件进行病毒检测,安全方可安装;不得擅自在服务器上使用U盘、外存储设备。
第三十一条 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
第六章数据保密及数据备份管理
第三十二条 根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
第三十三条 禁止泄露、外借和转移专业数据信息。
第三十四条 未经批准不得随意更改业务数据。
第三十五条 网管人员制作数据的备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
第三十六条 业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
第三十七条 备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。
第三十八条 备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
第七章机房进出入管理
第三十九条 出入机房应注意锁好防盗门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。应主动拒绝陌生人进出机房。
第四十条 工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。如检查并锁上自己工作柜枱、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。
第四十一条 工作人员、到访人员出入应登记。
第四十二条 外来人员进入必须有专门的工作人员全面负责其行为安全。
第四十三条 未经主管领导批准,禁止将机房相关的钥匙、密码透露给其它人员,同时有责任对信息保密。对于遗失物品的情况要即时上报,并积极主动采取措施保证机房安全。
第四十四条 机房人员对机房安全制度上的漏洞和不完善的地方有责任及时提出改善建议。
第四十五条 禁止带领与机房工作无关的人员进出机房。
第四十六条 绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。
第四十七条 出现机房盗窃、破门、火警、水浸、110报警等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
第八章机房用电安全管理
第四十八条 机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。
第四十九条 机房人员应经常实习、掌握机房用电应急处理步骤、措施和要领。
第五十条 机房应安排有专业资质的人员定期检查供电、用电设备、设施。
第五十一条 不得乱拉乱接电线,应选用安全、有保证的供电、用电器材。
第五十二条 在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。
第五十三条 严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。
第五十四条 如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出解决。
第五十五条 机房人员对个人用电安全负责。外来人员需要用电的,必须得到机房管理人员允许,并使用安全和对机房设备影响最少的供电方式。
第五十六条 机房工作人员需要离开当前用电工作环境,应检查并保证工作环境的用电安全。
第五十七条 最后离开机房的工作人员,应检查所有用电设备,应关闭长时间带电运作可能会产生严重后果的用电设备。
第五十八条 禁止在无人看管下在机房中使用高温、炽热、产生火花的用电设备。
第五十九条 在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路保险的基础上使用。
第六十条 在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
第六十一条 在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。
第六十二条 应注意节约用电。
第九章机房消防安全管理
第六十三条 中心机房内禁止存放和使用易燃易爆物品,用过的抹布棉纱等物品,用后应随时存放在箱内或放在室外安全地点,不得乱扔。机房内严禁吸烟或携带打火机。未经中心防火负责人同意,机房内不得动用明火;现场必须使用电炉、喷灯时,应做好防火措施。
第六十四条 机房内应备有一定数量的灭火器,并指定人员负责定期检查。要协调学校保卫处定期检查防火设施,发现过期失效防火设备,及时通知信息化中心更换。
第六十五条 不允许在机房内擅自搭接电源,不得使用超大负荷电器。
第六十六条 机房附近施工应严格遵守用火规定,并做好防护措施。
第六十七条 机房内不同种类的测试电源,应使用不同种类的插座,以防插错高低压电源而造成机障和阻断,电源线要符合耐压标准。
第六十八条 任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得中心主管领导批准。工作人员更应保护消防设备不被破坏。
第六十九条 机房管理人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领以及灭火器的正确使用方法。
第七十条 根据实际情况配备消防设施,对消防设施不准擅自搬动、也不准挪作他用。
第七十一条 测试电器设备是否通电,只许使用测试仪表,禁止用手接触电器设备的带电部分和用短路等方法进行试验。
第七十二条 任何人不能随便更改消防系设备位置。如需更改必须取得主管领导的批准。
第七十三条 学校应定期消防常识培训、消防设备使用培训。如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
第七十四条 最后离开的机房工作人员,应检查消防设备的工作状态,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
第十章机房用水管理
第七十五条 禁止将供水管道和设施安装在机房内。
第七十六条 应格遵守张贴于相应位置的安全操作、警示以及安全指引。
第十一章机房巡检管理
第七十七条 每日对机房进行常规物理与技术巡检,检查网络及服务器设备运行状态和机房环境状况。
第七十八条 巡检时间:常规巡检在每工作日上、下班前二十分钟进行。
第七十九条 巡检内容:网络设备工作状态,服务器工作状态,机房环境温度、湿度等。
第八十条 物理巡检流程:
(1)首先检查UPS及列头柜电源有无异常;
(2)检查出口路由设备、核心交换设备、网络安全设备、应用服务器设备的通电及指示灯状态,电源与运行状态指示灯是否正常,有无异常告警;
(3)检查空调是否正常,机柜与环境温度是否过高;
(4)检查消防设施是否在位及正常完好;
(5)检查监控系统及其记录是否正常;
(6)填写机房巡检记录;
(7)最后离开时还应检查关闭机柜门、灯、机房门。
第八十一条 物理巡检后通过技术手段检查网络、汇聚设备、网站、系统是否正常运行,发现异常,按规范及时排除。
第十二章中心计算机使用和管理
第八十二条 信息化中心电脑管理和维护由专职管理人员负责,并完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
第八十三条 未经许可,不准随便动用中心电脑设备。
第八十四条 未经许可,任何人不准更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。
第八十五条 严格按规定程序开启和关闭电脑系统。
(1)开机流程:
接通电源→打开显示器、打印机等外设→开通电脑主机→按显示菜单提示,键入规定口令或密码→在权限内对工作任务进行操作。
(2)关机流程:
退出应用程序、各个子目录→关断主机→关闭显示器、打印机等外设→切断电源。
第八十六条 使用人员如发现计算机系统运行异常应及时与管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
第八十七条 外请人员对电脑进行维修时,单位应有人自始至终地陪同,电脑维修维护过程中,首先确保对单位信息进行拷贝,防止遗失。
第八十八条 凡因个人使用不当所造成的电脑维护费用和损失,使用者是否赔偿由学校视情况决定。
第八十九条 计算机及其相关设备的报废需经过信息化中心或专职人员鉴定,确认不符合使用要求后方可申请报废。
第十三章机房资料、文档和数据安全管理
第九十条 资料、文档、数据等必须有效组织、整理和归档备案。
第九十一条 禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其它无关人员或向外随意传播。
第九十二条 对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
第九十三条 重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
第十四章机房财产登记和保护管理
第九十四条 机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须建立一套较为完善的借取和归还制度进行管理。
第九十五条 机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,在使用完毕后,应将物品归还并存放于原处,不应随意摆放。
第九十六条 对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
第九十七条 未经主管领导同意,不允许向他人外借或提供机房设备和物品。
第十五章团队精神和相互协作
第九十八条 机房工作小组人员应树立团队协作精神。
第九十九条 任何将要发生的给其他人员工作和安排产生影响的事情,或需要与其他工作人员互相协调的事情,应先提出和协调一致,禁止个人独断独行的作风。
第百条 工作分工要明确,责任要到位、工作计划要清晰,工作总结要具体。
第百一条 小组人员有义务服从工作安排,并有义务对工作安排提出更加合理化建议和意见。
第百二条 营造民主协作的工作环境,任何人员有权利和义务组织、联络其他小组成员、主管领导等展开讨论、开展会议、及时反映问题、做到相互沟通、协同工作。
第十六章 附则
第百三条 本办法解释权归信息化中心。
第百四条 本办法自公布之日起执行。
篇3:专科学校信息安全管理制度
专科学校信息安全管理制度
为保证我校计算机网络的正常运行和健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、和国家有关法律规定,结合我校实际情况,针对信息安全,特制定本规定。
(一)学校局域网(校内网)信息安全制度
一、学校局域网(校内网)的工作人员和连入校内网络的所有用户必须遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律、法规,严格执行本条例。
二、校内网信息安全管理实施工作责任制和责任追究制。学校成立网络安全领导小组,建立健全的计算机网络安全管理制度,配备网络安全员,负责本部门内网络的信息安全管理工作。
三、校内网的管理部门是信息化中心,负责校内网的规划、建设、应用开发、运行维护与用户管理。保障网络信息、运行环境的安全;保障网络系统的正常及安全运行,用户上网采用工号登陆方式,上网操作人员须经信息中心考核合格后才能上网操作。
四、校内网的信息安全监查工作由信息化中心负责。校内网的所有工作人员和用户必须接受有关部门的监督检查,并采取的必要措施给予配合。
五、校内网的IP地址由信息化中心统一管理,任何人不得盗用未经合法申请的IP地址入网。
六、为了防止计算机病毒的侵入,凡接入校内网的工作站一律禁止使用软驱、光驱、移动硬盘、U盘等设备。如果要新安装必要的应用程序,必须事先向信息化中心申请并同意后,由信息化中心派专人在固定的机器上确保无病毒后再操作,同时做好操作记录。
七、禁止自行安装任何软、硬件,禁止更改、删除任何系统文件、设置等,违反规定造成病毒传播、系统软(硬)件损坏,对整个网络造成堵塞、瘫痪等严重后果的,按情节轻重严肃处理。
八、每台计算机必须安装防病毒软件,并定期对计算机进行查毒、杀毒,升级,落实预防措施。
九、校内网的计算机一律不准上公共网络(Internet),与公共网络严格物理隔离,以确保防止病毒的感染和扩散。
十、在校内网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动;不允许在网络上发布不真实的信息或散布计算机病毒;不允许通过网络进入未经授权使用的计算机系统;不得以不真实身份使用网络资源;不得窃取他人帐号、口令使用网络资源。
十一、校内网所有工作人员及用户必须对所提供的信息负责;不得利用计算机网络从事危害国家安全、泄露国家秘密的活动;不得查阅、复制和传播有碍秩序和淫秽、色情等不良的信息。
十一、校内网的所有用户有义务向网络管理员和有关部门报告违法犯罪行为和有害、不健康的信息,发现有上述行为者。用户必须在24小时内报告信息化中心。
十二、各部门、下属科室有关领导和网络管理员等应认真做好本部门上网人员思想品德教育和心理健康教育,各级领导、有关部门、下属科室,特别是各科室的网络安全管理人员应加强其科室其他职工的思想道德教育和有关计算机信息系统安全的法律法规教育。发现问题要加以引导、及时处理解决。
十三、为了切实做好病毒防治工作,确保计算机网络不会因感染病毒而造成停机和不必要的损失,全校各部门必须服从信息化中心人员的管理,积极配合做好工作。
十四、凡因违章操作,导致计算机系统病毒感染,造成严重后果者将追究当事人责任。
十五、本制度自下发之日起施行。