第一条 为加强和规范学校数据安全管理工作,切实保障重要业务数据与个人信息安全,维护学校和广大师生的合法权益, 保证各类数据完整、合理有序使用,提升数据全生命期安全防控能力,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等相关法律和标准,特制定本办法。
第二条 本办法所称“数据”包括校内各应用系统、教学资源系统、网站、专用数据库等信息系统产生和保存的数据,包括但不限于原始数据、经清洗比对和分析挖掘后形成的衍生数据, 以及没有信息系统支撑但已进行电子化维护和保存的各类信息。 涉及国家秘密的数据安全管理,按照国家相关法律和规定执行。
第三条 本办法所称“数据安全”是指数据的所有者、管理者、使用者和服务提供者等在数据活动中,对数据采取保护的策略和措施,包括但不限于防范数据泄露、窃取、篡改、伪造、勒 索及不当使用等风险与危害的能力、状态和行为。
第四条 本办法所规定的数据安全管理基本要求,适用于学校各类业务系统及个人信息在数据采集、传输、存储、处理、交 换、销毁等活动中,对数据进行的安全保护和监督管理等工作。 如涉及保密工作的,按照保密法规和标准执行;涉及密码工作的, 按照国家密码管理规定执行。
第五条 学校网络安全和信息化工作领导小组是学校数据安全工作的领导机构,负责学校数据安全工作的战略决策、实施监督及重大数据安全事件处理决策指导。网络安全和信息化工作领 导小组办公室设在信息技术中心,由信息技术中心负责统筹数据安全管理工作,建立数据全生命周期的安全保障机制和监督检查机制,制定和评审学校信息系统数据安全策略、安全标准、数据 定级、安全工作流程和有关规章制度,定期对各部门信息系统数 据安全情况进行检查、考核。
第六条 信息技术中心是数据安全的技术支撑部门,做好数据规划与管理工作,规范数据收集管理,统筹学校事业发展数据 的安全保障工作。负责组织开展数据安全评估,保障学校公共数据中台(以下简称数据中台)的运维安全。
第七条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负 责”的原则,建立健全数据安全责任体系。各单位对本单位信息 系统的数据安全负直接责任。各单位负责人为本单位数据安全管理第一责任人,各单位应指定本单位的数据管理员,数据管理员为数据安全管理直接责任人。
第八条 数据安全保障遵循分级保护的原则,基于数据重要性、敏感性确定数据等级,根据数据等级明确保护措施。
(一)第一级数据:即公开数据,是指国家、教育行业、学校公开的数据标准、代码信息,以及学校主动公开和依申请公开的行政数据和业务数据。
(二)第二级数据:即内部数据,是指不予公开,但可在一定范围内共享的数据,包括各部门、学院和特定对象间共享的数据,按照职能收集并为公共服务、管理决策提供支撑的数据。
(三)第三级数据:即敏感数据,是指一旦遭篡改、泄露、 丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法 人和其他组织的合法权益造成严重损害的数据。
第九条 各单位须根据分级要求确定数据等级,并报信息中心备案。
第十条 各单位利用信息系统采集数据应遵循最小化原则, 并明确采集依据、范围、数量和用途,原则上不得超越各单位的工作职能采集数据。
第十一条 各单位须按照“一数一源”的原则,优先从学校数据中台获取已有数据,原则上不得重复采集数据。
第十二条 新建信息系统应在建设方案中明确数据采集内容,提供数据资源目录与表结构。信息技术中心对数据采集的必要性和合理性进行审核。
第十三条 各单位建设、管理和使用的信息系统应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施,并制定数据备份、数据恢复策略和操作规范,确保数据安全和系统稳定运行。
第十四条 原则上数据须存储在校内,数据应保存在信息技术中心维护的数据中心或学校指定的数据中心。所有数据不得保存至境外服务器。因业务原因确需保存至公有云端储存的,应事先开展安全评估,并在通过国家云计算服务安全评估的公有云平台进行储存。
第十五条 在线内部数据和敏感数据传输应采用加密传输信道或专线,以保证数据传输的机密性和完整性。离线的敏感数据应加密后传输,且不得使用社会电子邮件系统、聊天平台等方式。
第十六条 数据中台主要包括支撑各类应用系统运行的中 心数据库、代码标准、数据标准与质量管理、数据交换服务等。 各业务系统数据统一从数据中台获取交换,业务系统之间不得跳 过数据中台私自交换数据。未经信息技术中心审批,严禁将学校业务数据与校外系统交换。
第十七条 信息技术中心负责学校数据中台建设与安全管理,各单位应基于学校数据中台实施本部门信息化建设。从数据中台获取的数据原则上只能用于业务系统对接使用,不得随意导出数据文件,确需查询导出的,须经单位领导同意并做好防毒防盗及保密工作,未经授权不得向第三方机构或个人提供所申请的 数据。
第十八条 在提供服务过程中,应综合利用师生个人生物识别信息(人脸、指纹等),不得使用人脸识别作为身份验证的唯一手段。
第十九条 各单位因开发对接需要,把数据接口及数据内容信息交给第三方时,必须与第三方签订学校提供的《数据安全使用协议》(附件)。
第二十条 针对第三方代维护的业务系统,维护前需申请校内堡垒机临时使用权限,通过堡垒机进行运维。
第二十一条 业务系统建设期间,建设方需提供数据库的 结构设计、表结构、数据字典、数据库管理账号及密码等。系统验收移交到单位后必须修改用户名密码。各业务系统数据应遵从学校统一数据标准规范设计,数据源头单位有义务确保各自所维护的数据的及时性和准确性,按照需求向数据中台共享数据。
第二十二条 各单位应在信息技术中心的指导和协助下, 结合本单位实际情况,制定数据维护与管理规范,明确数据维护的权限和职责,制定数据维护的规程。
第二十三条 数据源头单位应当建立完整的数据录入和审核制度,明确责任人,及时进行数据的录入和更新,确保与实际业务同步,并及时审核新产生的数据,做到录入审核过程可追溯。
第二十四条 各单位只能维护本单位职责和管理范围内的数据,每项数据单一源头,保障数据权威与准确;未经本单位数 据安全管理责任人授权,不得越过应用系统直接对数据实施修正、补充、更新、删除等操作。禁止所有单位在各自的信息系统 中维护本单位职责范围以外的数据,避免重复录入,确保数据一致性。
第二十五条 各单位的数据管理员应加强数据监控,及时、 有效地进行信息的反馈和核查,不断提高数据质量。信息技术中心定期组织专业网络安全机构实施系统安全检查,不符合相关安全防范要求的单位必须及时对其应用系统进行整改。
第二十六条 在各类信息系统中,应严格按照岗位设置数据维护权限,规范权限的分配和管理。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。 各系统用户应当定期更改自己的口令,确保数据的安全。
第二十七条 数据管理员调离时,必须按规定移交全部技术资料和数据,设有口令密钥的要及时进行更换。
第二十八条 数据使用单位负责下发的数据管理,落实使用完毕的数据清理和销毁工作,对数据的安全、保密负责。
第二十九条 对数据的各项操作实行日志管理,严格监控操作过程,对发现的数据安全问题,要及时处理和上报。未经批准,系统管理员不得直接对后台数据库进行数据更改操作,确需后台操作的,必须上报分管领导批准,并在对数据库进行备份后进行。同时,详细记录操作过程及数据更改情况,存档备查。
第三十条 未经信息技术中心许可,不得随意在信息系统的 服务器上安装其他软件。信息系统主机或存储设备发生故障时, 要尽量现场维修,确需要送出维修时,须去掉存储部件或备份数 据后删除数据。
第三十一条 注销的信息化项目或报废的存储设备,确保 承载的信息数据被清理后,方可进行注销或报废处理。
第三十二条 数据源头单位原则上必须通过业务系统采集数据。数据源头单位应对采集的个人信息进行审核和及时更新, 确保个人信息的准确性和完整性。师生个人信息如发生变更或采 集的数据有误,可向数据源头单位提出更新申请,数据源头单位 应及时更新个人信息。各单位进行线下个人信息收集、使用、加 工、传输、提供、公开等相关工作时,均应遵循数据安全管理相 关制度,明确责任人,落实数据安全管理责任。
第三十三条 学校各单位或个人在公开网站上或公开出版物上所展示的数据不得涉及学校内部信息或个人隐私信息,凡涉及学校内部信息的内容,必须是已经通过OA系统审核发布的。
第三十四条 校内师生为其个人信息所有者,在学校信息化建设中,师生有权查询、更正、补充本人的个人信息,保证信息的准确性和完整性,并需在信息化应用过程中妥善保管。师生 有权对信息化建设中违规处置个人信息的行为向数据源头单位进行反馈,或向信息技术中心报告。由于师生个人原因造成个人信息泄露、损坏或丢失的,由本人承担相应责任;如对他人个人信息造成不良影响的,应追究相关责任人的责任。
第三十五条 数据源头单位采集到的个人信息,除存储在 相关的业务系统数据库中,还应通过学校相关数据交换途径,交 换到学校数据中台。
第三十六条 依照本办法获取的个人信息,经过匿名化、 脱敏处理后无法识别特定个人且不能复原的,经过数据源头单位 审批后,可应用于学校的科学研究,研究成果归学校所有。
第三十七条 对于非学校信息化工作中的个人信息查询, 原则上只接受公安部门和上级主管部门依法依规的查询请求。查 询请求受理单位为数据源头单位,其他业务单位不得接受查询请求,也不得进行个人信息查询和提供个人信息数据。
第三十八条 只有相关法律法规和学校制度有明确规定需 要公开的个人信息,方可进行公开。公开个人信息遵循最小化原则,严禁超范围公开其他相关信息。个人敏感信息进行脱敏处理 后方可公开。各单位应对发布的数据进行安全与内容的审核,任 何单位、个人不得将教职工和学生的身份证号、电话号码、银行 卡号、通讯地址等个人敏感信息直接发布在网站上(包括附件形式)。如确需发布的,应严格按照要求将数据信息做脱敏处理, 并在数据传输过程中进行数据加密。
第三十九条 各单位应严格执行信息发布审核机制,禁止发布各类危害国家安全、扰乱社会秩序的不良信息,以确保网站、 自媒体等信息平台数据的安全性。
第四十条 学校网络安全和信息化工作领导小组办公室负 责学校数据安全和个人信息保护工作落实情况的监督检查,建立健全数据安全监督检查机制,并联合相关单位定期组织开展学校 数据安全风险评估检查工作,及时发现数据安全问题并督促相关 部门进行整改。
第四十一条 网络安全和信息化工作领导小组对发生重大 数据安全事件报告和处置不及时、不到位的单位进行问责。构成违法和犯罪的,移交司法机关处理。
第四十二条 为能够迅速有效处置数据安全事件,建立健 全数据安全事件应急工作机制,提高应对数据安全事件的能力, 规范日常数据安全事件应急预案管理工作,在国家和省内相关数 据安全事件应急预案的框架下,依据学校的实际情况,制定数据 安全事件应急预案。具体条款要求见《中国美术学院数据安全事 件应急预案》。
第四十三条 本办法自发布之日起施行,由信息技术中心 负责解释。
中国美术学院数据安全使用协议看附件最后
信息技术中心
南山电话:0571-87164613象山电话:0571-87200083
良渚电话:0571-87602213办公邮箱:nio@caa.edu.cn
微信服务号
中国美术学院版权所有 © 2025 China Academy of Art
附件: