山东大学数据安全管理制度

山东大学数据安全管理制度一、山东大学数据安全管理制度

第一章总则

第一条为规范山东大学数据安全管理活动，保障学校信息系统和数据资产安全，维护学校、师生和国家的合法权益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规，结合学校实际情况，制定本制度。

第二条本制度适用于山东大学所有部门、全体师生员工以及与学校签订数据安全相关协议的第三方单位。学校所有数据处理活动均需遵循本制度的规定。

第三条学校设立数据安全领导小组，负责全校数据安全工作的统筹规划、组织协调和监督管理。领导小组由校领导牵头，信息中心、网络安全与信息化建设管理处、研究生院、教务处、人事处等相关部门负责人组成。

第四条信息中心作为学校数据安全的归口管理部门，负责数据安全技术的实施、监督和评估，提供数据安全咨询和培训服务。各部门应指定专人负责本部门的数据安全管理工作，并接受信息中心的指导和监督。

第五条学校数据安全管理遵循“统一领导、分级负责、全员参与、保障安全”的原则，确保数据全生命周期安全可控。

第二章数据分类分级

第六条学校数据按照敏感程度和重要程度分为四类：核心数据、重要数据、一般数据和公开数据。

第七条核心数据是指对学校安全、稳定、发展具有重大影响的数据，包括但不限于：学校财务数据、人事档案数据、科研经费数据、核心教学数据等。核心数据实行最高级别的保护措施。

第八条重要数据是指对学校正常运转具有重要影响的数据，包括但不限于：学生学籍数据、教职工工资数据、实验室安全数据等。重要数据需采取严格的访问控制和加密措施。

第九条一般数据是指对学校运行有辅助作用的数据，包括但不限于：日常办公数据、会议记录等。一般数据需确保不被非法获取和滥用。

第十条公开数据是指经学校批准向社会公开的数据，包括但不限于：学校公告、科研成果、招生信息等。公开数据需确保信息准确、合法、及时更新。

第三章数据安全保护措施

第十一条数据采集与传输安全

1.数据采集前需明确采集目的、范围和方式，确保采集活动合法合规。采集过程中需采取防窃取、防篡改措施，确保数据完整性。

2.数据传输应采用加密传输方式，避免数据在传输过程中被窃取或篡改。对敏感数据进行传输加密，确保数据传输安全。

第十二条数据存储安全

1.数据存储应采用专用存储设备，确保存储环境安全可靠。核心数据和重要数据需进行备份，并定期进行恢复测试。

2.存储设备应定期进行安全检查，防止硬件故障或人为破坏导致数据丢失。

第十三条数据访问控制

1.数据访问需遵循最小权限原则，即根据工作需要授予用户最低限度的访问权限。访问权限需定期进行审查和调整。

2.访问核心数据和重要数据的用户需进行身份认证和权限审批，确保访问行为的合法性。

3.访问日志需详细记录所有访问行为，包括访问时间、访问者、访问内容等，并定期进行审计。

第十四条数据使用安全

1.数据使用应遵循合法、正当、必要的原则，不得超出授权范围使用数据。

2.对敏感数据进行脱敏处理，防止数据泄露。脱敏后的数据可用于教学、科研等非敏感用途。

第十五条数据销毁安全

1.数据销毁应采用物理销毁或加密销毁方式，确保数据不可恢复。销毁过程需有专人监督，并做好销毁记录。

2.对存储设备进行报废处理时，需确保存储介质中的数据被彻底销毁。

第四章数据安全责任

第十六条学校领导对全校数据安全负总责，各部门负责人对本部门数据安全负直接责任。

第十七条信息中心负责全校数据安全的技术保障和监督工作，需定期进行数据安全评估和风险评估。

第十八条研究生院和教务处负责学生学籍数据和教学数据的安全管理，确保数据真实、完整、安全。

第十九条人事处负责教职工人事档案数据的安全管理，确保数据合法、合规、安全。

第二十条各部门需定期组织数据安全培训，提高师生员工的数据安全意识和技能。

第五章数据安全监督与检查

第二十一条信息中心负责定期对全校数据安全工作进行监督检查，发现问题及时整改。

第二十二条网络安全与信息化建设管理处负责对各部门数据安全工作进行抽查，确保本制度的有效执行。

第二十三条学校设立数据安全举报机制，鼓励师生员工对数据安全问题进行举报。对举报属实的问题，给予举报人奖励。

第六章数据安全事件处置

第二十四条学校成立数据安全事件应急小组，负责数据安全事件的应急处置工作。应急小组由信息中心、网络安全与信息化建设管理处、研究生院、教务处、人事处等部门人员组成。

第二十五条数据安全事件发生后，应急小组需立即启动应急预案，采取以下措施：

1.停止数据泄露或数据破坏行为，防止事态扩大。

2.确定事件原因和影响范围，评估事件损失。

3.采取补救措施，恢复数据安全。

4.向上级主管部门报告事件情况，并配合相关部门进行调查处理。

第二十六条数据安全事件处置完毕后，应急小组需进行事件总结，提出改进措施，防止类似事件再次发生。

第七章附则

第二十七条本制度由山东大学信息中心负责解释。

第二十八条本制度自发布之日起施行。

二、山东大学数据安全管理制度

第二章数据分类分级

第一节数据分类

第一条学校数据按照敏感程度和重要程度分为四类：核心数据、重要数据、一般数据和公开数据。分类标准需明确，确保各类数据界定清晰。

第二条核心数据是指对学校安全、稳定、发展具有重大影响的数据，包括但不限于：学校财务数据、人事档案数据、科研经费数据、核心教学数据等。核心数据需采取最高级别的保护措施，确保数据不被非法获取和滥用。

第三条重要数据是指对学校正常运转具有重要影响的数据，包括但不限于：学生学籍数据、教职工工资数据、实验室安全数据等。重要数据需采取严格的访问控制和加密措施，确保数据安全。

第四条一般数据是指对学校运行有辅助作用的数据，包括但不限于：日常办公数据、会议记录等。一般数据需确保不被非法获取和滥用，但需保证数据的完整性和可用性。

第五条公开数据是指经学校批准向社会公开的数据，包括但不限于：学校公告、科研成果、招生信息等。公开数据需确保信息准确、合法、及时更新，并符合国家相关法律法规的要求。

第二节数据分级

第六条数据分级需根据数据的敏感程度和重要程度进行划分，确保分级标准科学合理。数据分级需明确各级数据的保护措施和管理要求。

第七条核心数据需实行最高级别的保护措施，包括但不限于：物理隔离、访问控制、加密存储、定期备份等。核心数据需由专人负责管理，并接受信息中心的监督和检查。

第八条重要数据需采取严格的访问控制和加密措施，包括但不限于：访问权限控制、数据加密、访问日志记录等。重要数据需由部门负责人负责管理，并接受信息中心的指导和监督。

第九条一般数据需确保数据的完整性和可用性，包括但不限于：数据备份、访问控制等。一般数据需由部门负责人负责管理，并接受信息中心的监督和检查。

第十条公开数据需确保信息准确、合法、及时更新，并符合国家相关法律法规的要求。公开数据需由相关部门负责管理，并接受信息中心的指导和监督。

第三章数据安全保护措施

第一节数据采集与传输安全

第十一条数据采集前需明确采集目的、范围和方式，确保采集活动合法合规。采集过程中需采取防窃取、防篡改措施，确保数据完整性。数据采集需遵循最小必要原则，不得超出采集目的所需范围。

第十二条数据传输应采用加密传输方式，避免数据在传输过程中被窃取或篡改。对敏感数据进行传输加密，确保数据传输安全。传输过程中需采取防重放、防篡改措施，确保数据传输的可靠性。

第十三条数据传输需建立传输安全管理制度，明确传输流程、传输方式、传输设备等。传输过程中需对传输设备进行安全检查，防止设备故障或人为破坏导致数据泄露。

第二节数据存储安全

第十四条数据存储应采用专用存储设备，确保存储环境安全可靠。核心数据和重要数据需进行备份，并定期进行恢复测试。存储设备需定期进行安全检查，防止硬件故障或人为破坏导致数据丢失。

第十五条存储设备需采取物理隔离措施，防止未经授权的访问。存储设备需安装防火墙、入侵检测系统等安全设备，确保存储设备的安全。

第十六条存储设备需定期进行维护，确保存储设备的正常运行。存储设备需定期进行升级，提高存储设备的性能和安全性。

第三节数据访问控制

第十七条数据访问需遵循最小权限原则，即根据工作需要授予用户最低限度的访问权限。访问权限需定期进行审查和调整。访问权限的授予需经过审批流程，确保访问权限的合法性。

第十八条访问核心数据和重要数据的用户需进行身份认证和权限审批，确保访问行为的合法性。身份认证需采用多因素认证方式，提高身份认证的安全性。

第十九条访问日志需详细记录所有访问行为，包括访问时间、访问者、访问内容等，并定期进行审计。访问日志需妥善保存，防止被篡改或删除。

第二十条访问控制需建立访问控制管理制度，明确访问流程、访问方式、访问权限等。访问控制管理制度需定期进行审查和更新，确保访问控制管理制度的有效性。

第四节数据使用安全

第二十一条数据使用应遵循合法、正当、必要的原则，不得超出授权范围使用数据。数据使用需符合国家相关法律法规的要求，不得侵犯他人的合法权益。

第二十二条对敏感数据进行脱敏处理，防止数据泄露。脱敏后的数据可用于教学、科研等非敏感用途。脱敏处理需确保数据的可用性，同时防止数据泄露。

第二十三条数据使用需建立使用审批制度，明确使用流程、使用方式、使用权限等。数据使用审批制度需定期进行审查和更新，确保数据使用审批制度的有效性。

第五节数据销毁安全

第二十四条数据销毁应采用物理销毁或加密销毁方式，确保数据不可恢复。销毁过程需有专人监督，并做好销毁记录。数据销毁需符合国家相关法律法规的要求，防止数据泄露。

第二十五条对存储设备进行报废处理时，需确保存储介质中的数据被彻底销毁。存储设备销毁需采用专业设备进行销毁，确保数据不可恢复。

第二十六条数据销毁需建立销毁管理制度，明确销毁流程、销毁方式、销毁设备等。数据销毁管理制度需定期进行审查和更新，确保数据销毁管理制度的有效性。

第四章数据安全责任

第一节学校领导责任

第二十七条学校领导对全校数据安全负总责，需定期听取数据安全工作汇报，并采取措施提高全校数据安全水平。学校领导需亲自参与数据安全事件的应急处置工作，确保数据安全事件的得到妥善处理。

第二节部门责任

第二十八条各部门负责人对本部门数据安全负直接责任，需定期组织本部门数据安全工作，并采取措施提高本部门数据安全水平。部门负责人需定期参加数据安全培训，提高数据安全意识和技能。

第三节信息中心责任

第二十九条信息中心负责全校数据安全的技术保障和监督工作，需定期进行数据安全评估和风险评估。信息中心需建立数据安全管理制度，并监督制度的执行。

第四节其他部门责任

第三十条研究生院和教务处负责学生学籍数据和教学数据的安全管理，需采取措施确保数据真实、完整、安全。研究生院和教务处需定期进行数据安全培训，提高师生员工的数据安全意识和技能。

第三十一条人事处负责教职工人事档案数据的安全管理，需采取措施确保数据合法、合规、安全。人事处需定期进行数据安全培训，提高师生员工的数据安全意识和技能。

第五章数据安全监督与检查

第一节信息中心监督

第三十二条信息中心负责定期对全校数据安全工作进行监督检查，发现问题及时整改。信息中心需建立数据安全监督制度，明确监督流程、监督方式、监督内容等。

第三十三条信息中心需定期进行数据安全评估和风险评估，发现问题及时采取措施进行整改。信息中心需将数据安全评估和风险评估结果报学校领导审批。

第二节网络安全与信息化建设管理处监督

第三十四条网络安全与信息化建设管理处负责对各部门数据安全工作进行抽查，确保本制度的有效执行。网络安全与信息化建设管理处需建立数据安全检查制度，明确检查流程、检查方式、检查内容等。

第三十五条网络安全与信息化建设管理处需定期进行数据安全检查，发现问题及时督促相关部门进行整改。网络安全与信息化建设管理处需将数据安全检查结果报学校领导审批。

第三节举报机制

第三十六条学校设立数据安全举报机制，鼓励师生员工对数据安全问题进行举报。举报人需提供详细的信息，包括问题发生的时间、地点、涉及的人员、涉及的数据等。

第三十七条对举报属实的问题，给予举报人奖励。奖励需根据问题的严重程度和举报人的贡献进行确定。奖励方式可采用现金奖励、荣誉奖励等。

第三十八条网络安全与信息化建设管理处负责对举报进行核实，并采取措施进行整改。网络安全与信息化建设管理处需将举报处理结果报学校领导审批。

第六章数据安全事件处置

第一节应急小组

第三十九条学校成立数据安全事件应急小组，负责数据安全事件的应急处置工作。应急小组由信息中心、网络安全与信息化建设管理处、研究生院、教务处、人事处等部门人员组成。

第四十条应急小组需定期进行应急演练，提高应急处置能力。应急小组需建立应急预案，明确应急流程、应急措施、应急责任等。

第二节应急处置流程

第四十一条数据安全事件发生后，应急小组需立即启动应急预案，采取以下措施：

1.停止数据泄露或数据破坏行为，防止事态扩大。

2.确定事件原因和影响范围，评估事件损失。

3.采取补救措施，恢复数据安全。

4.向上级主管部门报告事件情况，并配合相关部门进行调查处理。

第三节应急处置措施

第四十二条应急处置措施需根据事件的严重程度和影响范围进行确定。应急处置措施需包括但不限于：隔离受影响系统、清除恶意软件、恢复数据备份、加强安全防护等。

第四十三条应急处置过程中需做好记录，包括事件发生的时间、地点、涉及的人员、涉及的数据、采取的措施等。应急处置记录需妥善保存，供后续调查和改进使用。

第四节应急处置总结

第四十四条数据安全事件处置完毕后，应急小组需进行事件总结，提出改进措施，防止类似事件再次发生。事件总结需包括事件原因分析、应急处置措施评估、改进措施建议等。

第四十五条应急小组需将事件总结报学校领导审批，并采取改进措施提高全校数据安全水平。

三、山东大学数据安全管理制度

第三章数据安全保护措施

第一节数据采集与传输安全

第十一条数据采集前需明确采集目的、范围和方式，确保采集活动合法合规。采集过程中需采取防窃取、防篡改措施，确保数据完整性。数据采集需遵循最小必要原则，不得超出采集目的所需范围。

第十二条数据传输应采用加密传输方式，避免数据在传输过程中被窃取或篡改。对敏感数据进行传输加密，确保数据传输安全。传输过程中需采取防重放、防篡改措施，确保数据传输的可靠性。

第十三条数据传输需建立传输安全管理制度，明确传输流程、传输方式、传输设备等。传输过程中需对传输设备进行安全检查，防止设备故障或人为破坏导致数据泄露。

第二节数据存储安全

第十四条数据存储应采用专用存储设备，确保存储环境安全可靠。核心数据和重要数据需进行备份，并定期进行恢复测试。存储设备需定期进行安全检查，防止硬件故障或人为破坏导致数据丢失。

第十五条存储设备需采取物理隔离措施，防止未经授权的访问。存储设备需安装防火墙、入侵检测系统等安全设备，确保存储设备的安全。

第十六条存储设备需定期进行维护，确保存储设备的正常运行。存储设备需定期进行升级，提高存储设备的性能和安全性。

第三节数据访问控制

第十七条数据访问需遵循最小权限原则，即根据工作需要授予用户最低限度的访问权限。访问权限需定期进行审查和调整。访问权限的授予需经过审批流程，确保访问权限的合法性。

第十八条访问核心数据和重要数据的用户需进行身份认证和权限审批，确保访问行为的合法性。身份认证需采用多因素认证方式，提高身份认证的安全性。

第十九条访问日志需详细记录所有访问行为，包括访问时间、访问者、访问内容等，并定期进行审计。访问日志需妥善保存，防止被篡改或删除。

第二十条访问控制需建立访问控制管理制度，明确访问流程、访问方式、访问权限等。访问控制管理制度需定期进行审查和更新，确保访问控制管理制度的有效性。

第四节数据使用安全

第二十一条数据使用应遵循合法、正当、必要的原则，不得超出授权范围使用数据。数据使用需符合国家相关法律法规的要求，不得侵犯他人的合法权益。

第二十二条对敏感数据进行脱敏处理，防止数据泄露。脱敏后的数据可用于教学、科研等非敏感用途。脱敏处理需确保数据的可用性，同时防止数据泄露。

第二十三條数据使用需建立使用审批制度，明确使用流程、使用方式、使用权限等。数据使用审批制度需定期进行审查和更新，确保数据使用审批制度的有效性。

第五节数据销毁安全

第二十四条数据销毁应采用物理销毁或加密销毁方式，确保数据不可恢复。销毁过程需有专人监督，并做好销毁记录。数据销毁需符合国家相关法律法规的要求，防止数据泄露。

第二十五条对存储设备进行报废处理时，需确保存储介质中的数据被彻底销毁。存储设备销毁需采用专业设备进行销毁，确保数据不可恢复。

第二十六条数据销毁需建立销毁管理制度，明确销毁流程、销毁方式、销毁设备等。数据销毁管理制度需定期进行审查和更新，确保数据销毁管理制度的有效性。

四、山东大学数据安全管理制度

第四章数据安全责任

第一节学校领导责任

第二十七条学校领导对全校数据安全负总责，需定期听取数据安全工作汇报，并采取措施提高全校数据安全水平。学校领导需亲自参与数据安全事件的应急处置工作，确保数据安全事件的得到妥善处理。

第二十八条学校领导需将数据安全工作纳入学校整体发展规划，确保数据安全工作有计划、有步骤地推进。学校领导需为数据安全工作提供必要的资源支持，包括人员、资金、设备等。

第二十九条学校领导需建立健全数据安全责任体系，明确各部门、各岗位的数据安全责任。学校领导需定期对数据安全责任体系进行评估和调整，确保责任体系的有效性。

第二节部门责任

第三十条各部门负责人对本部门数据安全负直接责任，需定期组织本部门数据安全工作，并采取措施提高本部门数据安全水平。部门负责人需定期参加数据安全培训，提高数据安全意识和技能。

第三十一条部门负责人需建立健全本部门数据安全管理制度，明确数据安全管理的流程、措施和要求。部门负责人需定期对本部门数据安全管理制度进行审查和更新，确保制度的有效性。

第三十二条部门负责人需定期组织本部门数据安全检查，发现问题及时采取措施进行整改。部门负责人需将本部门数据安全工作情况定期向信息中心报告。

第三十三条部门负责人需对本部门员工进行数据安全培训，提高员工的数据安全意识和技能。部门负责人需定期组织数据安全演练，提高员工的应急处置能力。

第三节信息中心责任

第三十四条信息中心负责全校数据安全的技术保障和监督工作，需定期进行数据安全评估和风险评估。信息中心需建立数据安全管理制度，并监督制度的执行。

第三十五条信息中心需建立数据安全技术团队，负责数据安全技术的研发、应用和维护。信息中心需定期对数据安全技术团队进行培训和考核，提高团队的技术水平。

第三十六条信息中心需定期进行数据安全漏洞扫描和风险评估，及时发现并修复数据安全漏洞。信息中心需将数据安全漏洞扫描和风险评估结果报学校领导审批。

第三十七条信息中心需建立数据安全事件应急响应机制，负责数据安全事件的应急处置工作。信息中心需定期进行应急演练，提高应急处置能力。

第四节其他部门责任

第三十八条研究生院和教务处负责学生学籍数据和教学数据的安全管理，需采取措施确保数据真实、完整、安全。研究生院和教务处需定期进行数据安全培训，提高师生员工的数据安全意识和技能。

第三十九条人事处负责教职工人事档案数据的安全管理，需采取措施确保数据合法、合规、安全。人事处需定期进行数据安全培训，提高师生员工的数据安全意识和技能。

第四十条各部门需定期组织数据安全培训，提高师生员工的数据安全意识和技能。各部门需定期组织数据安全演练，提高师生员工的应急处置能力。

第五章数据安全监督与检查

第一节信息中心监督

第四十一条信息中心负责定期对全校数据安全工作进行监督检查，发现问题及时整改。信息中心需建立数据安全监督制度，明确监督流程、监督方式、监督内容等。

第四十二条信息中心需定期进行数据安全评估和风险评估，发现问题及时采取措施进行整改。信息中心需将数据安全评估和风险评估结果报学校领导审批。

第四十三条信息中心需对各部门数据安全工作进行指导和培训，帮助各部门提高数据安全管理水平。信息中心需定期组织数据安全专家对各部门数据安全工作进行评估，提出改进建议。

第二节网络安全与信息化建设管理处监督

第四十四条网络安全与信息化建设管理处负责对各部门数据安全工作进行抽查，确保本制度的有效执行。网络安全与信息化建设管理处需建立数据安全检查制度，明确检查流程、检查方式、检查内容等。

第四十五条网络安全与信息化建设管理处需定期进行数据安全检查，发现问题及时督促相关部门进行整改。网络安全与信息化建设管理处需将数据安全检查结果报学校领导审批。

第四十六条网络安全与信息化建设管理处需建立数据安全通报制度，定期向全校通报数据安全检查结果和典型问题。网络安全与信息化建设管理处需对数据安全问题进行跟踪督办，确保问题得到及时解决。

第三节举报机制

第四十七条学校设立数据安全举报机制，鼓励师生员工对数据安全问题进行举报。举报人需提供详细的信息，包括问题发生的时间、地点、涉及的人员、涉及的数据等。

第四十八条对举报属实的问题，给予举报人奖励。奖励需根据问题的严重程度和举报人的贡献进行确定。奖励方式可采用现金奖励、荣誉奖励等。

第四十九条网络安全与信息化建设管理处负责对举报进行核实，并采取措施进行整改。网络安全与信息化建设管理处需将举报处理结果报学校领导审批。

第五十条网络安全与信息化建设管理处需对举报人进行保护，防止举报人受到打击报复。网络安全与信息化建设管理处需对举报人的个人信息进行保密，防止信息泄露。

五、山东大学数据安全管理制度

第六章数据安全事件处置

第一节应急小组

第五十一条学校成立数据安全事件应急小组，负责数据安全事件的应急处置工作。应急小组由信息中心、网络安全与信息化建设管理处、研究生院、教务处、人事处等部门人员组成。应急小组需明确组长、副组长及各成员的职责，确保应急处置工作的有序进行。

第五十二条应急小组需定期进行应急演练，提高应急处置能力。演练需模拟真实的数据安全事件场景，检验应急响应预案的可行性和有效性。演练结束后，应急小组需对演练过程进行评估，提出改进建议，并修订应急响应预案。

第五十三条应急小组需建立应急预案，明确应急流程、应急措施、应急责任等。应急预案需根据学校实际情况进行制定，并定期进行审查和更新。应急预案需包括事件报告、应急响应、事件处理、事件恢复、事件总结等环节。

第二节应急处置流程

第五十四条数据安全事件发生后，应急小组需立即启动应急预案，采取以下措施：

1.停止数据泄露或数据破坏行为，防止事态扩大。应急小组需迅速确定事件发生的位置和范围，采取措施隔离受影响的系统，防止事件进一步扩散。

2.确定事件原因和影响范围，评估事件损失。应急小组需组织专家对事件进行初步调查，确定事件的原因和影响范围，评估事件造成的损失。

3.采取补救措施，恢复数据安全。应急小组需根据事件的情况，采取相应的补救措施，如数据恢复、系统修复、漏洞修补等，尽快恢复数据安全。

4.向上级主管部门报告事件情况，并配合相关部门进行调查处理。应急小组需及时向上级主管部门报告事件情况，并积极配合相关部门进行调查处理。

第三节应急处置措施

第五十五条应急处置措施需根据事件的严重程度和影响范围进行确定。应急处置措施需包括但不限于：隔离受影响系统、清除恶意软件、恢复数据备份、加强安全防护等。

第五十六条隔离受影响系统是应急处置的首要步骤，需迅速切断受影响系统与网络的连接，防止事件进一步扩散。应急小组需对受影响的系统进行安全检查，确定安全风险，并采取措施消除风险。

第五十七条清除恶意软件是应急处置的重要环节，需迅速识别并清除恶意软件，防止恶意软件对系统造成进一步的破坏。应急小组需使用专业的安全工具对系统进行扫描，清除恶意软件，并对系统进行修复。

第五十八条恢复数据备份是应急处置的关键步骤，需尽快恢复受影响的数据，确保数据的完整性和可用性。应急小组需从备份中恢复数据，并对恢复的数据进行验证，确保数据的准确性。

第五十九