大学用户信息访问权限分级规定

大学用户信息访问权限分级规定

一、总则

1.目的

为了保护大学全体师生员工的个人信息安全，确保学校信息资源合理、

合法、安全地被访同和使用，依据国家相关法律法规以及学校的教育

理念和管理要求，特制定本规定。本规定旨在平衡信息共享与安全保

护之间的关系，促进学校教学、科研、管理等各项工作的顺利开展，

同时保障师生的合法权益。

2.适用范围

本规定适用于大学内所有教职员工、学生以及其他与学校有业务往来

并需要访问学校用户信息的人员。涵盖学校各级管理部门、教学单位、

科研机构等所有涉及信息访问的场景。

3.基本原则

-合法性原则：所有信息访问行为必须符合国家法律法规以及学

校的相关规定，确保信息获取与使用的正当性。

-必要性原则：信息访问权限应基于工作、学习的实际需要进行

授予，避免过度授权。只有在为完成特定任务且没有其他替代方式时,

才授予相应的访问权限。

-最小化原则：根据用户的角色和职责，授予其完成工作所需的

最少信息访问权限，以降低信息泄露风险。

-安全性原则：采取必要的技术和管理措施，保障信息在访问过

程中的保密性、完整性和可用性，防止信息被非法获取、篡改或破坏。

-公开透明原则：信息访问权限的设定、变更和管理过程应保持

公开透明，向相关人员明确说明权限范围和使用规则。

二、组织架构与职责划分

1.信息安全管理委员会

-组成：由学校主管信息化工作的校领导担任主任，成员包括各

主要职能部门负责人、信息安全专家等。

-职责：全面领导和统筹学校的信息安全工作，制定信息安全战

略和政策，审议重大信息安全决策，协调解决信息安全工作中的重大

问题，对信息访问权限分级规定的制定、修订和执行情况进行监督和

指导。

2.信息化管理部门

-职责：负责具体实施信息访问权限的管理工作。包括制定和维

护信息访问权限管理流程，对用户信息访问权限进行审核、分配、变

更和撤销；建立和维护信息访问权限数据库，记录用户权限的相关信

息；开展信息安全技术防护工作，保障信息系统的安全稳定运行；对

违反信息访问权限规定的行为进行调查和处理，并及时向信息安全管

理委员会报告。

3.各部门与学院

-职责：各部匚和学院负责人为本部门信息安全管理的第一责任

人，负责组织本部匚人员学习信息访问权限相关规定，明确本部门人

员的工作职责与信息访问需求；协助信息化管理部门进行信息访问权

限的审核工作，提供真实、准确的用户信息和权限需求说明；对本部

门人员的信息访问行为进行日常监督和管理，发现违规行为及时制止

并上报。

三、管理流程

1.权限申请

-用户提出申请：教职员工、学生因工作、学习需要访问特定用

户信息时，应向所在部门或学院提出书面申请。申请内容应详细说明

访问信息的目的、范围、期限等。

一部门审核：所在部门或学院对申请进行初步审核，确认申请的

必要性和合理性。审核通过后，由部门负责人签字并加盖部门公章，

提交至信息化管理部门。

2.权限审批

-信息化管理部门初审：信息化管理部门收到申请后，对申请内

容进行进一步审核，检查申请是否符合学校的信息访问权限分级规定

和相关政策，核实用户身份信息等。如申请材料不完整或不符合要求,

通知申请人补充或修改。

-信息安全管理委员会终审：对于涉及重要或敏感信息的访问申

请，信息化管理部门初审通过后，提交信息安全管理委员会进行终审。

信息安全管理委员会根据学校的整体利益和信息安全要求，做出最终

审批决定。

3.权限授予

-权限配置：经审批通过后，信息化管理部门按照审批结果为用

户配置相应的信息访问权限。在权限配置过程中，严格遵循最小化原

则，确保用户仅获得完成工作所需的最少信息访问权限。

-通知用户：权限配置完成后，信息化管理部门以书面或电子方

式通知用户权限已授予，并告知用户相关的信息访问规则和注意事项。

4.权限变更与撤销

-权限变更：当用户的工作职责、岗位发生变动，需要调整信息

访问权限时，用户或所在部门应及时向信息化管理部门提出权限变更

申请。信息化管理部门按照权限申请和审批流程进行处理，对用户的

权限进行相应调整。

-权限撤销：当用户离职、毕业或不再需要访问相关信息时，所

在部门应及时通知信息化管理部门撤销其信息访问权限。信息化管理

部门在接到通知后，立即对用户的权限进行撤销操作，并确保用户无

法再访问相应信息。

四、权利与义务

1.用户权利

-知情权：用户有权了解学校信息访问权限分级规定的相关内容,

以及自己所拥有的信息访问权限范围、访问规则和注意事项。

-合理申请权：用户因工作、学习需要，有权按照规定流程提出

信息访问权限申请，且申请应得到及时、公正的审核和处理。

-监督权：用户有权对信息访问权限管理过程中的不公正、不合

理行为进行监督和投诉，学校应建立相应的投诉处理机制，保障用户

的合法权益。

2.用户义务

-遵守规定：出户必须严格遵守国家法律法规、学校的信息访问

权限分级规定以及相关信息安全管理制度，不得利用信息访问权限从

事任何违法、违规活动。

-保护信息安全：用户有贡任保护所访问信息的安全，不得泄露、

篡改、传播信息。在使用信息过程中，应采取必要的安全措施，如妥

善保管账号密码、不随意在不安全的环境中访问信息等。

-配合管理：用户应积极配合学校信息化管理部门和所在部门的

信息访问权限管理工作，如实提供个人信息和权限需求，及时更新联

系方式等信息。当发现信息访问权限存在异常情况时，应及时向相关

部门报告。

五、监督与奖惩机制

1.监督机制

-日常监督：信息化管理部门通过技术手段和管理措施，对信息

访问行为进行日常监控和审计。包括记录用户的访问操作、访问时间、

访问内容等信息，定期对访问记录进行分析，及时发现异常访问行为。

-内部监督：各部门和学院应加强对本部门人员信息访问行为的

内部监督，定期开展信息安全自查工作，发现问题及时整改，并向信

息化管理部门报告。

-外部监督：鼓励师生员工对发现的信息访问违规行为进行举报,

学校设立专门的举报渠道，对举报信息进行严格保密，并及时进行调

查处理。

2.奖励机制

-表彰奖励：对于在信息安全保护和信息访问权限管理工作中表

现突出的部门、个人，学校将给予表彰和奖励。如授予“信息安全先

进单位”“信息安全优秀个人”等荣誉称号，并给予一定的物质奖励。

-激励措施：对积极提出信息访问权限管理优化建议且被学校采

纳的用户，学校将给予适当的奖励，以鼓励师生参与信息安全管理工

作。

3.惩罚机制

-违规处理：对于违反信息访问权限分级规定的用户，学校将视

情节轻重给予相应的处理。处理措施包括警告、通报批评、限制或取

消信息访问权限、纪律处分等；构成违法犯罪的，将依法移送司法机

关处理。

-责任追究：对于因信息访问违规行为给学校或他人造成损失的,

相关责任人应承担相应的赔偿责任。同时，对因管理不善导致本部门

出现信息访问违规行为的部门负责人，将追究其管理责任。

六、附则

1.解释权

本规定由学校信息安全管理委员会负责解释。在实施过程中，如遇特

殊情况或需要进一步明确规定内容，信息安全管理委员会有权做出相

应的解释和说明。

2.修订

本规定