衡陽技師學院個人信息
內部管理制度及操作規程
按中華人民共和國主席令第九十一號《中華人民共和國個人信息保護法》文件要求,結合學院實際情況,特制定衡陽技師學院個人信息內部管理制度及操作規程如下。
一、個人信息內部管理制度
1、學院組織人事處、教務處、計劃財務處及各二級學院是學院教職員工信息管理的主體責任部門,要不斷完善教職員工個人信息安全的規章制度,加強教職員工信息安全管理。與教職員工信息相關部門也要加強教職員工信息的管理工作,確保教職員工的信息不泄露。
2、學生工作處、教務處和各二級學院是學院學生學籍信息管理的主體責任部門,要不斷完善學籍管理和學生信息安全的規章制度,加強學籍管理和學生信息安全管理。與學生信息相關部門也要加強學生信息管理工作,確保學生信息不泄露。
3、凡使用、查詢教職員工(含離職、退休員工)、學生信息(含畢業生和在校生)的部門和個人,均需填寫《衡陽技師學院個人信息使用申請表》(見附件一),履行審批手續后方可使用;使用人和使用部門對所使用的數據安全負責,使用過的電子版(紙質版)數據要及時刪除或銷毀。
4、學院涉及掌握教職員工或學生信息的相關部門工作人員,要加強相關法律法規和院內文件的學習,加強教職員工、學生信息安全管理,教職員工、學生數據要專人專管,嚴格履行使用審批手續。
5、各部門涉及教職員工、學生信息的管理系統、賬號、密碼、密鑰要專人管理,妥善保管,嚴防個人信息泄露;學信網、學院學籍管理系統等涉密系統嚴禁拍照。
6、嚴禁將涉及教職員工或學生身份證號、銀行卡號、手機號、郵箱等信息在QQ、微信等社交媒體上傳播。
7、信息中心依據國家有關網絡信息安全管理的政策規定和要求,不斷加強學院網絡信息安全管理與防護措施,認真落實各項保密制度,開展網絡信息安全巡檢,排查隱患,保障學校網絡信息安全,確保計算機網絡系統和信息中心不發生泄密情況。發現違反保密規定或有失、泄密行為的問題時,及時制止、阻斷傳播途徑并報上級領導。
8、各部門、二級學院要切實做好對主管的各類網站和信息系統(包括部門主頁、下設機構網站以及各個公眾號等)的信息安全管理工作,落實網站和信息系統信息發布審核和保密審查機制,加強數據使用和信息發布的規范管理,落實重要時期信息安全負責人與管理員值班制度,保持聯系暢通,確保安全穩定。
9、各部門、二級學院可參照本制度制定本部門的管理辦法,做好本單位教職員工、學生信息安全日常管理工作和重大事件期間網絡安全保障工作,規范教職員工、學生信息使用,確保信息安全。
二、個人信息操作規程
1、個人信息的收集
一是需要保證收集的目的與方式是合法、正當、必要、誠信的;二是范圍要限于實現處理目的的最小范圍,不得過度收集個人信息;三是處理個人信息,需要在個人充分知情的前提下自愿、明確的取得個人授權。四是對于敏感個人信息處理、向其他數據處理者提供個人信息,需要取得個人的單獨同意書。
2、個人信息的傳輸
個人信息處理者需采取安全措施,如數據脫敏、加密、去標識化、權限控制、防泄露監測等防止未經授權的訪問以及個人信息泄露、篡改、丟失。
3、個人信息的存儲
在校內收集的個人信息的應當存儲在校內;確需向校外提供的,應當進行安全評估。存儲時亦需采取加密、去標識化、權限控制等安全措施,防止未經授權的訪問以及個人信息泄露、篡改、丟失。個人信息的保存期限應當為實現處理目的所必要的最短時間。
4、個人信息的使用
在處理個人信息時,需采取以下措施:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案。
5、個人信息的刪除:
有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人撤回同意;
(三)個人信息處理者違反法律、行政法規或者違反約定處理個人信息。