第一章 总 则
第一条 为切实加强德州学院(以下简称“学校”) 的信息安全工作,防范和杜绝各种泄密事件的发生,保护和合理利用公司秘密,确保公司信息披露的公平、公正,保障公司及其他利益相关者的合法权益不受侵犯,根据有关法律、法规并结合学校实际,制定本管理办法。
第二条 保密信息是指不为公众所知悉,关系公司利益,具有实用性并经公司采取保密措施保护的技术信息、师生信息和管理信息等,在一定时间内只限一定范围人员知悉的信息。
第三条 学校各单位以及全体师生都有保守学校秘密的义务,都应做好信息保密工作。
第四条 信息保密工作,实行积极防范、突出重点、既确保秘密又便于工作,并充分履行信息披露义务的方针。
第二章 保密信息范围和密级确定
第五条 保密信息包括但不限于以下事项和行为:
(一)涉及学校管理,或对学校有重大影响,一旦泄密将给学校带来损失的信息;
(二)包括以书面和电子等方式存在的各种信息;
(三)其他与学校相关的需要保密的信息。
第六条 保密信息的密级分为“1 级”、“2 级”、“3 级”三个等级。
(一)1级数据:数据的安全性遭到破坏后,可能对学校合法权益造成一定影响,但不影响国家安全、公众权益及个人隐私。
(二)2级数据:数据的安全性遭到破坏后,对相关个人隐私造成中等或轻微影响,或对学校合法权益造成中等影响,但不影响国家安全。
(三)3级数据:数据的安全性遭到破坏后,对公众权益造成严重影响,或对相关个人隐私及学校合法权益造成严重的影响,影响国家安全。
第七条 所有信息用户,都应该遵守学校策略,基于信息密级来进行恰当的使用和处理。下表列出了对不同级别信息的相关处理规定信息资产责任人可以在此基础上提出附加的控制要求以便更好地控制访问,保护信息。
|
3级 |
2级 |
1级 |
内部公开 |
电子介质标注要求 |
在文件封面及内部都应该标注 |
在明显处标注 |
在明显处标注 |
无标注要求 |
硬拷贝标注要求 |
如果是活页则每一页都需标注;如果是一体的则只需在封面封底或首页标注;其他介质表面标注 |
在明显处标注 |
在明显处标注 |
无标注要求 |
授权 |
需得到主要负责人批准 |
需得到主要负责人批准 |
需得到主要负责人批准 |
无特别要求 |
访问 |
只能被得到授权的学校极少数核心人员访问,需签署特别保密协议 |
只能被学校内部或外部得到明确授权的人员访问,访问者应该签署保密协议 |
可以被学校内部或外部因为业务需要的人员访问,访问者应该签署保密协议 |
任何师生或因为业务需要的人员都可以访问 |
存储 |
电子类的应该加密存储在安全的计算机系统内;硬拷贝应该锁在安全的保险柜内;禁止以其他形式存储或显示 |
电子类的应该妥善保存在设有安全控制的计算机系统内(建议进行信息加密);硬拷贝应该妥善保管,严禁摆放在桌面;使用白板展示后应立即擦除 |
电子类的应该妥善保管,可以进行加密;纸质不应放在桌面 |
以恰当方式保存,避免被非授权人员看到;存储有信息的介质避免丢失 |
复制 |
得到主要负责人批准,需要登记 |
须经主要负责人批准,并让专人操作或监督实施,需要登记 |
经主要负责人批准 |
内部复制无限制 |
打印 |
禁止打印(或在授权情况下专人负责打印,不得打印到无人值守机) |
须经主要负责人许可,打印件标注密级并妥善管理,不得打印到无人值守机 |
经相关责任人许可,打印件标注密 级并妥善管理 |
无限制,打印件标注密级 |
邮件 |
禁止邮件直接发送,经授权后做电子签名和加密控制,经安全的途径发送,保留记录 |
须经主要负责人许可,邮件发送应做加密控制,保留记录 |
经主要负责人许可 |
无限制 |
传真 |
禁止传真 |
须经主要负责人许可后专人负责传真 |
经主要负责人许可 |
无限制 |
快递 |
经授权后采取妥善的保护措施,由专人快递 |
经授权后,由签署了特定安全协议的专门的快递公司快递 |
经授权后,由签署了特定安全协议的专门的快递公司快递 |
无限制 |
内部分发 |
经主要负责人批准后,密封分发,或以允许的电子分发形式进行安全的分发 |
经主要负责人批准后,密封分发,或以允许的电子分发形式进行安全的分发 |
经授权后,内部邮件形式发放,或直接进行硬拷贝分发 |
无限制 |
对外分发 |
经相关责任人和公司管理层批准后分发,需要签署特定得保密协议,需要进行登记 |
经相关责任人批准后分发,需签署保密协议,需要进行登记 |
经授权后,以邮件或者快递方式分发,建议签署保密协议 |
经授权后,以允许的分发方式分发 |
处理 |
碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认 |
碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认 |
保存件标明作废;电子记录定期消除;介质销毁 |
电子记录定期消除,介质销毁 |
记录跟踪 |
直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录 |
跟踪文件复制、保存、浏览、销毁过程,应有记录 |
无要求 |
不建议跟踪 |
第八条 属于学校秘密的载体(如图纸、资料、录音、录象、软盘、光盘、硬盘等),应当依据本制度第六条、第七条的规定进行相应标注。保密期限届满,自行解密或经批准,提前解密。
第三章 主要涉密部门、人员范围及授权管理
第九条 学校主要涉密单位包括:校长办公室、纪委、组织部、宣传部、统战部、学生处、人事处、教务处、科研处、财务处、资产处、网络与教育技术中心等部门。
第十条 学校主要涉密人员包括:校领导、列入主要涉密部门的全体员工、负责保密事项制作、保管的人员、学校主要涉密部门根据需要临时或专门指定的部门或岗位人员、学校临时聘用的接触涉密工作的外部工作人员。
学校可根据保密信息的具体情况,要求涉密人员签署保密协议。
第十一条 各部门负责人为本部门的保密工作负责人,网络中心为学校保密工作管理部门,负责监督和检查各部门的保密工作;组织解决密级不明确或者有争议的事项并负责组织处理学校的泄密事件。
第十二条保密工作授权管理:
三级事项(含载体),由绝密事项生成部门指定专人负责做好标识,妥善保管,并建好记录、台帐,定期统一移交信息中心管理。绝密事项的发放、传阅均需经相关学校领导批准,并应限制在一定时间内返还保管。
二级事项(含载体),由机密事项生成部门指定专人负责做好标识,妥善保管,并建好记录、台帐,定期统一移交网络中心管理。机密事项的发放,传阅需经相关学校领导或其授权的部门批准,并应限制在一定时间内返还保管。
一级事项(含载体),由秘密事项生成部门指定专人负责做好标识,妥善保管,并建好记录、台帐,定期统一移交网络中心管理。机密事项的发放,传阅需经学校领导批准,并应限制在一定时间内返还保管。
第四章 保密管理
第十三条 传阅保密材料由机要人员统一掌握,划定传阅范围,不得自行扩大,不得让无关人员查看,控制传阅文件的交接,以防丢失。
第十四条 不得擅自翻印、复印、传抄秘密文件、资料;不得在公共场所谈论秘密事项,不得在私人通讯中涉及秘密内容。保密材料复印件应视同原件管理,复印过程的废页应及时销毁。
第十五条 保密材料严格按照批准的份数打印,不得擅自多印多留,草稿视同原件一样管理,打印过程形成的废页、废件应及时销毁。
第十六条 传递保密材料要有保密措施,传递应专送,不得办理无关事项,密件不得携入不利于保密的场所。
第十七条 做好通讯中的保密工作,不在无保密措施的电话、传真机上传递保密材料。
第十八条 做好学校重要会议的保密工作,会址应选择有利于保密的地方,严格控制无关人员进入,严禁滥发会议文件,会后检查有无遗漏材料。
第十九条 做好办公自动化中的保密工作,对保密材料加设浏览和下载权限。
第五章 泄密的处理
第二十条 泄密是指下列行为之一:
(一)使学校秘密被不应知悉者知悉的;
(二)使学校秘密超过了限定的接触范围,而不能证明未被不应知悉者知悉的。
第二十一条 学校发生或者发现泄密事件,应当在知悉泄密事件后及时报告部门领导处。
第二十二条 发生泄密事件的部门,应根据情况及时采取补救措施,最大限度减少泄密造成的损失。处置泄密事件,应做到如下几点:
(一)任何部门和个人应积极配合有关部门查明事发原因;
(二)应对责任人进行处理,以增强保密意识;
(三)采取纠正和预防措施,防止类似泄密事件的再次发生。
第六章 信息资产管理的生命周期
第二十三条 信息资产管理的生命周期包括:信息资产的创建、使用、维护及处置四个阶段。
(一)创建
在这一阶段的信息资产既包括新创建的信息资产,开启一个新的项目,还包括购买的信息资产及变更后的信息资产。并按照以下步骤来完成信息资产的创建。
步骤 |
描述 |
责任人 |
识别信息资产所有者 |
信息资产所有者应该是在现存的资产管理策略中定义的,假如在现存的策略中没有定义的话,信息资产所有者一般被指派为部门/项目经理,识别方法与步骤,请参 见本文档的第3章节。 |
信息资产所有者 |
识别安全需求 |
资产本身面临的风险和弱点; 指定的安全需求; 学校业内部的制度、目标、需求; 相关的法律、法规 |
信息资产所有者 |
验收 |
安全代表应该协助信息资产所有者进行验收,以保证信息资产的安全需求得到满足,并将保管人和使用者的安 全需求应该传达者信息资产所有者。根据与第三方签订的合同或设备验收清单来进行验收。 |
信息资产所有者 |
对资产进行收集、分类,更新资产清单 |
信息资产被验收后,安全代表应该帮助信息资产所有者进行分类,并对资产清单进行更新。 |
信息资产所有者 |
风险评估 |
安全代表应该协助信息资产所有者识别、分析及评估新的信息资产所面临的风险。 |
信息资产所有者 |
风险处理 |
风险评估之后,安全代表应该帮助信息资产所有者选择正确的控制措施来保护信息资产,并且使其满足业务安全需求。 |
信息资产所有者 |
培训 |
信息资产所有者应该就选择的控制措施对资产的保管者和使用者进行培训,确保资产保管者和使用者正确实施所选择的控制措施。相关培训方式与内容,请参见《信息安全培训管理过程》。 |
信息资产所有者 |
(二)使用
信息资产在使用、处理、传输过程中,应该按照信息资产的等级来实施保护。
类型 |
描述 |
责任人 |
纸质/电子数据 |
所有的纸质或电子数据都应该有一个保管人,其职责是在工作职责范围内使用该信息,并避免泄露给他人,或进行工作职责范围之外的修改。当教职工离职或转岗时,纸质或电子数据应当被收回,并且清除原电脑或复制的信息。 |
信息资产所有者 |
软件 |
所有的应用或软件都应该有一个保管人,其职责是避免软件资产因丢失而泄露;所有的软件版权和介质应该由IT资源管理人员来保管,防止未授权使用。当教职工离职或转岗时,软件版权将会被收回;如有必要,可卸载或删除其使用的软件资源。 |
信息资产所有者 |
硬件 |
所有的硬件资产必须有清晰职责的保管人和使用者;当硬件资产被使用和管理时,硬件资产所有者和保管者应该防止硬件被破坏,防止存储在硬件中的信息被泄露或误用;无人值守的设备也应该要设置一个保管人,并应该强制实施 适宜的安全控制措施。 |
信息资产所有者 |
(三)维护
信息资产所有者应该对信息资产或资产清单进行定期维护。
步骤 |
描述 |
责任人 |
检查安全需求 |
根据业务安全需求、法律法规需求、合同需求及环境变更,信息资产所有者有责任对资产的安全需求和采取的控制措施进行至少每年一次的检查和回顾;当有关键信息资产进行变更时,信息资产所有者也应该对其安全需求进行回顾。 |
信息资产所有者 |
重新评估安全风险 |
对于识别的主要风险,信息资产所有者应该要至少每年一次重新信息资产的风险。 |
信息资产所有者 |
检查访问控制清单 |
信息资产所有者应该至少 每个月检查一次绝密信息的访问控制清单,每两个月检查一次机密信息的访问控制清单,以确保仅被授权的用户可访问信息资产。 |
信息资产所有者 |
人员异动 |
当有员工离职、转岗时,信息资产所有者应该检查实施的安全控制措施;当有新员工入职时,信息资产所有者应负责对其进行信息安全培训。 |
信息资产所有者 |
信息资产变更 |
当信息资产变更或初始分类变更时,信息资产所有者应该更新资产清单,根据现实环境对资产价值进行重新评定。 |
信息资产所有者 |
(四)处置
当信息资产超过其生命周期时,信息资产应该被销毁或重用。
步骤 |
描述 |
责任人 |
信息资产的保留 |
信息资产应该在一定的周期内予以保留。假如信息资产未达到保留期限,信息资产是不能被销毁的;否则,信息资产应该被销毁; |
信息资产所有者 |
信息资产的重用 |
介质或设备重用之前,信息资产所有者应该清除存储在介质或设备中的数据,防止造成敏感信息的泄露,并将之前的访问控制权限应该彻底移除。 |
信息资产所有者 |
信息资产的销毁 |
只有信息资产超过其生命周期才能进行销毁,并采取安全的销毁方式,以防止信息的泄露,同时应该将信息资产的访问控制权限一并移除;最后,信息资产所有者应更新资产清单,并给已销毁的资产打上“销毁”标识。 |
信息资产所有者 |
第七章 责任与奖惩
第二十四条 符合下列情形之一者,学校对有关部门或人员给予表彰或奖励:
(一)及时举报泄密事件,且避免可能由此造成学校损失的;
(二)非责任人及时采取补救措施,避免或最大限度减少泄密造成损失的;
(三)在改进保密技术、保密措施等方面取得显著成绩的。
第二十五条 出现下列情况之一者,给予警告,或采取适当的经济处罚:
(一)泄露学校秘密,尚未造成严重后果或经济损失的;
(二)已泄露学校秘密但采取了补救措施的。
第二十六条 出现下列情况之一者,应予以辞退,情节严重的,将依法追究相关法律责任:
(一)故意或过失泄露学校秘密,造成严重后果或重大经济损失的;
(二)违反本制度规定,为他人窃取、刺探、收买或提供学校秘密的;
(三)利用职权强制他人违反保密规定的。
第八章 附则
第二十七条 本管理办法未尽事宜,按国家相关法律规定办理。
第二十八条 本管理办法解释权属德州学院网络与教育技术中心。
第二十九条 本办法自印发之日起施行。
