衡阳技师学院个人信息
内部管理制度及操作规程
按中华人民共和国主席令第九十一号《中华人民共和国个人信息保护法》文件要求,结合学院实际情况,特制定衡阳技师学院个人信息内部管理制度及操作规程如下。
一、个人信息内部管理制度
1、学院组织人事处、教务处、计划财务处及各二级学院是学院教职员工信息管理的主体责任部门,要不断完善教职员工个人信息安全的规章制度,加强教职员工信息安全管理。与教职员工信息相关部门也要加强教职员工信息的管理工作,确保教职员工的信息不泄露。
2、学生工作处、教务处和各二级学院是学院学生学籍信息管理的主体责任部门,要不断完善学籍管理和学生信息安全的规章制度,加强学籍管理和学生信息安全管理。与学生信息相关部门也要加强学生信息管理工作,确保学生信息不泄露。
3、凡使用、查询教职员工(含离职、退休员工)、学生信息(含毕业生和在校生)的部门和个人,均需填写《衡阳技师学院个人信息使用申请表》(见附件一),履行审批手续后方可使用;使用人和使用部门对所使用的数据安全负责,使用过的电子版(纸质版)数据要及时删除或销毁。
4、学院涉及掌握教职员工或学生信息的相关部门工作人员,要加强相关法律法规和院内文件的学习,加强教职员工、学生信息安全管理,教职员工、学生数据要专人专管,严格履行使用审批手续。
5、各部门涉及教职员工、学生信息的管理系统、账号、密码、密钥要专人管理,妥善保管,严防个人信息泄露;学信网、学院学籍管理系统等涉密系统严禁拍照。
6、严禁将涉及教职员工或学生身份证号、银行卡号、手机号、邮箱等信息在QQ、微信等社交媒体上传播。
7、信息中心依据国家有关网络信息安全管理的政策规定和要求,不断加强学院网络信息安全管理与防护措施,认真落实各项保密制度,开展网络信息安全巡检,排查隐患,保障学校网络信息安全,确保计算机网络系统和信息中心不发生泄密情况。发现违反保密规定或有失、泄密行为的问题时,及时制止、阻断传播途径并报上级领导。
8、各部门、二级学院要切实做好对主管的各类网站和信息系统(包括部门主页、下设机构网站以及各个公众号等)的信息安全管理工作,落实网站和信息系统信息发布审核和保密审查机制,加强数据使用和信息发布的规范管理,落实重要时期信息安全负责人与管理员值班制度,保持联系畅通,确保安全稳定。
9、各部门、二级学院可参照本制度制定本部门的管理办法,做好本单位教职员工、学生信息安全日常管理工作和重大事件期间网络安全保障工作,规范教职员工、学生信息使用,确保信息安全。
二、个人信息操作规程
1、个人信息的收集
一是需要保证收集的目的与方式是合法、正当、必要、诚信的;二是范围要限于实现处理目的的最小范围,不得过度收集个人信息;三是处理个人信息,需要在个人充分知情的前提下自愿、明确的取得个人授权。四是对于敏感个人信息处理、向其他数据处理者提供个人信息,需要取得个人的单独同意书。
2、个人信息的传输
个人信息处理者需采取安全措施,如数据脱敏、加密、去标识化、权限控制、防泄露监测等防止未经授权的访问以及个人信息泄露、篡改、丢失。
3、个人信息的存储
在校内收集的个人信息的应当存储在校内;确需向校外提供的,应当进行安全评估。存储时亦需采取加密、去标识化、权限控制等安全措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。个人信息的保存期限应当为实现处理目的所必要的最短时间。
4、个人信息的使用
在处理个人信息时,需采取以下措施:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案。
5、个人信息的删除:
有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人撤回同意;
(三)个人信息处理者违反法律、行政法规或者违反约定处理个人信息。