第一章 总则
第一条 为规范数据安全管理,保护学校数据资源安全,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规,结合学校数据资源管理实际,制定本办法。
第二条 本办法所指的数据资源是指学校各部门在人、财、物管理及服务师生等过程中采集、产生、积累的各类信息化数据资源,含信息系统数据和管理过程中人工处理的数据。
第三条 数据安全管理遵循“一数一源、最小必要、安全合规、分级保护、优先共享”原则;数据安全责任体系建设坚持“谁主管谁负责、谁运维谁负责、谁使用谁负责”原则。
第二章 数据安全责任组织
第四条 学校网络安全和信息化领导小组作为数据安全管理的领导机构,负责学校数据安全工作的战略决策、实施监督及重大数据安全事件处理的决策指导。
第五条 现代教育技术中心是数据安全技术支撑部门,负责组织推动学校数据安全建设,制定工作规划、实施方案、标准规范并监督落实,牵头数据安全的技术保障工作。
第六条 各部门党政主要负责人为数据安全管理第一责任人,同时按照“谁收集,谁负责”、“谁使用,谁负责”、“谁发布、谁负责”的原则责任到人,落实本单位数据安全防护措施,保障数据安全。
第三章 数据的分类分级
第七条 遵循国家数据分类要求,将学校数据分为学校概况数据、教学管理数据、教职工数据、学生数据、党建思政数据、资产与设备管理数据、科研管理数据、服务管理数据和其他数据等类别。
学校概况数据:如学校基本数据、信息化系统建设数据、信息化系统访问记录数据、学校特色信息化系统应用数据等。
教学管理数据:如课程数据、岗位实习数据、专业信息数据、实训管理数据等。
教职工数据:如教师基本数据、学习进修数据、教师考核数据等。
学生数据:如学生基本数据、经济资助数据、社团协会辅助数据、生活数据、健康数据、心理健康数据、毕业相关数据等。
党建思政数据:如党建基础数据、党建活动数据、思政活动数据等。
资产与设备管理数据:如仪器设备基本数据、教室设备运行数据、大型仪器设备运行数据等。
科研管理数据:如科研项目数据、科研成果数据、学术交流数据等。
服务管理数据:如认证消费数据、在线事务办理数据、信息服务数据、图书期刊数据等。
其他数据:不属于以上分类的数据。
第八条 学校的数据安全保障遵循分级分类保护的原则,根据数据泄露、滥用、篡改、毁损可能对国家安全、社会秩序、学校及个人利益造成的影响程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
第九条 结合学校数据处理流程,为方便数据管理、共享流通和安全保护将数据安全分级细化为五个级别,一般数据对应数据安全等级1-3级,重要数据对应4级,核心数据对应5级,如下表所示。
数据安全分级 |
级别定义 |
一般数据 |
1级 |
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成轻微危害,但不会危害国家安全、公共利益。 |
2级 |
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成一般危害,但不会危害国家安全、公共利益。 |
3级 |
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成严重危害,但不会危害国家安全、公共利益。 |
重要数据 |
4级 |
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成特别严重危害,可能对公共利益、国家安全造成轻微或一般危害。 |
核心数据 |
5级 |
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对公共利益、国家安全造成严重或特别严重危害。 |
第四章 数据的收集安全
第十条 按照“一数一源、最小必要”的原则,严格按照业务需要和职能边界确定数据收集使用范围,优先通过共享获取数据,避免不必要的重复收集数据。
第十一条 各部门采取合法、正当的方式依法依规采集数据并保障数据完整性、准确性和时效性,不得窃取或者以其他非法方式获取数据。
第十二条 面向师生收集信息应公开收集使用规则,明示收集使用目的、方式、范围。
第十三条 数据收集过程中,应当根据数据级别采取相应的安全措施,加强重要数据采集人员、设备的管理,并明确采集时间、类型。
第五章 数据的存储传输安全
第十四条 学校业务系统及其产生的数据,原则上应该部署、存储在校内。不允许将受限数据、敏感数据存储在商用云盘公有云等校外存储设备设施或者个人家用电脑、移动设备上。
第十五条 使用云服务的业务系统,业务系统使用部门必须与服务供应方签订书面的数据安全和保密条款。
第十六条 各部门应按照数据类型、级别和数据特点分别制定相应数据的备份和恢复策略,确保备份数据的正确性和完整性。
第十七条 各部门应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据时应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
第十八条 学校在境内运营收集和产生的非公开数据原则上禁止保存在境外的数据中心,确需保存的需进行安全评估。如需跨境流动的数据,应当遵守《中华人民共和国数据安全法》中对于跨境流动数据的安全管理要求。
第六章 数据的使用处理安全
第十九条 信息系统使用单位按照最小必要原则明确数据录入、查看、修改和删除等权限,实现数据管理、使用和安全审计的权限分离。信息系统需采取身份认证、访问控制等技术措施,防止未经授权的数据活动,相关数据操作日志保留时间不少于180天。
第二十条 学校鼓励在保障数据安全的前提下,充分发掘数据潜在价值。对数据开展统计分析、科学研究、决策分析时需确保不泄露敏感个人信息。敏感个人数据使用前应采用适当的脱敏技术进行脱敏处理。
第二十一条 利用第三方平台或委托他人开展数据处理活动的应由委托部门和被委托方签订数据安全与保密协议,明确使用方式、应用场景和使用边界,落实数据安全责任。委托处理重要数据的,应当对被委托方的数据安全保护能力、资质进行评估或核实。不得委托第三方个人进行数据使用与处理工作。
第二十二条 涉及国家秘密、商业秘密和个人隐私的数据安全应当遵守保密法律法规和隐私保护要求。
第七章 数据的开放共享安全
第二十三条 数据的开放共享按照“最小必要”原则,非必要的数据不开放共享。
第二十四条 数据开放共享应遵从学校相关管理制度的要求,鼓励通过在线接口和“用而不存”的方式使用共享数据。
第二十五条 根据数据安全分级明确不同等级数据传播范围,从开放共享角度可分成无条件开放共享数据、有条件开放共享数据、禁止开放共享数据,与各级数据对应关系如下:
数据安全分级 |
传播范围 |
一般数据 |
1级 |
无条件开放共享 |
2级 |
有条件开放共享 |
3级 |
有条件开放共享 |
重要数据 |
4级 |
有条件开放共享 |
核心数据 |
5级 |
禁止开放共享数据 |
第八章 个人信息安全
第二十六条 在信息系统建设中只有相关法律法规有明确规定需要公示的个人信息,才可进行公开。公开个人信息遵循最小化原则,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。敏感个人信息不宜公开。
第二十七条 敏感个人信息确需公开的,发布或共享使用前必须先经过脱敏处理,所有含有敏感信息数据的应采用屏蔽、变形、替换等多种手段来满足不同的隐私数据匿名化的数据合规性。
第九章 数据安全监测与应急管理
第二十八条 现代教育技术中心建立数据安全风险监测机制,统筹建设数据安全监测预警技术手段,形成监测、溯源、预警、处置等能力,组织开展学校数据安全风险监测并与相关安全部门加强信息共享。
第二十九条 发生信息泄露、毁损丢失等数据安全事件,或者发生数据安全事件风险明显加大时信息系统管理部门应当立即采取补救措施,及时向学校网络安全和信息化领导小组报告。
第十章 附则
第三十条 对违反本管理办法的部门或个人,学校将依规依纪进行处理;涉嫌违法的,移交司法机关处理。
第三十一条 本办法授权现代教育技术中心负责解释。
第三十二条 本办法自2026年2月1日起执行。
现代教育技术中心
