第一章 总则
第一条 为加强学校数据安全工作,规范学校通过网络手段处理数据的安全管理,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规,参考《GB/T 43697-2024数据安全技术 数据分类分级规则》等国家标准,结合学校数据安全工作实际情况制定本管理办法。
第二条 适用范围。本办法适用于校内通过网络手段的数据收集、生产、传输、存储、使用、加工、共享、公开、删除等数据处理活动中的安全管理。通过非网络手段进行的数据处理、涉及国家秘密的数据处理不在本办法管理范畴内,按照国家法律法规、学校相关规定管理。
第三条 本办法遵循合法合规、分类分级保护、最小够用及“谁主管谁负责、谁运维谁负责、谁使用谁负责”等原则开展学校数据安全管理工作。
第二章 组织机构及职责分工
第四条 学校网络安全与信息化工作委员会(以下简称委员会)是学校数据安全工作的管理与决策机构,贯彻落实中央有关数据安全的重大战略、决策、规划和工作要求,研究制定学校数据安全战略方向、总体规划和规章制度,审议学校数据安全工作中的重大事项等。
第五条 网络与信息化中心(以下简称网信中心)是学校数据安全日常工作的组织执行机构,主要职责包括:
(一) 统筹协调数据安全推进实施工作,负责起草数据安全规章制度,制定年度工作要点、技术规范、工作流程。
(二) 负责校内数据安全工作落实情况的监督检查,组织整改。
(三) 负责数据安全事件处置的组织实施。
(四) 负责组织开展数据安全风险评估、个人信息安全影响评估等检测评估工作。
第六条 校内各二级单位(以下简称各单位)是本单位数据安全工作的责任主体,负责落实本单位的数据安全工作,各单位主要负责人是本单位数据安全工作的第一责任人、信息化负责人为直接责任人,信息化专干负责组织推进本单位数据安全工作的具体实施。
第七条 各单位应明确数据管理员、数据操作员和数据安全审计员的分工,原则上应实现三员分立,不得一人担任多个角色。数据管理员负责数据分类分级、数据权限分配工作;数据操作员负责具体的数据处理工作;数据安全员负责落实数据安全要求,对数据处理活动进行安全审计分析。人员转岗离岗时,各单位应及时收回人员相关数据权限并按新的人员角色重新分配数据权限。
第八条 各单位如与校外组织机构合作开展数据处理活动,或有校外人员参与数据处理活动,需提前备案审批,校外组织机构及人员需签署数据安全保密协议,并采取必要的数据安全保障措施,确保数据安全、避免数据泄露。
第三章 数据分类分级保护
第九条 学校数据安全工作遵循分类分级保护的原则,由各单位按照本单位的数据目录、确定本单位数据等级并按照数据等级开展数据安全保护工作。
第十条 按照数据业务属性不同,学校数据分为学生数据、教职工数据、教学管理数据、科研管理数据、校务数据和其他数据六类:
1) 学生数据是指学校在开展学生管理和服务活动中收集和产生的数据集合,包括学生基础数据和学生管理数据两个子类;
2) 教职工数据是指学校在开展教职工管理和服务活动中收集和产生的数据集合,包括教职工基础数据和教职工管理数据两个子类;
3) 教学管理数据是指学校在开展教学活动中收集和产生的数据集合,包括教务数据、教学资源数据、教学质量与评价数据三个子类;
4) 科研管理数据是指学校在开展科研管理活动过程中收集和产生的数据集合;
5) 校务数据是指学校日常运行过程中收集产生的数据集合,包括学校概况数据、综合办公数据、财务资产数据、干部人事数据、党建德育数据、外事管理数据、校友服务数据、后勤与安全管理数据、信息系统运行数据八个子类;
6) 其他数据是指不属于以上分类的数据。
第十一条 在数据分类基础上,根据数据重要性、敏感性、规模等数据分级要素,以及数据一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享对国家安全、经济运行、社会秩序、公共利益及学校权益、个人权益所造成的影响程度,通过定量与定性相结合的方式,将学校数据级别分为五级,包括核心数据(L5)、重要数据(L4)和一般数据,其中一般数据分为敏感数据(L3)、内部数据(L2)、公开数据(L1),实施分级保护,具体分级原则如下:
L1级数据:一般数据中的公开数据。学校公开的数据或较小规模的数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对学校权益、个人权益造成一般危害。
L2级数据:一般数据中的内部数据。学校达到一定规模的数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对学校权益、个人权益造成严重危害。
L3级数据:一般数据中的敏感数据。学校具有较高覆盖度或达到较大规模的数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对学校权益、个人权益造成特别严重危害或可能对经济运行、社会秩序、公共利益造成一般危害。
L4级数据:重要数据。在全国范围内或教育系统达到一定规模的数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对国家安全造成一般危害或者对经济运行、社会秩序、公共利益造成严重危害。
L5级数据:核心数据。在全国范围内或教育系统内具有较高覆盖度或达到较大规模的重要数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对国家安全造成严重危害或者对经济运行、社会秩序、公共利益造成特别严重危害,可能直接影响政治安全。
第四章 数据全生命周期安全保障
第十二条 数据安全工作应与信息系统建设同步开展,在信息系统全生命周期建设过程中同步完成数据全生命周期的安全保障。
第十三条 除第一级数据,其他数据应集中在学校数据中心进行处理,不得在其他网络环境及线下处理。
第十四条 使用自动化工具处理数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行,或者侵犯他人知识产权等合法权益。
第十五条 数据全生命周期包括数据的收集生产、传输存储、使用加工、共享公开及删除。
第十六条 数据收集生产安全。数据收集生产应遵循最小够用原则,不得超越信息系统业务范围收集生产数据。新建信息系统应在立项时备案收集生产数据的内容、范围、场景、用途、手段等,并按数据分级确定安全保障措施。
第十七条 数据传输存储安全。信息系统主管单位应根据数据分级采用必要的数据加密、防泄漏、访问控制等安全保障措施,避免数据被泄露、篡改、破坏。各单位应制定数据备份恢复策略和操作规范,数据备份应采用异地备份方式,并确保备份数据安全。
第十八条 数据使用加工安全。数据的使用加工应严格按照信息系统立项确定的用途开展,不得随意更改数据用途。数据使用加工中按最小化原则授予相关人员权限,不得超范围授权。数据操作日志保留时间不少于六个月。学校鼓励对数据开展科学研究、决策分析,此类活动需经审批,所使用的数据应进行必要的脱敏。
第十九条 数据共享公开安全。第一级数据由主管部门依照业务需求自行共享;第二级数据共享需经数据主管部门及网信中心审批;第三级及以上级别数据共享需经委员会审批。数据共享方式应按照学校数据资源管理办法要求执行,数据公开应按照数据分级保护要求执行。
第二十条 数据删除安全。信息系统注销时应同步开展数据删除工作,及时删除不再使用的数据及数据备份,避免数据泄露等安全风险。需继续使用的数据,应按照数据共享要求向相关信息系统迁移,然后删除数据。
第五章 个人信息保护
第二十一条 数据安全工作中涉及到个人信息的,应按照《中华人民共和国个人信息保护法》等法律法规及校内个人信息保护制度开展个人信息保护工作。校外人员个人信息的处理,须经审批并严格按照法律法规要求处理。
第二十二条 有下列情形之一的,应当事前进行个人信息安全影响评估,并对处理情况进行记录:
(一) 处理敏感个人信息;
(二) 利用个人信息进行自动化决策;
(三) 委托他个人信息处理者处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四) 其他对个人权益有重大影响的个人信息处理活动。
第六章 数据安全工作推进
第二十三条 数据服务中的安全保障。数据服务应建立规范的工作流程,实施加密、脱敏、去标识化等有效的数据安全保障手段,确保数据安全。
第二十四条 数据安全风险评估。按照法律法规要求相关数据如有必要应开展数据安全风险评估,各单位应积极配合并根据评估结果开展整改,有效降低数据安全风险。
第二十五条 数据安全自查。各单位应每年开展数据安全自查,并及时整改自查发现的问题。
第二十六条 数据安全宣传教育培训及演练。学校组织开展数据安全宣传教育培训及数据安全应急演练;各单位应积极参与并组织开展本单位宣传教育工作,提升本单位师生数据安全意识与技能,定期开展本单位的数据备份恢复演练。
第二十七条 数据安全投诉举报。网信中心建立校内数据安全投诉举报渠道,受理、处置并反馈校内数据安全投诉举报。各单位如处理非学校数据、校外人员个人信息,应自行建立对外的投诉举报渠道,及时受理、处置并反馈校外数据安全投诉举报,接受社会监督。
第七章 监督检查
第二十八条 网信中心组织开展数据安全监督检查、组织数据安全事件处置,采取必要措施督促相关单位进行整改。
第二十九条 对于在数据安全工作中出现问题的单位或个人,学校将根据职责分工追究相关单位人员责任。对于违反法律、法规,造成国家、学校和个人损失的,学校将依法配合公安、网信等主管部门进行处理。
第八章 附则
第三十条 本办法是学校数据安全工作的基本制度,在全校范围内适用,学校其他规定中关于数据安全工作的内容如与本办法不一致以本办法为准。各单位可在本办法基础上制定、修订相应的实施办法。
第三十一条 本办法试行期为三年,在试行期结束前六个月对该办法的实施情况进行评估,根据评估情况对本办法作出修改或废止等处理决定。本办法由网信中心负责解释说明,自发布之日起施行。
网络与信息化中心
2025年12月15日
呼叫中心:84707007
