第一章 总 则
第一条 为规范学校信息系统的数据处理活动,加强数据安全管理,保障数据安全,维护广大师生和学校的合法权益,根据《中华人民共和国数据安全法》、教育部等七部门《关于加强教育系统数据安全工作的通知》、《公共数据安全体系建设指南》等文件要求,制定本办法。
第二条 本办法所指数据与学校数据管理办法(试行)所指数据范围一致。数据安全管理保障在数据收集、数据存储、数据传输、数据使用、数据销毁等数据全生命周期过程活动中的数据安全。
第三条 数据安全管理的基本原则是:
(一)最小够用原则。所有信息采集和使用必须在最小范围内进行。
(二)分类分级保护原则。按照数据类别和级别采取差异化安全保障措施,高安全级别数据从严保护,低安全级别数据适度保护。
(三)持续优化原则。持续迭代、动态优化,保障数据安全体系满足安全合规和业务发展的实际需要,促进数据的开发利用。
第二章 管理职责
第四条 学校网络与信息安全工作领导小组是学校数据安全管理工作的领导机构,负责学校数据安全管理的重大事项决策。学校信息公开工作领导小组是学校数据公开工作的领导机构,负责数据公开工作的重大事项决策。
第五条 数据安全管理部门设在数字技术和数据中心,负责学校数据安全管理统筹规划与建设工作,负责学校数据安全制度的建设,负责学校数据安全管控平台和数据安全技术支撑能力的建设,负责建立数据全生命周期的安全保障机制和监督检查机制,负责组织、指导和督促各部门进行安全评估、安全培训、应急响应演练等工作。
第六条 各部门、教学单位、教辅机构(以下简称各部门)党政负责人是本部门数据安全工作第一责任人。各部门指定专人(以下称部门信息安全管理员)负责本部门数据资源全周期安全管理,落实本部门数据安全防护措施、监督数据公开过程、审核数据公开内容、监督数据销毁过程。数据生产部门根据一数一源原则,负责本部门源数据的分类分级和安全管理。数据使用部门负责被授权数据的安全管理。
第三章 数据分类分级管理
第七条 数据安全保障遵循分类分级保护的原则,按照主题、业务、领域等维度确定分类,按照数据敏感性、影响对象、影响程度确定一级、二级、三级、四级等四个分级。
一级:公开数据。原则可提供给所有部门共享使用并面向社会完全开放或脱敏后开放。数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织的正常运作及合法权益不造成影响或影响微弱可以忽略;对社会秩序、公共利益以及国家安全不造成影响。
二级:内部数据。数据可进行有条件共享和开放,可提供给相关部门共享使用或仅能够部分提供给所有部门共享使用,可提供给部分或部分提供给个人和组织使用。数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织的正常运作和合法权益造成轻微影响;对社会秩序及公共利益、国家安全不造成影响。
三级:敏感数据。数据可进行有条件共享和开放。可提供给相关部门共享使用或仅能够部分提供给所有部门共享使用;可提供给部分或部分提供给个人和组织开放使用。数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织的正常运作和合法权益造成中等影响;对社会秩序及公共利益造成轻微影响;对国家安全不造成影响。
四级:极敏感数据。数据一般不可共享和开放,或可通过申请向特定部门或人员公开。数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织造成严重影响;对社会秩序及公共利益造成中等以上影响;对国家安全造成影响。
具体分类分级办法和对应保护措施参照学校《数据分类分级指南》(详见附件)。
第八条 数据分类分级结果在数据分类分级平台维护,并与数据资产管理平台联动。
第四章 数据收集的安全管理
第九条 各部门利用信息系统收集数据应遵循最小化原则,并明确收集依据、范围、数量和用途;收集个人信息的,应有明确告知并征得个人同意。
第十条 新建信息系统应明确数据收集内容和拟定数据等级。数据安全管理部门核实后在数据分类分级平台更新数据定级内容。
第十一条 已建信息系统因升级改造或业务调整新增数据收集项目的,应明确数据收集内容和拟定数据等级,及时向数据安全管理部门报备。数据安全管理部门核实后在数据分类分级平台更新数据定级内容。
第五章 数据存储的安全管理
第十二条 数据原则上须存储在校内,因业务原因确需保存至公有云端储存的,应事先开展安全评估并在通过国家云计算服务安全评估的公有云平台进行储存。
第十三条 密码信息禁止明文存储;二级以上数据可根据实际需要对表、字段加密存储。
第十四条 信息系统应建立数据归档机制,定期将不活跃的数据转存到专门区域存储;应建立数据容灾备份机制,及时备份数据,并定期进行数据恢复演练。
第六章 数据传输的安全保障
第十五条 信息系统应保证数据传输内容的机密性、完整性和可用性。二级以上数据须采用加密技术传输,避免被非法访问、窃听或篡改。
第十六条 信息系统应使用安全网络和安全传输协议,保障传输通道安全。特定领域数据须使用专网传输。
第十七条 信息系统应通过身份认证、访问列表、端口限制、黑白名单等措施,保障数据只传输给授权对象。
第七章 数据使用的安全保障
第十八条 各部门使用或共享其他部门数据,须通过规定流程审核。申请的数据只用于业务对接,不得提供给第三方机构或个人。
第十九条 各部门或个人在公开网站上或公开出版物上展示数据,须通过规定流程审核,对拟公开的数据进行脱敏处理,并受部门信息安全管理员监督。
第二十条 各部门提供给合作方的数据应进行脱敏处理;因业务原因确需提供原文的,应通过数据水印等技术手段,确保可数据溯源。
第二十一条 信息系统应综合利用个人生物识别信息(人脸、指纹等),不得使用人脸等生物特征作为身份验证的唯一手段。人脸等生物特征数据建议采用特征值传递,不得在终端保存人脸等生物特征数据,使用完毕时应及时删除。
第二十二条 视频数据只开放给授权部门和个人在线使用。因业务原因确需下载保存或提供给其他部门和个人的,应通过数据水印等技术手段,确保数据可溯源。
第二十三条 数据原则上应在境内保存和使用,因业务原因确需向境外提供的,应当按照国家有关法规进行安全评估,在数据出境前与接收方签订合同或者其他有法律效力的文件,并在合同中明确保障出境数据安全的内容。评估流程参照国家数据出境相关法律法规。
第八章 数据销毁的安全保障
第二十四条 废弃的信息系统或报废的存储设备,确保承载的信息数据被清理后,方可进行注销或报废处理。
第二十五条 存储二级以上数据的存储介质不再使用并且离开学校控制范围时,应及时销毁。数据销毁过程应进行日志记录,并受部门信息安全管理员监督。
第九章 数据安全运营管理
第二十六条 各部门应加强数据处理活动的安全风险监控和告警,推进违规数据处理活动阻断技术措施建设,及时做好风险隐患的溯源排查处置。
第二十七条 各部门应保障与供应商合作过程的数据安全,具体要求参照《浙江机电职业技术大学信息项目合作单位安全管理规范》(试行)。
第二十八条 各部门应协同数据安全管理部门定期开展数据安全风险评估,形成风险评估报告。各部门应根据风险评估报告,及时落实数据安全自查和问题修复。
第二十九条 数据安全管理部门负责定期组织校内数据安全处置应急演练,相关部门应积极参与,通过演练提高校内数据安全事件处置能力。
第十章 数据安全管理监督
第三十条 数据安全事件的责任认定,由数据安全管理部门提交网络与信息安全工作领导小组讨论处理。
第三十一条 对违反本办法有关规定,非法收集、泄露、滥用、篡改数据,造成学校经济、名誉损失的,学校将视其情节轻重追究责任。涉及计算机信息犯罪的,依法移交公安机关。
第十一章 附 则
第三十二条 本办法由数字技术和数据中心负责解释,自印发之日起施行。
附件
数据分类分级指南
第一章 引 言
根据《关于加强教育系统数据安全的指导意见》《关于加强教育系统数据安全工作的通知》等文件的相关要求,为规范通过信息化手段开展的数据活动,保护广大师生和学校的合法权益,提升数据治理水平,特制定本指南。
第二章 范 围
本指南规定了学校数据资源的分类分级方法。本指南适用于数据分类和定级管理,以及开展数据采集、存储、传输、访问、处理、共享、开放、销毁等行为的安全与管理活动。本指南不适用于涉密数据的分类分级管理。
第三章 规范性引用文件
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《教育系统核心数据和重要数据识别认定工作指南(试行)》
《信息技术大数据数据分类指南》GB/T 38667-2020
《信息安全技术个人信息安全规范》GB/T 35273-2020
《信息安全技术大数据安全管理指南》GB/T 37973-2019
《数字化改革公共数据分类分级指南》DB33/T 2351-2021
第四章 术语和定义
一、数据分类
根据数据的属性和特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便数据的管理和使用。
二、数据分级
根据数据的敏感程度和被破坏后对受影响对象的影响程度,按照一定的原则和方法进行定级,为数据全生命周期过程中的安全管理和策略制定提供支撑。
第五章 数据分类
一、分类原则
(一)科学性
应按照数据的多维特征及其相互间存在的逻辑关联进行科学、系统的分类。
(二)稳定性
应选择分类对象最稳定的本质特征和属性为依据分类。
(三)唯一性
保证数据分类在同一维度下具有唯一性,不同分类之间不出现交叉或者重复。
(四)实用性
应结合现实需求,符合用户对数据区分和归类的普遍认知。每个类目下都有数据,不设没有意义的类目。
(五)扩展性
应保证类目的可扩展性、兼容性,可适应未来阶段部门机构调整、经济发展变化、基础库建设规划调整导致的类目增减和数据类型变化等情况。
二、分类维度
(一)主题维度
按照数据资源所涉及的范围,将学校数据资源按照主题域进行分类。将学校数据资源按主题域分为以下大类:学校、教工、学生、教学、科研、财务、资产、公共服务、办公。在此基础上,可根据数据所属(或提供数据)组织机构、业务领域进一步细分。各部门、教学单位、教辅机构(以下简称各部门)可在本分类方法的基础上,根据自身情况进一步补充细化。补充的其他主题可以作为扩展主题,同样依照主题域划分原则对所有数据资源进行全面分类。
(二)共享维度
根据数据共享属性可分为:无条件共享类、有条件共享类和禁止共享类。
1.无条件共享类:可提供给所有部门共享使用的数据。
2.有条件共享类:可部分提供或者按照特定要求提供给相关部门共享使用的数据。列入受限共享的数据,数据提供单位应当明确共享条件。
3.禁止共享类:不宜提供给其他部门共享使用的数据。列入禁止共享的数据,应当有明确的法律法规、规章依据和国家、省有关要求。
第六章 数据分级
一、分级原则
(一)明确场景
数据分级要充分参考各类数据应用场景,保证数据分级的可行性、实用性。
(二)科学定级
数据分级按照数据资源的多维特征及其之间存在的逻辑关联关系进行系统化、标准化分级,应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素,保证数据级别的准确性、客观性。
(三)弃低取高
针对数据项的定级,应取该数据项所有判定结果中级别的最高值;针对数据项集合的定级,应取该数据项集合中所有数据项级别的最高值。
(四)自主定级
各部门应按照本指南分级方法,对各类数据进行自主分级。
二、分级方法
(一)影响对象
依照《中华人民共和国数据安全法》要求,数据分级应该充分考虑中华人民共和国国家安全、公共利益或者公民、组织合法权益,并结合数据的实际情况,数据分级需要考虑的影响对象如表1所示。
表1 数据分级影响对象
对象 |
定义 |
国家安全 |
一般指数据发生泄露、篡改、丢失或滥用后,可能对国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益、保障持续安全状态的能力造成影响。 |
社会秩序及公共利益 |
一般指数据发生泄露、篡改、丢失或滥用后,可能对社会秩序和公众的身心健康、政治权利、人身自由、经济权益等造成影响。 |
政府机构、企事业单位及其他社会组织 |
一般指数据发生泄露、篡改、丢失或滥用后,可能对某政府机构、企事业单位或其他社会组织的生产经营、声誉形象、公信力、资金资产等造成影响。 |
个人权益 |
一般指数据发生泄露、篡改、丢失或滥用后,可能对个人隐私、个人财产、生命安全、精神、名誉、私人活动和领域等造成影响。 |
(二)影响程度
影响程度应充分考虑对影响对象的范围、是否可控以及影响所造成的损害程度来进行判别,判别的参考依据如表2所示。
表2 影响程度判别参考依据
程度 |
定义 |
无影响 |
数据遭到破坏后,对影响对象几乎不造成损害或影响微弱可以忽略。 |
轻微影响 |
数据遭到破坏后,对影响对象造成轻微损害或一般损害,范围较小、程度可控且结果可以补救。例如:对机构的相关工作产生轻微干扰,但工作仍可正常运转;对自然人造成轻微人身伤害或轻微财产损失。 |
中等影响 |
数据遭到破坏后,对影响对象造成较为严重的损害,范围较大但程度可控、结果可以补救或范围较小、结果不可逆但可采取措施降低损失。例如:对机构的相关工作产生较大干扰,但工作仍可持续运转;对自然人造成严重人身伤害或较大财产损失。 |
严重影响 |
数据遭到破坏后,对影响对象造成严重损害,影响的范围、程度不可控且结果不可逆。例如:对机构的相关工作产生极大干扰,导致工作运转失灵或几近瘫痪;致使自然人死亡或导致重大财产损失。 |
(三)分级规则
根据数据的安全属性破坏后的影响对象、影响程度,将数据划分为四级,触发其中一个影响对象即达到对应的最低安全等级,如表3所示。
表3 数据级别与判定标准
最低安全等级 |
敏感性 |
影响对象 |
影响程度 |
数据特性 |
一级 |
非敏感 |
国家安全 |
无影响 |
1.公开数据。原则可提供给所有部门共享使用并面向社会完全开放或脱敏后开放。 2.数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织的正常运作及合法权益不造成影响或影响微弱可以忽略;对社会秩序、公共利益以及国家安全不造成影响。 |
|
|
社会秩序及公共利益 |
无影响 |
|
|
|
政府机构、企事业单位及其他社会组织 |
无影响 |
|
|
|
个人权益 |
无影响 |
|
二级 |
低敏感 |
国家安全 |
无影响 |
1.内部数据。数据可进行有条件共享和开放,可提供给相关部门共享使用或仅能够部分提供给所有部门共享使用,可提供给部分或部分提供给个人和组织使用。 2.数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织的正常运作和合法权益造成轻微影响;对社会秩序及公共利益、国家安全不造成影响。 |
|
|
社会秩序及公共利益 |
无影响 |
|
|
|
政府机构、企事业单位及其他社会组织 |
轻微影响 |
|
|
|
个人权益 |
轻微影响 |
|
三级 |
敏感 |
国家安全 |
无影响 |
1.敏感数据。数据可进行有条件共享和开放。可提供给相关部门共享使用或仅能够部分提供给所有部门共享使用;可提供给部分或部分提供给个人和组织开放使用。 2.数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织的正常运作和合法权益造成中等影响;对社会秩序及公共利益造成轻微影响;对国家安全不造成影响。 |
|
|
社会秩序及公共利益 |
轻微影响 |
|
|
|
政府机构、企事业单位及其他社会组织 |
中等影响 |
|
|
|
个人权益 |
中等影响 |
|
四级 |
极敏感 |
国家安全 |
轻微影响/中等影响/严重影响 |
1.极敏感数据。数据一般不可共享和开放,或可通过申请向特定单位或人员公开。 2.数据发生泄露、篡改、丢失或滥用后,对个人权益、政府机构、企事业单位及其他社会组织造成严重影响;对社会秩序及公共利益造成中等以上影响;对国家安全造成影响。 |
|
|
社会秩序及公共利益 |
中等影响/严重影响 |
|
|
|
政府机构、企事业单位及其他社会组织 |
严重影响 |
|
|
|
个人权益 |
严重影响 |
|
1
附录 数据分级保护措施
数据活动过程 |
数据等级 |
|
一级 |
二级 |
三级 |
四级 |
数据采集 |
数据采集应遵循合理、正当、必要原则,明确数据安全管理要求及数据采集目的、用途、范围。依据权限最小化原则分配采集账号权限,实现账号认证和权限分配,不得采集提供服务所必需以外数据。针对数据采集和信息执行有效的日志记录。 |
在一级的基础上:使用针对采集源进行识别和记录的相关技术及工具,确保数据源可追溯。 |
在二级的基础上:建立数据采集过程数据保护机制,明确数据采集过程中的个人信息和重要数据的安全控制措施,对数据来源进行合法性确认。 |
同三级 |
数据传输 |
/ |
数据在传输过程中应建立安全的传输通道。 |
在二级的基础上:应对数据进行加密传输,加密算法应符合国家密码相关法律法规要求。 |
在三级的基础上:对传输通道两端的主体身份进行鉴别与认证。 |
数据存储 |
公共数据应保存在可信或可控的信息系统、物理环境中,应建立数据备份机制,定期进行数据的备份。 |
在一级的基础上:对存储数据的访问进行日志记录和审计,以及对运维人员进行权限的分配和控制。 |
在二级的基础上:需要对存储数据进行加密。应能够检测重要数据在存储过程中完整性是否受到破坏,并在检测到完整性错误时采取必要的恢复措施。 |
在三级的基础上:应建立数据异地备份机制,定期进行数据备份。使用通过国家密码管理局认证的密码技术和密码产品实现“防篡改”。 |
数据访问 |
可采用口令、密码、生物识别等鉴别技术对用户进行身份鉴别。对数据访问行为进行审计与分析。 |
在一级的基础上:对数据访问行为、访问内容、访问频率等访问情况进行审计、分析。 |
在二级的基础上:应采用口令、密码、生物识别等两种或两种以上组合的鉴别技术对用户进行身份鉴别。 |
在三级的基础上:应持续对用户账号进行风险监测,并对账号进行动态授权。 |
数据处理 |
设置身份标识与鉴别机制。对数据的分析处理过程进行统一的日志记录。 |
在一级的基础上:对运维人员进行权限的分配和控制。 |
在二级的基础上:对分析处理的环境采取网络隔离、访问控制、身份认证等防护措施。对源数据和分析结果的数据加密、存储和防泄漏。 |
在三级的基础上:对部分敏感信息需要进行去标识化处理。对操作过程进行日志记录。 |
数据共享 |
无条件共享,对数据共享及过程进行日志记录。 |
在一级的基础上:有条件共享,对运维人员进行权限的分配和控制。 |
在二级的基础上:有条件共享,视情况脱敏。对数据共享全链路各环节的权限最小化控制,比如白名单控制,并对异常进程监控。对数据共享全链路各环节风险进行监控。对数据共享审批日志记录进行审计。 |
不予共享 |
数据开放 |
无条件开放,对数据开放的过程进行日志记录。 |
在一级的基础上:有条件开放,视情况脱敏。 |
在二级的基础上:脱敏后受限开放。对数据开放全链路各环节的权限最小化控制,如进行白名单控制并对异常进程监控。对数据开放审批日志记录进行审计。 |
不予开放 |
数据销毁 |
建立数据销毁和存储媒体销毁审批机制并记录。业务终止时自行决定数据是否需要销毁,宜采用覆写法进行数据销毁。(用户退出服务、请求删除数据、超出数据保存期限时对数据进行及时销毁) |
在一级的基础上:业务终止时宜采用删除、覆写法等方式销毁有关数据。 |
在二级的基础上:业务终止时应以不可逆的方式销毁有关数据。 |
同三级 |
1
