第一章 总则

1. 立法依据
   依据《中华人民共和国数据安全法》第三十八条教育行业数据特殊保护要求、《个人信息保护法》关于最小必要原则的规定，以及GB/T22239-2019《信息系统安全等级保护基本要求》中三级系统防护标准制定。本制度适用于教学管理（含在线教育平台）、科研实验、行政办公等全业务场景产生的数据活动，包括但不限于教书与学生信息、教学资源、财务凭证等数据类型。

2. 管理原则

o 实行"一数一源、分级保护"机制：建立校级数据中台统一归口管理，各部门数据需经信息中心认证后纳入主数据库，避免数据孤岛。

o 遵循"谁主管谁负责"责任体系：数据创建部门承担生命周期管理主体责任，跨部门数据由牵头部门协调，信息化办公室履行监管职责。

第二章 数据分类分级

等级	类型	保护要求	典型示例
一级	公开数据	按《政府信息公开条例》标准主动公开，需经宣传部门内容审核	招生简章、校历安排等
二级	内部数据	通过VPN或校园内网限定范围共享，访问需工号+动态口令认证	教学课件、未公示的会议纪要等
三级	敏感数据	采用国密算法加密存储，访问需部门负责人+信息中心双人审批。信息中心对系统操作过程日志进行监督。	教师、学生的身份证号、手机号码等。

注：学生学籍信息、财务凭证、健康监测数据等自动归为三级；科研数据涉及专利或国家秘密的，按专项管理办法执行

第三章 全周期管理

1. 采集规范

o 建立"采集-审核-更新"闭环：新增数据字段需与校本数据标准相匹配，信息中心每季度清理冗余数据

o 对学生信息采集需明确告知数据用途（如：学籍管理、助学贷款办理）、保存期限（原则上不超过毕业后5年）及异议申诉渠道。

2. 存储要求

o 核心数据应定期备份，尽量部署存储于中心机房。

o 操作日志保留不少于180天，其中增删改操作日志永久保存。外部人员对业务系统日志查阅需经分管校领导审批同意。

第四章 监督机制

1. 定期委托具有资质的第三方机构开展渗透测试，重点检测SQL注入、越权访问等漏洞，整改报告需在校长办公会通报。

2. 数据安全员需每年接受不少于16学时的专项培训。

3. 重大事件（如超过5000条个人信息泄露）需在2小时内形成书面报告并上报，同步启动应急预案，24小时内提交初步分析报告。

 

信息技术中心

2025年8月