《教育数据安全管理规范》征求意见稿

3T/GDCFXX-2023教育数据安全管理规范本文件规定了教育数据的特性、安全管理要求与实现。本文件适用于所有类型的教育数据安全管理工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.1-2000信息技术词汇第1部分：基本术语3术语和定义下列术语和定义适用于本文件。3.1数据data信息的可再解释的形式化表示，以适用于通信、解释或处理。注：可以通过人工或自动手段处理数据。[来源：GB/T5271.1-2000，01.01.02]3.2教育数据educationaldata指描述、记录和反映教育教学过程及相关元素的各种数字化信息。4教育数据特性教育数据特点主要包括：a）数据来源多源性。教育数据来源包括教务管理系统、学工管理系统、在线教学平台、课程资源平台、智慧课室等。b）数据类型多样性。教育数据包括文本、图像、音频和视频等多种类型的信息。c）数据时效性。教育数据宜及时更新，以便提供个性化支持和干预。d）需求多样性。教育数据需求包括学生评估、课程改进、教学资源配置以及政策制定等。e）需求动态性。教育领域的需求因政策等因素变化。4T/GDCFXX-2023f）质量要求高。教育数据应具备准确性、完整性和一致性。g）隐私和安全性。教育数据涉及隐私的信息包括如学生姓名、家庭地址、出生日期、手机号码、家庭成员情况等。5安全管理要求5.1安全管理结构要求教育数据安全管理结构一般应参见图1。图1教育行业数据安全管理结构5.2安全风险管理要求教育数据安全的风险管理内容应主要包括：a）防范数据泄露和隐私侵犯。b）防范网络攻击。c）防止学生和教育从业者身份被盗用。d）防止恶意软件和病毒感染导致数据丢失或受损。e）防止弱密码和不安全的凭证管理导致未经授权的访问。f）防止社交工程欺骗教育机构的员工或学生，以获取访问权限或敏感信息。g）防范不当数据处理。h）防范政策和法规合规风险。i）防止数据篡改。防止出现由恶意的未授权用户以电脑病毒、木马等方式导致的数据内容被修订及由授权用户有意或无意的修订了数据的情况发生。j）防止数据被污染，防止数据中存在不相关的、冗余的、无用的、虚假的、伪造的等其他数据。k）防止数据被销毁，防止由系统崩溃、未授权用户操作或其他未知状况而导致的数据被删除或销l）防止数据不可用。防范数据短期或长期的不可用，如数据丢失、数据被加密锁定而无法访问或由于遭受攻击而导致的数据不可用的情况发生。m）防范数据违规访问。防范用户查看、访问非授权范围内数据及数据被授权用户执行了偏离原正常范围的使用。5T/GDCFXX-20235.3安全维度管理要求5.3.1数据安全维度概述数据安全维度管理内容应主要包括保密性、完整性、可用性、合规性、可追溯性五个方面。5.3.2保密性教育数据管理方应通过加密、访问控制等手段来保证未授权的实体无法获取到数据的内容，主要作用于数据生命周期中的数据存储阶段、数据传输阶段和数据共享阶段。5.3.3完整性教育数据管理方应通过数据签名、消息摘要等方式保护教育行业业务的数据的准确性和完整性，主要作用于数据产生、数据存储和数据传输阶段。5.3.4可用性教育数据管理方应保证对于存储的数据或数据流提供正常的服务的手段，如针对拒绝服务攻击的防御机制等，主要作用于数据存储、数据使用和数据共享阶段。5.3.5合规性教育数据管理方应通过合规监测机制保证未授权实体无法对数据进行操作及授权的实体能够执行相应的操作(如读、写、删)。合规性维度适用于所有的数据生命周期阶段。5.3.6可追溯性教育数据管理方应确认实体身份的真实性，对涉及的数据主体实施身份认证，确保其身份真实有效，提供完整的数据轨迹和证据链，满足监管和审计的需要，适用于数据生命周期的所有阶段。5.4数据生命周期管理要求教育数据生命周期一般应参见图2。图2组织数据生命周期的六个阶段教育行业业务数据的生命周期管理内容应主要包括：a）数据产生数据产生阶段应产生新的数据或现有的数据内容发生显著改变或更新，其中数据主要产生于各类业务流程中及教育行业业务中从相关用户、合作方等第三方收集。b）数据存储数据存储阶段非动态数据应以数字格式进行物理存储，如静态存储在数据库、网盘、电脑硬盘中的数据。c）数据传输数据传输阶段数据应在组织机构内部从一个实体通过网络流动到另一个实体，如涉及校园内部网6T/GDCFXX-2023络、互联网网络，实现教育行业业务相关的系统之间的数据流动以及教师、学生终端和系统之间的数据流动。d）数据使用数据使用阶段组织机构内部应针对动态数据进行查询、分析、处理等活动。e）数据共享数据共享阶段数据应经由组织机构向外部第三方输出，如数据通过业务向用户展示、提供、组织机构与第三方机构合作过程中向第三方机构提供数据等，主要分为无条件共享、有条件共享、不予共享等三种类型。f）数据销毁数据销毁阶段组织机构利应用物理或技术手段使数据永久或临时性的不可用。6安全管理实现6.1结构能力实现教育数据安全管理结构能力应包括识别数据风险、保证安全维度、遵循数据生命周期原则。6.2安全风险规避a）数据泄露和隐私侵犯：实施数据分类和访问控制，加密敏感数据，实现数据脱敏和匿名化。b）网络攻击：建立边界防火墙，入侵检测系统，漏洞扫描，加固系统配置。c）身份盗用：进行多因素认证，实体认证，访问日志审计。d）恶意软件和病毒：部署杀毒软件，修补漏洞，明确安全开发流程。e）弱密码和不安全凭证：开展密码复杂度策略，多因素认证，令牌管理。f）社交工程欺骗：开展员工培训，提高警惕，过滤邮件和链接。g）不当数据处理：进行访问控制和日志审计监控流程。h）政策和法规合规风险：进行合规性审查，隐私影响评估，员工培训。i）数据篡改：落实数字签名，数据备份和恢复，版本控制。j）数据污染：清理数据，删除重复数据并检查格式。k）数据销毁：开展多级备份，落实灾备计划。l）数据不可用：进行冗余存储，容灾备份，高可用系统设计。m）违规访问：遵循最小权限原则，分析日志并检测异常。6.3安全维度实现6.3.1保密性落实在数据存储阶段，数据应通过加密存储的方式来防止对未授权人员或实体的访问；在数据传输阶段，数据应通过加密传输的方式来预防在实体间的传输线路上的未授权的数据截取；在数据共享阶段，数据对外提供的方式应控制数据对外提供的权限。6.3.2完整性落实在数据产生阶段，应通过数据质量、元数据的管理对数据的完整性保护；在数据存储阶段，应通过硬盘加密等方式实现对数据的完整性保护；在数据传输阶段，应通过数据签名、加密等方式实现对数据的完整性保护。6.3.3可用性落实7T/GDCFXX-2023在数据存储阶段，应通过对数据存储的容器的安全配置保证数据存储环境的持续可用；在数据使用阶段，应通过对数据使用的系统/平台等环境的安全保护机制保证数据使用过程中数据的可用性；在数据共享阶段，应通过对对外提供共享的系统/平台的安全保护机制保证数据共享过程中数据的可用性。6.3.4合规性落实在数据产生阶段，应保证仅授权的实体可以写入或提供数据；在数据存储阶段，应保证仅授权的实体能够对数据存储容器执行相应的操作并访问相关的数据；在数据传输阶段，应保证仅授权的实体可以发送和接受数据；在数据使用阶段，应保证仅授权的实体可以对数据执行相应的操作；在数据共享阶段，应保证仅授权的实体能够开展相应的数据共享工作；在数据销毁阶段，应保证仅授权的实体可以执行对数据的销毁操作。6.3.5可追溯性落实在数据产生阶段，应绑定数据产生主体的数字身份标识，记录数据产生时间、地点、方式等元数据；在数据传输和共享阶段，应设置访问控制机制，记录访问者信息、访问时间、访问行为等日志，对关键数据实施数字指纹、数字签名等技术，确保数据完整性。对存储系统实施细粒度的访问控制，对读写操作进行认证和授权，保存完整的操作日志；在数据存储和使用阶段，应记录数据流向、操作步骤，保证运算过程可追溯；在数据销毁阶段，应记录报废决策流程、报废时间，对销毁数据进行抹除或加密保存。6.4数据生命周期管理实现6.4.1数据产生阶段数据产生阶段的实现方法主要包括：a）对数据源的合法合规管理、真实性验证和提供数据源的身份验证，保证对产生的数据执行有效的保护。b）基于数据对业务的价值和外部合规的需求，判定其安全敏感度，建立数据的分类分级保护机制，保证对数据的保护达到了适当的保护水平。——数据分类管理是指根据教育行业数据具有的共同属性或特征，将其按一定的原则和方法进行区分和归类，便于教育行业组织机构对数据进行管理和使用。分类参考维度包括部门维度、人员维度、资产维度、业务维度、应用维度等。——数据分级管理是根据教育行业数据的重要程度，以及一旦遭到篡改、破坏、泄露、非授权获取、非法利用后，对国家安全、经济运行、社会稳定、公共健康和安全、组织机构自身造成的危害程度，对教育行业数据进行定级管理。分级参考维度包括核心数据、重要数据、一般数据。6.4.2数据采集阶段a）数据安全管理团队应制定数据资产采集准入防护制度，明确数据采集和使用的目的、范围，遵循最小必要原则，只采集满足业务所需的最小数据范围；b）数据安全管理团队负责统筹管理数据采集申请、汇集及处理工作；c）委托第三方机构采集数据时，应评估安全风险并与第三方机构签订安全保密协议，要求其明确数据采集来源、范围、策略等，不得超出授权范围，不得违规存储、加工、使用所采集的数据。6.4.3数据存储阶段数据安全管理团队应制定数据安全存储制度，明确存储的数据应根据数据分类分级结果，综合考虑加密、备份等手段保障数据安全；数据存储阶段的实现方法主要包括：a）防止对存储在物理环境或云环境中的数据的未授权泄漏、修改、删除和销毁；b）保证基于数据对业务的价值、外部合规的需求、安全敏感程度对数据执行了有效的安全存储；c）在相关商业背景和可用性需求下保证对数据的安全保护。8T/GDCFXX-2023d）省级教育云平台范围内电子数据为永久保存，6年以内的采取在线方式存储，6年以上的采取离线方式压缩存储，特殊情况可适当调整；6.4.4数据使用阶段数据使用阶段的实现方法主要包括：a）管理实体标识，用于对数据访问进行授权；b）基于业务和安全需求给予数据访问方最小的访问权限；c）保证正确和有效的使用密钥以确保数据的机密性、真实性和完整性；d）采取预防或探测的手段，避免未授权的访问，保证数据安全。e）采取数据内容识别的手段，分析数据的访问活动，保证数据在规定的范围内使用。6.4.5数据传输数据传输阶段的实现方法主要包括：a）建立针对传输的数据以及传输数据的网络通道的安全机制，实现对传输过程中的数据的保密性和完整性保护；b）保护数据传输的底层网络通道的可用性。c）实现对传输流动的数据内容识别，动态化分级分类管理。d）监测数据传输活动，鉴别并保护重要业务数据、重要审计数据、重要配置数据、重要个人信息等敏感数据传输。e）实现数据活动的监测，分析数据、人员、设备、应用活动关系，识别数据传输活动风险。6.4.6数据共享数据共享阶段的实现方法主要包括：a）对数据共享的数据内容、共享方式的风险评估；包括数据用途、使用方式、是否符合法律法规及监管规定、个人信息保护影响、风险及应对措施等。b）对共享数据的持续监控和风险分析。c）识别与分析共享数据，实现敏感数据对外共享监测与审计，预警和控制敏感数据的对外共享范6.4.7数据销毁数据销毁阶段的实现方法主要包括：a）基于相关法律、合同的合规要求和安全需求，保证数据销毁及时；b）建立有效的数据销毁的规范和流程，保证数据彻底销毁。c）数据销毁由数据安全管理团队提出申请，经分管领导审批同意后，由数据安全管理团队开展数据销毁工作；d）明确需要销毁的数据须填写数据销毁申请，内容包括申请人、