第一章 总 则

第一条 为加强学院数据管理，保障数据安全，促进数据合理使用与共享，依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《教育部机关及直属事业单位教育数据管理办法》《公安机关重要信息系统安全等级保护要求》等有关法律法规以及相关规定，结合学院实际情况，制定本办法。

第二条 本办法适用于学院内所有数据的分类分级管理，包括但不限于教学、科研、管理、服务等各类业务活动中产生和使用的数据。

第三条 数据分类分级管理是指学院对数据实施分类分级，并建立相关标准规范与规章制度的过程。

第四条 数据分类分级管理遵循基本原则如下：

（一）安全第一原则：确保数据在全生命周期内的安全性，防止数据泄露、篡改与丢失；

（二）分类科学原则：依据数据的性质、用途、敏感程度等因素，进行合理分类，以便针对性管理；

（三）分级精准原则：根据数据可能产生的影响和风险程度，确定准确的分级等级，实施差异化保护措施；

（四）动态管理原则：数据分类分级应随数据状态变化、业务需求调整以及外部环境改变等进行动态更新与维护。

第五条 凡是涉及数据采集、传输、存储、共享、使用的行为，须遵守国家有关法律法规及学校相关制度，不得擅自、随意采集、存储、共享数据，不得利用数据从事危害国家安全、社会公共利益和他人合法权益的活动。

第二章 组织机构与职责

第六条 学院信息化与网络安全领导小组是学院数据管理工作的领导机构，负责学院数据管理重大事项的决策。

第七条 校园网络管理中心是数据管理的归口单位，全面负责学院数据平台的建设、运维、管理、服务与安全；负责学院数据标准、管理制度的制定；协同开展数据的汇聚交换、数据治理、数据共享工作；定期开展数据安全风险评估。

第八条 按照“谁产生谁负责、谁维护谁负责”的原则，数据生产部门是其数据的责任主体，负责及时提交、维护和更新数据，保障数据的完整性、准确性和规范性。在数据提交时，需明确数据的共享范围和用途，应具备数据脱敏技术手段。

第九条 按照“谁经手谁负责、谁使用谁负责、谁管理谁负责”的原则，数据使用单位应依法依规对数据使用的全过程进行管理。

第三章 数据分类分级

第十条 数据分类指根据数据的属性或特征，将数据按一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序的过程。数据分级是指依据数据的重要性及敏感性程度，对数据资源进行等级划分的过程。

第十一条 数据按业务领域分类如下：

（一）教学数据：学生学籍信息、课程信息、教学评价数据、考试数据等；

（二）科研数据：科研项目信息、科研成果数据、实验数据等；

（三）管理数据：行政管理数据、人事管理数据、财务管理数据、资产管理数据等；

（四）服务数据：后勤服务数据、图书馆服务数据、网络服务数据等。

第十二条 按数据性质分类如下：

（一）结构化数据：具有固定格式和模式的数据，如数据库中的表格数据；

（二）半结构化数据：部分具有结构化特征的数据，如XML、JSON 格式的数据；

（三）非结构化数据：没有固定格式的数据，如文档、图片、音频、视频等。

第十三条 根据不同类别数据遭篡改、破坏、泄露和非法利用后，可能带来潜在的影响，将数据分级如下：

（一）一般数据：指影响局限于组织或个人，泄露或篡改后会造成轻微影响的数据。根据影响程度，可细分为 L1 - L3 级，其中 L1 指公开数据，L2 指内部数据，L3 指敏感数据，L3 级数据的敏感程度接近重要数据。

（二）重要数据：指影响公共利益、学院核心业务，泄露或篡改将导致重大经济损失或声誉损害的数据。

（三）核心数据：指直接关系国家安全、公共安全，泄露或篡改将导致严重政治、社会影响的数据。

第四章 数据保护措施

第十四条 一般数据保护措施如下：

（一）L1（公开）：开放数据平台直接下载；

（二）L2（内部）：统一身份认证后访问，禁止通过微信或邮箱传输，保存使用日志；

（三）L3（敏感）：部门内流转需登记，共享至校外需备案。

第十五条 对重要数据，严格限制访问人员范围，仅授权特定部门和人员访问，访问需经过部门负责人审批。使用过程中需进行详细记录，包括使用人员、使用时间、使用目的等。使用结束后，应及时删除不必要的数据副本。

第十六条 对核心数据，禁止接入互联网，采用高安全性的存储设备，存储环境应具备严格的物理安全防护措施。实行最小授权原则，仅特定的关键岗位人员经严格审批后可访问。使用过程需全程监控、进行审计，如发生数据泄露等安全事件，应立即启动应急预案，并及时向上级部门报告。

第五章 数据分类分级管理流程

第十七条 各部门定期对本部门产生和使用的数据进行全面识别与梳理，明确数据的名称、业务领域、来源、性质、存储位置等信息。

第十八条 各部门根据本办法的数据分类规则和分级标准，判定本部门数据的类别和级别。

第十九条 对确定分类分级的数据进行统一标识，在数据存储、传输和使用过程中明确显示其类别和级别。同时，建立详细的数据分类分级台账，记录数据的相关信息和分类分级变动情况。

第二十条 当数据内容、业务需求、安全环境等因素发生变化时，数据所属部门应及时对数据的分类分级进行重新评估和调整。校园网络管理中心定期对全院数据的分类分级情况进行全面审查和更新，确保数据分类分级的准确性和有效性。

第六章 附 则

第二十一条 本细则由校园网络管理中心负责解释，自发布之日起施行。