第一章 总则

第一条  为加强学院数据管理，保障数据安全，促进数据合理使用与共享，依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《教育部机关及直属事业单位教育数据管理办法》等有关法律法规以及相关规定，结合学院实际情况，制定本办法。

第二条  本办法适用于学院内所有数据的分类分级管理，包括但不限于教学、科研、管理、服务等各类业务活动中产生和使用的数据。

第三条  数据分类分级管理是指学院对数据实施分类分级，并建立相关标准规范与规章制度，实现数据全生命周期有序管控的过程。

第四条  数据分类分级管理遵循基本原则如下：

（一）安全第一原则：确保数据在采集、传输、存储、共享、使用、销毁等全生命周期内的安全性，防止数据泄露、篡改与丢失；

（二）分类科学原则：依据数据的性质、用途、敏感程度、业务归属等因素，进行合理分类，以便针对性管理；

（三）分级精准原则：根据数据泄露、篡改或丢失可能产生的影响和风险程度，确定准确的分级等级，实施差异化保护措施；

（四）动态管理原则：数据分类分级应随数据状态变化、业务需求调整以及外部环境改变等进行动态更新与维护。

第五条  凡是涉及数据采集、传输、存储、共享、使用的行为，须遵守国家有关法律法规及学校相关制度，不得擅自、随意采集、存储、共享数据，不得利用数据从事危害国家安全、社会公共利益和他人合法权益的活动。

第二章 组织机构与职责

第六条  学院信息化与网络安全领导小组是学院数据管理工作的领导机构，负责统筹协调学院数据管理工作，决策数据管理重大事项，监督本办法的执行落实。

第七条  按照“谁产生谁负责、谁维护谁负责”的原则，数据生产部门是其数据的责任主体，需履行以下职责：

（一）及时提交、维护和更新数据，确保数据的完整性、准确性和规范性；

（二）在数据提交时，明确数据的共享范围和用途；

（三）具备并应用数据脱敏技术手段，降低数据共享与使用过程中的安全风险。

第八条  按照“谁经手谁负责、谁使用谁负责、谁管理谁负责”的原则，数据使用单位应依法依规对数据使用的全过程进行管理，具体包括：

（一）规范数据使用流程，明确本单位内部数据使用权限；

（二）监督数据使用行为，防止数据超范围使用或违规传播；

（三）及时报告数据使用过程中发现的安全问题。

第三章 数据分类分级

第九条  数据分类指根据数据的属性或特征，将数据按一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序的过程。数据分级是指依据数据的重要性及敏感性程度，对数据资源进行等级划分的过程。

第十条  按数据性质分类如下：

（一）结构化数据：具有固定格式和模式的数据，如数据库中的表格数据；

（二）半结构化数据：部分具有结构化特征的数据，如XML、JSON格式的数据；

（三）非结构化数据：没有固定格式的数据，如文档、图片、音频、视频等。

第十一条  非涉密数据分级以 “数据共享性” 为核心依据，结合数据重要性、风险影响程度，将数据划分为以下 4 个级别：

（一）公开级数据：共享程度高，无需特殊权限即可被所有人访问和使用，包括学校介绍信息、公开的教学资源、学术研究成果、公共服务信息等；

（二）内部管理数据：仅限学院内部特定权限人员访问使用，包括人事管理信息、财务管理信息、学生管理信息、教学管理信息、就业管理信息、实训管理信息等；

（三）机密级数据：属于学院关键战略、核心计划与重要决策类信息，仅允许学校高层领导访问，包括学院发展规划、重大项目申报方案、核心预算方案、关键人事任免预案等。此类数据泄露将影响学院正常运营与发展；

（四）敏感数据：涉及学生及教职工个人隐私、健康安全及校园核心安全的信息，包括学生及教职工身份证号、银行卡号、生物识别信息、学生健康档案、校园安全管理信息等。此类数据泄露将对个人权益和校园安全造成严重影响。

第四章 数据保护措施

第十二条  公开级数据保护措施如下：

（一）由数据提供部门负责人进行内容准确性、合规性进行审核，审核通过后统一通过学院官网、官方公众号等正规渠道发布；

（二）数据提供部门每季度对公开级数据进行一次更新维护，确保信息的时效性与准确性，若数据内容发生重大变更，需在变更后3个工作日内完成更新。

第十三条  内部管理数据保护措施如下：

（一）通过学院内部信息系统进行权限管控，确保仅限“履职需要”分配访问权限，严禁超权限访问；

（二）禁止将内部管理数据无序扩散至校外。工作场景中数据传递需通过学院内部办公平台或加密U盘等安全媒介进行；

（三）数据统一保存于部门指定的学院服务器或加密存储设备中，禁止长期存储在个人电脑、私人移动硬盘等非安全终端。

第十四条  机密级数据保护措施如下：

（一）严格控制知悉范围，仅允许最小必要的决策层人员访问，建立访问人员清单，每季度对清单进行一次审查，及时移除不再符合访问条件的人员；

（二）在存储机密级数据的信息系统中开启操作留痕功能，记录所有访问、修改、删除操作，学院信息化与网络安全领导小组每季度对访问日志进行一次审计；

（三）机密级数据单独存储在安全的物理或逻辑区域，存储设备需设置多重密码保护，定期进行安全检测。

第十五条  敏感数据保护措施如下：

（一）实行最小权限原则，访问需经数据责任人审批，审批通过后记录访问人员、访问时间、访问用途等信息，存档备查；

（二）电子形式的敏感数据存储时必须进行加密处理，加密密码由专人管理，定期更换密码。纸质资料须存放于带密码锁的保密柜中，保密柜钥匙由专人保管；

（三）严禁通过互联网公共渠道（如个人邮箱、个人微信等方式）传输敏感数据，确需传输须使用学院认可的加密传输工具或加密存储媒介。

第五章 附则

第十八条  本办法由商贸物流学院负责解释，自发布之日起施行。