导读:本文转载自网信上海微信公众号
一、引言
为加快建立健全数据分类分级保护制度及重要数据目录管理机制,促进数据共享应用,2022年7月至12月,市委网信办会同市政府办公厅成立试点工作组,组织开展了数据分类分级、制定重要数据目录试点工作,遴选出一批试点优秀单位和试点优秀案例。今天分享宝山区教育局试点优秀案例——《宝山区教育重要数据识别规则和重要数据目录管理办法(试行)》。
二、案例概述
本办法制定了总则、教育重要数据描述、教育重要数据识别、教育数据识别安全、重要数据识别监督、重要数据目录管理、重要数据目录开放的要求。依照分类分级与授权机制,面向区教育领域的核心数据、重要数据、一般数据、公共数据、个人信息、教育教学数据,开展教育数据的安全级别、重要性、共享类别和维度、开放类别和开放维度的识别和管理,对教育行业重要数据识别规则和重要数据目录管理工作具有参考意义。
宝山区教育重要数据识别规则和重要数据目录管理办法(试行)(节选)
1、总则
为进一步规范本区教育重要数据管理,推动教育重要数据的识别,保障数据安全,促进数据共享开放,发挥数据价值,明确相关单位的职责和权力。
区级数据管理协调部门负责制定教育重要数据分类分级与授权机制,以“分类管理、分级应用”为基本思路,结合数据的共享开放价值和数据涉及公民及法人隐私程度等因素制定识别标准。
区各级各类教育单位应当参照标准,采用数据分类分级管理、备份、加密等措施加强对个人信息和重要数据保护,保护个人信息和重要数据免受泄露、窃取、篡改、毁损、非法使用等。
区各级各类教育单位应当建立安全管理岗位人员管理制度,明确重要岗位人员安全责任和要求,并定期对相关人员进行安全培训。区各级数据提供部门、数据使用部门、数据技术管理部门应当加强信息技术外包服务安全管理。
2、教育重要数据描述
1)重要性描述:
(1)“影响”指教育重要数据对国家安全、公共利益的影响,即教育重要数据之所以“重要”的理由;
(2)“安全威胁”指教育重要数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的安全威胁;
(3)“重要性时效”指教育重要数据维持“重要性”的时间长度,时效过后便不再属于教育重要数据。
2)产生、使用与保护:
(1)“数量”指教育重要数据的量;
(2)“来源”指教育重要数据如何收集或产生;
(3)“用途”指使用教育重要数据的目的以及具体方式方法;
(4)“共享情况”指与其他组织共享、委托处理教育数据的情况;
(5)“保护情况”指对教育重要数据采取的安全保护措施。
3、教育重要数据识别
建立识别原则,包括了:聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评。
数据分类分级,按照区教育数据的价值、内容敏感程度、影响和分发范围不同对教育数据进行敏感级别划分。不同敏感级别的数据有不同的管控原则和数据应用的要求。教育数据分类包括个体教育数据、课程教育数据、班级教育数据、学校教育数据、区教育数据、区教育大数据。
通过目标模型的训练状态及训练结果,并根据训练结果判断该模型是否符合重要数据标准,用于识别数据。提供多维度的关联分析及算法,智能化的分析技术实现重要数据的识别,主动发现风险操作并预警,使用可视化方式进行一站式审计。
识别规则定义重要数据识别的内容。满足重要数据内容识别或字段名称识别规则其中任何一个条件,即可命中识别。重要数据字段可进行敏感数据识别。重要数据及敏感字段识别规则并通过测试、满足识别的准确性。
4、教育数据识别安全
区教育重要数据识别符合上海教育数据管理的各类规范要求。区教育局组织技术力量定期开展区教育数据资源风险评估和安全审查,完善统一身份认证、权限管理、数据加密等技术防护体系,增强技术防范能力。各单位要建立健全信息安全制度,对区教育数据资源实施分级分类管理,确保区教育数据资源采集、共享、开放和使用安全。
各单位要建立应急响应和灾备恢复机制,制定工作预案,按教育数据资源重要程度采取相应措施。
各单位要提高个人信息保护意识,充分保障师生、家长的知情权和隐私权。按照《信息安全技术网络安全等级保护基本要求》确定信息系统等保级别,并做好安全测评与整改。单位要明确个人信息保护负责人,负责对个人信息处理活动及安全防护措施进行监督。
5、重要数据识别监督
区教育局负责对重要数据资源识别管理工作情况进行汇总统计,定期通报有关情况。
各单位的主要领导是本单位重要数据资源管理及识别工作的第一责任人,负责统筹领导和组织本单位重要数据资源管理工作。各单位应不断完善重要数据资源管理制度,落实组织保障,严格工作程序,切实做好重要数据资源识别的管理与服务工作。
各单位不符合识别管理要求的,由区教育局责令整改,未按规定整改的,依法依规进行处理。
6、重要数据目录管理
区教育数据资源实行统一目录管理。教育数据资源目录分为职责目录和系统目录。区教育局制定本区教育数据资源目录规范和管理办法,指导区教育各单位开展目录编制与管理工作,确定重要数据资源的共享和开放属性,作为开展教育重要数据资源共享开放工作的依据。
各单位依据职责,负责编制本单位的职责目录,明确目录中数据资源的采集途径、更新时限、数据格式以及共享开放属性等。
明确系统中重要数据资源的存储格式、获取路径、共享方式等,在信息系统立项建设或改造前,要在区教育数据平台更新系统目录。
各单位应明确本区教育数据资源目录中重要数据资源的采集途径、更新时限、数据格式、共享类型等。区教育数据资源管理部门统筹汇总区各级教育数据资源目录,形成全区教育重要数据资源目录,并汇聚到区教育数据资源管理平台。
依托区教育数据资源管理平台和数据资源目录,提供教育数据资源共享服务,做到一次汇聚、充分共享。各单位的数据共享要通过区教育数据资源管理平台完成,各业务应用系统之间不得单独开展重要数据共享对接。涉及共享教育部、区各部门等外单位数据的,要通过区教育数据资源管理平台开展,避免多头对接。
应遵循“共享为常态,不共享为例外”原则,按共享类型分为无条件共享、有条件共享和不予共享三种。
按照“谁提供、谁维护,谁使用、谁负责”的原则,提供单位应及时更新数据资源,确保数据资源的质量和时效。
使用单位对共享获取的数据资源有疑义或发现错误的,应及时反馈提供单位核验,同时报送区教育局。判定确有问题的,提供单位应及时修改校正相关数据资源。
使用单位对教育重要数据资源进行研究、分析、挖掘及创新应用时,应当按照法律、法规规定保护国家秘密、工作秘密和个人隐私。
7、重要数据目录开放
区教育各单位负责编制开放目录,明确拟开放教育重要数据资源目录的内容、时间、范围、形式和更新周期等,对拟开放数据资源进行加工处理,制作使用说明,保证重要数据资源的准确性和可用性。
区教育局负责收集整理社会公众对教育重要数据目录开放的需求,及时转交至提供单位。提供单位应在指定工作日内对开放需求做出响应,将结果反馈至区教育局。
未经数据责任主体授权,不得滥用、复制、传播数据。
由区教育数据资源管理平台统一向社会开放教育重要数据目录。
在数据产品、研究报告、学术论文等成果利用教育重要数据,应当在成果中注明数据来源。