2025年教育数据安全管理规范考核试题及答案（学校专用）

2025年教育数据安全管理规范考核试题及答案（学校专用）一、单项选择题（每题2分，共15题，满分30分）1.根据《教育数据安全管理办法》，学校教育数据安全管理的第一责任人是（）A.学校分管信息化工作的副校长B.学校法定代表人（主要负责人）C.学校信息中心主任D.学校德育主任2.下列选项中，属于教育敏感个人信息的是（）A.学生所在班级B.学生姓名C.学生人脸生物识别信息D.学生期末考试成绩3.学校收集师生个人信息，应当遵循的核心原则是（）A.多多益善原则，全面收集各类信息方便管理B.最少够用原则，只收集实现处理目的的最小范围信息C.全面覆盖原则，同步收集师生及家属所有信息D.管理优先原则，为了管理需要可以突破收集范围限制4.学校委托第三方企业开发智慧校园管理系统，合同约定第三方负责处理学籍数据，该场景下教育数据安全的主体责任承担者是（）A.第三方企业承担全部责任B.学校承担主体责任C.学校和第三方各承担一半责任D.属地教育行政部门承担责任5.处理不满（）周岁未成年人的教育个人信息，应当依法征得未成年人监护人的明确单独同意A.10B.14C.16D.186.根据教育数据分类分级相关规范，学校教育数据按敏感程度从低到高分级，正确的排序是（）A.公开数据、内部数据、敏感数据、核心数据B.内部数据、公开数据、敏感数据、核心数据C.公开数据、敏感数据、内部数据、核心数据D.公开数据、内部数据、核心数据、敏感数据7.下列教育数据处理活动中，不需要提前开展专门数据安全风险评估的是（）A.新增基于学生人脸数据的宿舍门禁系统B.向合作教育机构共享本届毕业生升学意向数据C.开展新生学籍信息批量入库统计工作D.批量删除超过保存期限的毕业生个人信息8.关于学校存储学生敏感个人信息的做法，符合安全规范要求的是（）A.存储在开放共享的公共云盘，方便教职工随时调取B.加密存储在学校内部隔离的专有服务器C.和公开数据一同存储在学校门户网站服务器D.由年级主任分散存储在个人移动U盘中9.学校发生教育数据安全事件后，应当在（）小时内向属地教育行政部门和网信部门报告A.12B.24C.48D.7210.根据教育数据安全管理要求，学校对全体教职工开展教育数据安全培训，至少多久开展一次（）A.每季度B.每半年C.每年D.每两年11.师生提出查询、更正本人个人信息的请求，学校应当在（）个工作日内予以答复处理A.7B.15C.30D.6012.下列场景中，属于学校违法违规处理学生个人信息的是（）A.为落实疫情防控要求收集学生每日健康监测信息B.为提升学校升学宣传效果，向校外培训机构有偿提供本届高分学生信息C.为办理国家助学贷款收集学生家庭经济状况信息D.为维护校园安全收集入校人员人脸身份信息13.学校报废存储过教育敏感核心数据的硬件硬盘，正确的处理方式是（）A.直接当作二手废品对外出售B.格式化删除文件后，分配给后勤部门日常办公使用C.进行物理粉碎销毁，防止数据被恢复D.删除所有文件后继续存储普通公开数据使用14.学校建设人脸识别门禁系统，下列做法符合数据安全规范的是（）A.强制要求所有学生必须刷脸入校，不提供其他身份验证方式B.采集的人脸模板存储在学校内部加密服务器，不存储在第三方公共云C.为节省存储空间，采集人脸数据后不需要定期更新清理过期数据D.为推广学校智慧校园经验，将人脸数据提供给设备厂商用于产品宣传15.根据我国教育管理体制，统筹负责全国教育系统数据安全管理工作的部门是（）A.教育部B.中央网信办C.公安部D.工业和信息化部二、多项选择题（每题3分，共10题，满分30分；多选、少选、错选均不得分）1.学校开展的教育数据处理活动涵盖数据全生命周期，下列属于教育数据处理活动的有（）A.收集、存储教育数据B.加工、使用教育数据C.传输、提供教育数据D.公开、删除教育数据2.下列选项中，属于学校教育核心数据的有（）A.国家教育考试在考期间的电子保密试卷数据B.中考自主招生涉密评审专家信息及评分数据C.全国中小学生学籍管理系统中的关键学籍信息D.普通班级单元测试的学生成绩信息3.下列学校收集处理师生个人信息的做法，符合安全规范要求的有（）A.公示获奖学生信息时，仅公示姓名、获奖项目，不公开学生家庭住址、银行卡号等敏感信息B.新生入学时要求所有新生提交全部家庭成员的身份证号、银行卡号，方便办理各类补助C.要求所有学生手机24小时开启定位权限，实时监控学生校外行踪轨迹D.学生毕业离校后，对超过法定保存期限的学生个人信息，按规范进行销毁删除4.学校委托第三方机构处理教育数据，应当落实的安全管理要求有（）A.事前对第三方的数据安全资质和防护能力进行审查B.签订专门的数据安全保密协议，明确双方安全责任C.明确第三方处理教育数据的范围、权限和期限D.第三方完成合作任务后，要求其及时删除销毁所有接触到的教育数据，并对删除情况进行核查5.下列情形中，属于教育数据安全事件的有（）A.批量学生个人信息被非法泄露B.学籍数据库被黑客攻击篡改C.存储核心数据的服务器硬盘损坏导致数据全部丢失D.内部教职工越权访问敏感学生信息数据库6.学校应当建立健全的教育数据安全管理制度包括（）A.教育数据分类分级保护制度B.教育数据访问权限管理制度C.教育数据安全定期风险评估制度D.教育数据安全应急处置制度7.下列关于未成年人教育数据保护的做法，正确的有（）A.处理不满14周岁未成年人个人信息，依法取得监护人的明确同意B.接受监护人提出的查询、更正未成年人个人信息的请求，并及时处理C.对有违法犯罪记录的未成年学生，不随意公开其相关信息D.为宣传学校德育活动，随意在学校官方公众号发布未成年学生的照片、姓名和家庭信息8.下列教职工的行为中，违反教育数据安全管理规定的有（）A.为了工作方便，越权访问不属于自己职责范围的学生学籍数据库B.将自己的系统账号密码借给校外合作人员使用C.定期对自己使用的办公电脑进行病毒查杀和系统更新D.为了做科研，私自批量导出学生个人信息存储在个人笔记本电脑中9.学校开展教育数据安全风险评估，评估内容应当包括（）A.数据收集、存储、传输、使用各环节存在的安全隐患B.学校现有数据安全管理制度的落实情况C.发生数据安全事件的可能性及可能造成的危害程度D.现有数据安全防护措施的有效性10.学校发生教育数据安全事件后，应当立即采取的处置措施有（）A.立即采取技术管控措施，防止数据进一步泄露扩散B.排查事件原因，消除安全隐患C.按规定及时告知受影响的师生及监护人D.及时向属地教育行政部门和网信部门报告，不得迟报、瞒报、漏报三、判断题（每题1分，共10题，满分10分；正确打“√”，错误打“×”）1.为了方便教职工远程办公，学校可以将存储学生敏感个人信息的服务器直接接入公共互联网。（）2.师生个人信息归信息主体所有，学校不得超出法定或约定范围使用师生个人信息。（）3.学校主要负责人离任时，不需要交接教育数据安全管理相关工作。（）4.学校开展批量敏感个人信息处理活动前，必须开展专门的数据安全风险评估。（）5.教育数据完成分类分级后，不需要动态调整分级结果，一次分级终身有效。（）6.涉及国家秘密的教育数据，必须按国家保密规定管理，学校不得擅自公开。（）7.只要学校认为学生个人信息还有使用价值，就可以拒绝学生提出的删除个人信息的请求。（）8.学校委托第三方处理教育数据，只需要签订合作协议即可，不需要事前开展第三方安全资质审查。（）9.根据规范要求，学校每年至少开展一次教育数据安全应急演练。（）10.公开教育数据可以免费获取，因此任何人都可以随意使用公开教育数据牟利，不受限制。（）四、简答题（每题5分，共2题，满分10分）1.简述学校教育数据安全第一责任人的主要职责。2.简述学校收集未成年人个人信息应当遵循的基本要求。五、案例分析题（共1题，满分20分）某区县初级中学为创建市级智慧校园示范校，和某科技公司合作建设校园全场景人脸识别系统，涵盖校门门禁、食堂消费、宿舍考勤三个场景。双方签订的合作协议约定，由科技公司免费提供设备，负责系统运维，所有采集的师生人脸数据存储在科技公司的公有云服务器上，方便科技公司远程升级维护。学校为了提升管理效率，发布通知要求所有在校学生必须采集人脸信息，必须刷脸进出校门、食堂和宿舍，不接受学生证、校园卡等其他身份验证方式。投入使用8个月后，该科技公司发生云服务器漏洞被黑客攻击，导致该中学近1200名学生的人脸数据被泄露至境外网络平台，引发学生和家长的集体恐慌，对学校声誉造成严重负面影响。请结合教育数据安全管理相关规范，分析该中学在此次事件中存在哪些违规行为，并说明对应的正确做法。参考答案及解析一、单项选择题参考答案及解析1.答案：B解析：根据《教育数据安全管理办法》明确要求，教育数据安全管理实行单位主要负责人负责制，学校的主要负责人（法定代表人、校长）是教育数据安全第一责任人。2.答案：C解析：根据《个人信息保护法》，生物识别信息属于典型的敏感个人信息，一旦泄露会严重危害自然人的人身财产安全，学生人脸信息属于教育敏感个人信息。3.答案：B解析：个人信息保护和教育数据安全的核心原则是最小必要、最少够用，仅收集实现处理目的所必需的最少范围信息，不得超范围收集。4.答案：B解析：委托第三方处理教育数据的，委托方即学校承担教育数据安全的主体责任，第三方承担约定的安全责任。5.答案：B解析：根据《个人信息保护法》和教育数据安全规范，不满14周岁未成年人的个人信息属于敏感个人信息，处理此类信息必须征得监护人的明确单独同意。6.答案：A解析：根据《教育数据分类分级指南》，教育数据按敏感程度和泄露后造成的危害程度，从低到高分为公开数据、内部数据、敏感数据、核心数据四个级别。7.答案：D解析：新增处理活动、共享敏感数据、批量入库敏感信息都属于需要开展风险评估的场景，批量删除超过保存期限的过期数据属于常规运维操作，不需要开展专门风险评估。8.答案：B解析：学生敏感个人信息必须加密存储在学校内部隔离的专有服务器，不得存储在公共开放网络或个人存储设备中。9.答案：B解析：根据《教育数据安全管理办法》，发生教育数据安全事件后，学校应当在24小时内向属地教育行政部门和网信部门报告。10.答案：C解析：规范要求学校每年至少组织一次全体教职工的教育数据安全全员培训，提升数据安全意识。11.答案：B解析：根据《个人信息保护法》，信息主体提出信息查询、更正、删除等请求的，处理者应当在15个工作日内予以答复。12.答案：B解析：向第三方有偿提供学生个人信息超出了学校合法处理范围，属于违规违法行为。13.答案：C解析：存储过敏感核心数据的存储介质，报废时必须进行物理销毁，普通删除、格式化都可以恢复数据，存在泄露风险。14.答案：B解析：学校采集的师生生物识别信息原则上应当存储在学校内部加密服务器，不得存储在第三方公共云；同时不得强制要求师生刷脸，必须提供替代验证方式，不得随意向第三方提供人脸数据，定期清理过期数据。15.答案：A解析：教育部统筹负责全国教育系统的教育数据安全管理工作。二、多项选择题参考答案及解析1.答案：ABCD解析：根据《数据安全法》，数据处理包括数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期所有活动，因此四项均正确。2.答案：ABC解析：核心数据是指泄露后会危害国家安全、公共利益或者个人重大利益的数据，普通单元测试成绩属于内部数据，不属于核心数据，因此ABC正确。3.答案：AD解析：选项B超范围收集不必要的家庭成员信息，选项C属于超出管理必要收集行踪轨迹，均违反最小必要原则，因此AD正确。4.答案：ABCD解析：委托第三方处理教育数据，需要落实事前审查、签订协议、明确权责、事后销毁核查全流程管理要求，四项均正确。5.答案：ABCD解析：数据泄露、篡改、丢失、越权访问都属于破坏数据保密性、完整性、可用性的安全事件，四项均正确。6.答案：ABCD解析：分类分级保护、权限管理、风险评估、应急处置都是学校必须建立的核心数据安全管理制度，四项均正确。7.答案：ABC解析：选项D未获得监护人和未成年人同意，随意公开未成年人个人信息，违反未成年人个人信息保护规定，因此ABC正确。8.答案：ABD解析：选项C属于符合安全规范的日常运维操作，其余三项均违反数据安全管理规定，因此ABD正确。9.答案：ABCD解析：风险评估需要覆盖隐患排查、制度落实、危害程度、防护有效性四个方面，四项均正确。10.答案：ABCD解析：发生数据安全事件后，需要采取止漏、排因、告知、上报全流程处置措施，四项均正确。三、判断题参考答案及解析1.答案：×解析：存储敏感核心数据的服务器应当采取网络隔离措施，不得直接接入公共互联网，防止被黑客攻击窃取数据。2.答案：√解析：信息主体对个人信息享有法定的知情权、决定权、查询权、更正权、删除权等权利，学校不得超出范围使用。3.答案：×解析：学校主要负责人离任时，应当完成教育数据安全管理工作交接，明确责任划分。4.答案：√解析：批量处理敏感个人信息属于高风险处理活动，按照规范要求必须提前开展风险评估。5.答案：×解析：学校应当每年对教育数据分级情况进行复核调整，数据性质、敏感程度发生变化的，应当及时调整分级。6.答案：√解析：涉密教育数据严格按照国家保密法律法规管理，任何单位和个人不得擅自公开。7.答案：×解析：学生提出的删除请求符合法定情形的，学校必须依法删除，不得无故拒绝。8.答案：×解析：委托第三方处理教育数据必须事前开展安全资质审查，评估第三方的安全防护能力，不符合要求的不得委托。9.答案：√解析：规范明确要求学校每年至少开展一次教育数据安全应急演练，提升应急处置能力。10.答案：×解析：公开教育数据受知识产权和著作权保护，不得随意用于商业牟利，必须遵守相关使用规定。四、简答题参考答案及解析1.参考答案：学校教育数据安全第一责任人的主要职责包括：（1）组织制定学校教育数据安全管理制度、工作流程和应急预案；（1分）（2）统筹配置教育数据安全保护所需的人员、经费、技术设备等资源；（1分）（3）定期研究部署学校数据安全工作，听取数据安全工作汇报，解决数据安全重大问题；（1分）（4）组织开展数据安全检查、风险评估和应急处置工作；（1分）（5）对学校教育数据安全工作负总责。（1分）解析：该职责符合《教育数据安全管理办法》对单位第一责任人的职责要求，覆盖了从制度建设到应急处置的全流程责任。2.参考答案：学校收集未成年人个人信息应当遵循以下基本要求：（1）遵循合法、正当、必要、最少够用原则，不得超出办学和管理的必要范围收集信息；（2分）（2）处理不满14周岁未成年人个人信息，应当依法征得监护人的明确单独同意，不得强迫提供信息；（1分）（3）公示未成年人信息时，应当对敏感个人信息进行去标识化处理，不得泄露未成年人的敏感隐私信息；（1分）（4）保存期限届满后，应当及时按规范销毁不再需要的未成年人个人信息。（1分）解析：该要求符合《个人信息保护法》和《未成年人网络保护条例》的相关规定，贴合学校日常管理实际。五、案例分析题参考答案及解析该中学存在以下五方面违规行为，对应正确做法如下：1.违规存储敏感个人信息：将学生人脸这一敏感生物识别信息违规存储在第三方公有云服务器，未落实校内存储要求。（4分）正确做法：学生生物识别敏感个人信息原则上应当存储在学校内部加密隔离的专有服务器；确需第三方存储的，应当提前开展风险评估，签订专门的数据安全协议，对数据进行加密处理，定期开展安