《教育系统核心数据和重要数据识别认定工作指南(试行)》

《教育系统核心数据和重要数据识别认定工作指南(试行)》一、总则（一）目的依据为落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国教育法》《教育信息化“十四五”规划》等法律法规及政策要求，规范教育系统核心数据和重要数据的识别认定工作，强化教育数据安全管理，维护国家教育安全、公共利益及师生合法权益，制定本指南。（二）术语定义1.核心数据：指关乎国家教育主权、战略安全及公共教育利益，一旦泄露、篡改、滥用将直接影响国家教育稳定、危害国家安全的教育数据。2.重要数据：指影响教育系统正常运转、师生合法权益，一旦泄露可能造成区域教育秩序混乱、大规模个人信息侵权的教育数据。（三）适用范围本指南适用于各级教育行政部门、各级各类学校（含幼儿园、中小学、职业院校、普通高校）、教育科研机构、教育类事业单位及教育信息化服务提供方（以下统称“教育数据处理者”）开展核心数据和重要数据的识别认定工作。（四）工作原则1.分类分级：依据数据属性、风险程度明确核心与重要数据边界，实施差异化安全管控。2.谁主管谁负责：教育数据处理者为识别认定工作责任主体，主要负责人为第一责任人。3.动态调整：结合数据生命周期、外部环境变化，定期更新认定结果。4.安全合规：严格遵循国家数据安全、个人信息保护相关法律法规，确保识别认定工作合法规范。二、识别认定范围（一）教育管理类数据1.宏观教育治理数据：全国教育事业发展中长期规划、国家级教育改革顶层设计数据、全国教育经费年度预算及执行核心数据、国家级教育督导评估原始数据。2.招生考试核心数据：国家级教育考试（普通高考、研究生招生考试、国家职业资格教育考试等）的命题数据、考生成绩原始数据库、录取投档规则核心参数；省级教育考试（中考、专升本考试等）的考务管控核心数据；全国各级招生计划总量及分配数据。3.教育应急管理数据：教育系统重大突发事件（如校园安全事故、教育舆情事件）的应急处置预案及核心处置记录、教育系统党风廉政建设核心监督数据。（二）师生信息类数据1.教职工核心数据：全国教职工编制总量数据、国家级骨干教师及学科带头人身份信息、教职工涉密岗位职责及权限数据、特级教师评审核心数据。2.学生核心信息：全国学生学籍总量数据、国家学生资助专项计划数据、少数民族学生集中区域的学生身份及分布数据、学生生物识别数据（人脸、指纹、虹膜等）、学生心理健康档案中的重度抑郁及自杀倾向数据。3.师生敏感个人信息：师生的医疗健康档案（含传染病史）、家庭经济困难认定核心依据、师生行踪轨迹批量数据、未成年学生的监护权变更数据。（三）教育教学类数据1.核心课程资源数据：国家级精品课程核心教学内容、国家通用语言文字推广关键资源、涉密课程教学资料、国家级教材编写核心大纲。2.学业评价核心数据：全国学业水平考试统一评分标准、国家级教育质量监测原始数据、高校研究生学位论文核心评审意见、国家级竞赛命题及评审数据。3.教育教学支撑数据：国家智慧教育平台核心算法模型、大规模在线教育用户行为分析核心数据、教育教学改革试点核心成果数据。（四）科研创新类数据1.国家级科研项目数据：国家重点研发计划（教育领域）的项目申报书、中期评审及结题验收核心数据；教育系统涉密科研项目的研究内容、实验数据及成果报告；国家级教育科研奖项获奖成果核心数据。2.高校科研核心数据：“双一流”高校学科建设核心评估数据、高校国家级科研经费专项数据、高校涉密实验室实验记录及成果数据、教育类国家级智库战略咨询报告。3.教育创新成果数据：国家级教育信息化创新试点核心数据、教育人工智能技术研发核心模型、教育大数据分析的国家级应用成果。（五）基础设施类数据1.教育网络关键数据：国家教育主干网核心拓扑结构、教育系统关键信息基础设施安全配置数据、国家级教育云平台核心运维数据、教育系统网络安全事件应急处置核心数据。2.智慧校园核心数据：智慧校园平台用户权限配置数据、校园安全监控核心存储数据、教育信息化设备核心资产台账、校园一卡通系统敏感交易数据。3.安全防护核心数据：教育系统国家级网络威胁情报数据、教育系统漏洞库高危漏洞信息、教育数据安全态势感知平台核心监测数据。（六）对外合作类数据1.中外合作办学数据：中外合作办学核心课程设置、外籍教师涉密身份信息、中外合作办学招生规模及学位授予核心数据、境外教育机构在华合作核心协议内容。2.国际交流敏感数据：教育系统国家级国际交流项目人员选派数据、境外高校与国内高校合作科研核心数据、涉及港澳台地区教育交流的敏感信息。3.境外教育服务数据：国内教育机构在境外办学核心规划数据、境外教育资源引入的敏感内容数据、教育系统对外发布的敏感统计数据。三、识别认定标准（一）核心数据认定标准符合以下任一情形的教育数据，应当认定为核心数据：1.涉及国家教育主权与战略安全的（1）全国教育事业发展中长期规划、国家级教育改革发展顶层设计文件数据；（2）国家级教育考试命题方案、评分标准及保密管理流程数据；（3）教育系统涉及国家秘密的科研项目全部数据、国家级教育智库战略咨询报告；（4）国家教育主干网核心拓扑结构及安全防护配置数据。2.影响国家教育公共利益的（1）全国义务教育入学均衡配置核心数据、全国教育经费投入国家级专项数据；（2）国家级教育质量监测原始数据及分析报告、全国学生资助专项计划执行数据；（3）全国教职工编制总量及分配数据、国家级骨干教师及学科带头人核心信息。3.关乎教育系统全局稳定的（1）教育系统重大突发事件应急处置预案及核心处置记录；（2）国家智慧教育平台核心算法模型及运维数据；（3）教育系统涉密岗位人员总量及分布数据。（二）重要数据认定标准符合以下任一情形的教育数据，应当认定为重要数据：1.影响区域教育系统稳定的（1）省级教育事业发展规划、区域教育资源分配核心数据；（2）省级教育考试考生成绩汇总数据、区域招生录取投档结果数据；（3）区域教育突发事件处置数据、民办教育机构核心监管数据。2.涉及大规模师生合法权益的（1）某区域内集中的师生医疗健康档案数据、未成年学生敏感身份信息批量数据；（2）高校教职工薪酬及福利核心数据、大规模学生学业评价数据；（3）区域内学生资助实施数据、师生行踪轨迹批量数据。3.影响教育机构正常运转的（1）学校核心财务数据（含基建经费、科研经费）、智慧校园平台用户行为分析数据；（2）高校学科建设核心评估数据、学校科研项目经费管理数据；（3）校园安全监控批量存储数据、教育信息化设备核心运维数据。4.涉及对外合作敏感领域的（1）中外合作办学招生录取数据、外籍教师教学内容监管核心数据；（2）区域内国际交流项目人员选派数据、境外教育合作核心协议数据；（3）教育系统对外发布的区域教育敏感统计数据、涉及港澳台地区教育交流核心数据。四、识别认定流程（一）组建工作组教育数据处理者应当组建由数据管理部门、信息安全部门、业务部门、法务部门及纪检监察部门人员组成的识别认定工作组，明确各成员职责，制定本单位识别认定实施方案，细化时间节点及任务分工。（二）数据资产全面梳理工作组对本单位所有数据资产进行拉网式梳理，建立《数据资产台账》，明确数据名称、产生来源、存储位置、处理方式、涉及主体、安全等级现状、共享范围等信息。重点排查跨部门共享的交叉数据、未纳入集中管理的零散数据、线下存储的纸质敏感数据。（三）自主初判与专家评估工作组对照本指南的范围及标准，对梳理出的数据资产进行初判，区分核心数据、重要数据、一般数据。对于难以判定的复杂数据（如跨领域交叉数据、科研实验数据），应当邀请教育数据安全专家开展评估，或委托具备国家数据安全服务资质的第三方机构进行评估，评估报告需作为认定依据留存归档。（四）审核认定1.分级审核：国家级教育数据处理者的核心数据认定结果需报教育部数据安全领导小组审核；省级教育数据处理者的核心数据认定结果报省级教育行政部门审核，重要数据认定结果由本单位审核后报上级备案；市县级及以下教育数据处理者的核心数据报市级教育行政部门审核，重要数据由本单位审核后报县级教育行政部门备案。2.出具认定结果：审核通过后，教育数据处理者需出具《核心数据识别认定清单》及《重要数据识别认定清单》，明确数据的名称、类别、级别、存储位置、责任部门、安全管控要求、更新周期等内容。（五）备案与公示1.备案：教育数据处理者需将认定清单及相关评估材料报上级主管部门数据安全管理机构备案，国家级核心数据需同时报国家数据安全监管部门备案。2.公示：认定结果需在本单位内部进行公示（涉及国家秘密及个人隐私的除外），公示期不少于5个工作日，公示期间收集员工及相关主体的异议并及时核实处理。（六）异议处理单位内部员工或师生对认定结果有异议的，可在公示期内向工作组提交书面异议申请并附相关依据。工作组需在10个工作日内完成核查，出具异议处理意见；对异议处理意见不服的，可向上级主管部门数据安全管理机构申请复核，复核结果为最终结论。五、动态管理机制（一）定期复审教育数据处理者应当每年开展一次核心数据和重要数据的复审工作，复审内容包括：数据属性是否变化、安全管控措施是否有效、认定标准是否符合最新法律法规要求、数据共享范围是否合规。复审结果需更新认定清单并重新备案。（二）动态调整出现以下情形之一的，应当立即启动调整程序：1.数据用途发生重大变化，导致数据敏感程度显著提升或降低的；2.国家法律法规、政策标准更新，导致原认定标准不再适用的；3.发生数据安全事件，暴露出数据分级不当的；4.上级主管部门提出调整要求的。调整程序参照识别认定流程执行，调整后需重新备案并公示。（三）退出机制当数据符合以下情形之一时，可申请退出核心数据或重要数据清单：1.数据已完成使命，被依法销毁或永久删除的；2.数据经脱敏、去标识化处理后，不再具备敏感属性的；3.因法律法规变化，数据不再属于核心或重要数据范围的。退出申请需经工作组审核，报上级主管部门备案后，从认定清单中移除，并更新数据安全管控措施。六、保障措施（一）组织保障教育数据处理者应当成立数据安全领导小组，由主要负责人担任组长，明确数据安全管理部门的职责，配备专职数据安全管理人员，确保识别认定工作及后续管控责任落实到人。（二）技术保障1.部署数据分类分级技术工具，实现数据的自动识别、标记、分类，提高识别认定效率；2.对核心数据采用端到端加密存储、离线备份、物理隔离等高强度安全措施，对重要数据采用访问控制、脱敏处理、水印溯源等措施；3.建立数据安全监控系统，实时监测核心数据和重要数据的访问、传输、存储行为，及时发现并处置异常操作。（三）人员保障1.定期组织数据安全培训，内容包括数据安全法律法规、识别认定标准、安全管控措施、应急处置流程等，提高工作人员的专业能力和安全意识；2.对负责核心数据管理的人员实行持证上岗制度，要求具备数据安全管理相关资质（如CISP-DSG）；3.建立数据安全考核机制，将识别认定工作及安全管控情况纳入员工绩效考核，对表现优秀的给予奖励，对履职不力的追究责任。（四）监督考核1.上级教育行政部门应当定期对下级单位的识别认定工作进行检查，重点检查数据资产台账是否完整、认定标准是否执行到位、安全管控措施是否有效，检查结果纳入单位年度考核；2.教育数据处理者应当每年开展内部审计，审计内容包括识别认定流程的合规性、核心数据和重要数据的安全状况、数据共享的合规性等；3.对未按要求开展识别认定工作、隐瞒数据安全风险或发生数据安全事件的单位，依法依规追究相关人员责任，并通报批评。（五）应急处置1.制定核心数据和重要数据的安全应急预案，明确应急处置流程、责任人员、技术措施、报告路径等；2.每半