ICS 35.240.99 CCS L67 JY 中华人民共和国教育行业标准 JY/T 0651—2022 直播类在线教学平台安全保障要求 Cyber security requirements of online streaming classes platform XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国教育部 发布 JY/T 0651—2022 目 次 前言 1 范围. 2 规范性引用文件 3 术语和定义 4直播教学平台安全合规要求 4.1网络安全等级保护， 4.2应用程序（App）安全认证， 4.3信息安全风险评估. 4.4商用密码应用... 5直播教学模式安全功能要求 5.1用户注册和管理 5.2教学组织管理... 5.3教学互动管理... 5.4教学内容管理.. 5.5用户教育与培训. 6直播教学平台数据安全要求. 6.1数据分类分级..． 6.2数据安全风险防控 6.3个人信息保护 JY/T 0651—2022 前言 本文件按照GB/T1.1－2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国教育部科学技术与信息化司提出并归口。 本文件起草单位：中华人民共和国教育部科学技术与信息化司、教育部教育管理信息中心、清华大 学、腾讯云计算（北京）有限责任公司、阿里云计算有限公司、北京慕华信息科技有限公司、北京世纪 好未来教育科技有限公司、北京猿力教育科技有限公司、深信服科技股份有限公司、北京众思高远科技 有限公司、北京翼鸥教育科技有限公司。 本文件主要起草人：杨伟平、杜婧、刘少惠、张然、赵昱、雷朝滋、舒华、任昌山、潘润恺、李琳 娜、李建聪、曾德华、刘兴臣、段婷婷、张景凯、马勇、张宁、刘子韬、陈岑、刘卫昌、李建慧、贫继 忠、陈佳豪、李金刚、张涛、陈立峰、李明、孙大琳、王秀东、曹彩虹。 II JY/T 0651—2022 直播类在线教学平台安全保障要求 1范围 本文件规定了直播类在线教学平台的安全合规要求、安全功能要求及数据安全要求 本文件适用于直播类在线教学平台安全功能的开发、管理和使用，也适用于主管监管部门、第三方 评估机构等组织对直播类在线教学平台安全保障工作进行监督、管理和评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T20984-2022信息安全技术信息安全风险评估方法 GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T35273-2020信息安全技术个人信息安全规范 GB/T39335-2020信息安全技术个人信息安全影响评估指南 GB/T39786-2021信息安全技术信息系统密码应用基本要求 互联网用户账号信息管理规定（国家互联网信息办公室令2022第10号) 儿童个人信息网络保护规定（国家互联网信息办公室令2019第4号） 教育移动互联网应用程序备案管理办法（教技厅【2019】3号） 3术语和定义 下列术语和定义适用于本文件。 3.1 直播类在线教学平台 online streaming instruction platform 直播类在线教学平台（以下简称直播教学平台）是指支撑学校直播教学活动的技术平台，主要包括 三类：第一类是专门针对学校直播教学活动开发的技术平台，如各级教育行政部门、各级各类学校自建 的技术平台；第二类是社会第三方为教育开发的技术平台，具备直播教学的功能；第三类是社会第三方 为视频会议、直播等场景开发的技术平台，可以支持直播教学活动。 3.2 直播教学模式 online streaming instruction mode 直播教学模式是指直播教学平台提供的，专门针对学校直播教学活动开发的默认功能选项组合，具 有基本教学功能、较高易用性和较强安全保障能力。 3.3 帮助中心 help center 帮助中心是指通过实用简单的文字说明、示意配图或视频讲解等方式，帮助用户迅速了解直播教学 平台并解决问题的功能模块，包括平台介绍、入门和使用、常见问题等。 4直播教学平台安全合规要求 4.1网络安全等级保护 安全等级保护工作的通知》等法律法规和政策要求，进行信息系统（含App）等级保护定级备案， 直播教学平台应委托专业等级保护测评机构定期开展测评，并提供网络安全等级保护测评报告。 4.2应用程序（App）安全认证 JY/T 0651—2022 委托专业机构规范开展App安全认证，提供移动互联网应用程序（App）安全认证证书。 直播教学平台移动端应按照《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意 见》，完成教育移动互联网应用程序（App）备案。 4.3信息安全风险评估 直播教学平台应依据GB/T20984-2022的要求，开展信息安全风险评估，确保对检查中发现的风险 项修复整改完成，并提供信息安全风险评估报告。 4.4商用密码应用 文件的要求，使用商用密码进行保护，定期委托检测机构开展密码应用安全性评估，并提供密码应用安 全性评估报告。 5直播教学模式安全功能要求 5.1用户注册和管理 直播教学平台应具备完善的身份认证功能，应支持双因子认证、设备认证和实名认证。账号信息的 注册、使用和管理应符合《互联网用户账号信息管理规定》的要求。 直播教学平台应支持对违规账号实行权限限制；应支持直播教学活动管理者创建黑名单，并将特定 用户拉入黑名单。 直播教学平台应支持与用户提供的统一身份认证平台对接，实现用户身份的动态同步。 5.2教学组织管理 “， 直播教学平台应具备以下教学秩序保障功能： 支持教学班级成员管理功能； 支持指定成员进入直播教学活动的功能 支持锁定功能，防止外部人员或游客进入； 支持设置多种辅助教学角色，并分配不同的权限以协助教师维持正常直播教学秩序 -支持直播教学活动管理者根据需要删除他人共享文件等内容； 支持快速举报功能。 5.3教学互动管理 直播教学平台应具备对开启视频、开启语音、手写批注、屏幕共享、文件共享、文字输入等教学互 动权限进行单独控制的功能 直播教学平台应至少具备以下一键控制功能： 键暂停功能，一键禁止所有教学互动权限功能，且禁止后学生无法自主开启； -键关停功能，发生网课安全事件且不可控时，一键结束直播教学活动，在用户授权后同步 获取文字、图像、音视频等有效证据并向平台举报 直播教学平台应将“一键暂停”功能始终保持在直播教学界面的显眼位置。 5.4教学内容管理 5.4.1教学内容审核与管理要求 基于AI技术的自动检测，支持对违法和不良信息进行自动检测及过滤； -结合人工检测，实现对违法和不良信息进行人工审核 直播教学平台应支持针对直播教学活动的自动巡护，保证及时发现和处置安全问题， 5.4.2教学内容使用与保存要求 2 JY/T 0651—2022 直播教学平台提供直播教学内容使用与保存功能，应符合以下要求 支持教师实现直播教学活动过程的本地和平台端录制和保存； 支持教师设置查看与下载权限，控制直播教学内容传播范围； 一支持教师在平台端设置直播教学内容保存期限； 一支持用户对直播教学数据进行管理与应用，支撑教育大数据分析。 5.5用户教育与培训 直播教学平台应制定安全功能操作指南，包括但不限于操作手册、视频教程， 直播教学平台应提供安全应急指南，支撑用户开展直播教学安全事件的应急演练， 6直播教学平台数据安全要求 6.1数据分类分级 直播教学平台应识别教学相关的数据，落实以下教育数据分类分级措施： 识别直播教学活动各阶段所产生的数据，包括用户个人信息、直播教学数据和其他数据，形 成数据资源目录并持续更新； 制定数据分类分级管理制度，根据国家和教育行业标准，对所识别的数据进行分类分级，形 成重要数据目录并对列入目录的数据进行重点保护。 6.2数据安全风险防控 直播教学平台应开展以下数据安全风险防控工作： 采取入侵检测与防御、防信息泄露、异常流量监测、账号管理和安全审计等技术手段，防止 数据篡改、假冒、泄漏、窃取、未授权访问等安全事件发生； 在数据采集、数据存储、数据使用加工、数据传输、数据公开、数据销毁等数据处理环节中 采取安全保障措施; -对重要数据和敏感个人信息的关键操作设置并严格执行内部审批和审计流程； 注：重要数据和敏感个人信息的关键操作包括但不限于：批量修改、拷贝、删除、下载等。 加强数据处理活动风险监测，定期开展数据安全风险评估，涉及处理敏感个人信息的，应开 展个人信息保护影响评估； 对安全缺陷、漏洞等风险采取即时补救措施；对数据安全事件采取即时处置措施，并及时告 知用户和向有关主管部门报告： 的处理享有知情权与决定权，保护教育数据主权。 注：数据处理的知情权与决定权包括但不限于：查阅、更正、补充、复制、删除、改变授权范围等。 6.3个人信息保护 6.3.1隐私政策要求 直播教学平台应制定用户隐私政策，采取技术措施，弓引导用户查阅隐私政策， 直播教学平台在采集个人信息时，应确保个人信息主体的同意，不得以默认授权、功能捆绑等方式 误导强迫用户提供个人信息。 直播教学平台在收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人同意。 直播教学平台在收集儿童个人信息前，应当征得其监护人同意， 注：直播教学平台可采用弹窗、明显位置提示、URL链接等技术措施，设置查阅时间，引导用户查阅隐私政策。 6.3