校屬各單位:
為深入貫徹落實(shí)《陜西省教育廳辦公室關(guān)于進(jìn)一步加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)的通知(陜教信辦〔2020〕2號(hào))》文件精神,增強(qiáng)我校各單位數(shù)據(jù)安全意識(shí),提升廣大師生的數(shù)據(jù)安全和個(gè)人信息保護(hù)能力,切實(shí)保護(hù)我校師生個(gè)人信息安全,防止個(gè)人信息的泄露,現(xiàn)將我校進(jìn)一步加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)的要求通知如下:
一、強(qiáng)化數(shù)據(jù)安全意識(shí),落實(shí)數(shù)據(jù)安全和個(gè)人信息保護(hù)責(zé)任
各單位應(yīng)嚴(yán)格按照《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求(GB/T 22239-2019)》等法律法規(guī)以及規(guī)范要求,充分認(rèn)識(shí)數(shù)據(jù)安全和個(gè)人信息保護(hù)工作的重要性和緊迫性,強(qiáng)化數(shù)據(jù)安全和個(gè)人信息保護(hù)意識(shí),按照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則明確本部門數(shù)據(jù)安全和個(gè)人信息保護(hù)責(zé)任人。
二、開展數(shù)據(jù)安全自查,全面摸清底數(shù)
各單位重點(diǎn)排查本單位相關(guān)信息系統(tǒng)、網(wǎng)站及線下數(shù)據(jù)采集、保存、傳遞、處理、應(yīng)用、銷毀等環(huán)節(jié)中可能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn),特別是涉及師生個(gè)人信息和隱私泄露的風(fēng)險(xiǎn)點(diǎn),切實(shí)保障師生個(gè)人信息安全。
相關(guān)單位要嚴(yán)格按照下述自查內(nèi)容逐條排查,并及時(shí)整改發(fā)現(xiàn)的問題和風(fēng)險(xiǎn)隱患,自查的主要內(nèi)容包括:
(一)數(shù)據(jù)安全管理組織機(jī)構(gòu)。各單位是否認(rèn)真落實(shí),嚴(yán)格遵守,建立以主要負(fù)責(zé)人負(fù)責(zé)的網(wǎng)絡(luò)安全責(zé)任制。
(二)數(shù)據(jù)全生命周期管理情況。各單位是否按照《中華人民共和國網(wǎng)絡(luò)安全法》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等制度的要求,采集必要數(shù)據(jù)和個(gè)人信息。數(shù)據(jù)采集是否嚴(yán)格遵循最小范圍原則。是否嚴(yán)格控制數(shù)據(jù)在采集、存儲(chǔ)、傳遞、處理、應(yīng)用、銷毀等各環(huán)節(jié)中的知悉范圍。
(三)網(wǎng)絡(luò)安全相關(guān)備案辦理情況。是否按照信息與網(wǎng)絡(luò)管理中心要求對信息系統(tǒng)、網(wǎng)站進(jìn)行備案。在發(fā)生新增、變更、撤銷時(shí)是否及時(shí)對備案信息進(jìn)行更新(在我?!熬W(wǎng)上辦事大廳”中進(jìn)行信息系統(tǒng)及網(wǎng)站的備案申請)。
(四)網(wǎng)絡(luò)安全技術(shù)措施落實(shí)情況。重點(diǎn)檢查訪問控制、日志留存、數(shù)據(jù)加密、防篡改、防泄密等技術(shù)措施的有效性,信息系統(tǒng)是否存在安全漏洞,以及電腦、移動(dòng)存儲(chǔ)設(shè)備、電子文檔的安全防護(hù)措施。
(五)線下數(shù)據(jù)安全和個(gè)人信息保護(hù)情況。檢查線下數(shù)據(jù)采集、保存、傳遞、處理、應(yīng)用、銷毀等環(huán)節(jié)中是否存在風(fēng)險(xiǎn)點(diǎn),是否落實(shí)了切實(shí)有效的保護(hù)制度,杜絕非法使用、提供、出售師生個(gè)人信息的行為。
三、強(qiáng)化數(shù)據(jù)信息全生命周期管理,切實(shí)做好線上線下安全防護(hù)
各單位應(yīng)切實(shí)加強(qiáng)數(shù)據(jù)在采集、存儲(chǔ)、傳輸、處理、應(yīng)用、共享、銷毀等全生命周期的安全防護(hù),嚴(yán)防信息泄露。確保應(yīng)用系統(tǒng)管理和線下數(shù)據(jù)安全責(zé)任落實(shí)到人,特別是涉及招生、教務(wù)、財(cái)務(wù)、人事、學(xué)生等信息的管理。信息系統(tǒng)需強(qiáng)化口令控制、病毒掃描、漏洞補(bǔ)丁等基礎(chǔ)安全措施,確保各類硬件設(shè)備安全可控。對信息系統(tǒng)的操作行為進(jìn)行身份標(biāo)識(shí)、口令限制、訪問控制和操作管理審計(jì)。安排專人管理信息系統(tǒng)所涉及的數(shù)據(jù)信息,規(guī)范各類管理人員對數(shù)據(jù)庫管理操作,加強(qiáng)數(shù)據(jù)操作記錄審計(jì)和追溯,避免數(shù)據(jù)信息泄露。
重點(diǎn)注意事項(xiàng)如下:
(一)嚴(yán)格控制身份證號(hào)、電話號(hào)碼、家庭住址等個(gè)人敏感信息收集,原則上不采集未成年人的人臉、指紋等生物識(shí)別信息。
(二)禁止通過公共郵箱和微信、QQ等公共即時(shí)通訊工具傳遞非涉密重要數(shù)據(jù)。重要數(shù)據(jù)不得通過公共互聯(lián)網(wǎng)傳遞。
(三)各單位收集產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,不得用于商業(yè)用途,未經(jīng)收集數(shù)據(jù)的批準(zhǔn)部門同意,不能與第三方共享。
(四)因階段性工作收集產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,在相應(yīng)工作結(jié)束后(如因疫情防控收集的相關(guān)數(shù)據(jù),在疫情防控工作結(jié)束后),相關(guān)數(shù)據(jù)原則上不能保留。
(五)禁止發(fā)布(上傳)包含個(gè)人數(shù)據(jù)和敏感信息的內(nèi)容。
(六)要加強(qiáng)對各類賬號(hào)和密碼的管理,定期更換密碼、杜絕弱口令。
(七)各單位自建的業(yè)務(wù)信息系統(tǒng)要及時(shí)打補(bǔ)丁和封堵漏洞。
(八)加強(qiáng)對移動(dòng)存儲(chǔ)介質(zhì)和筆記本電腦的管理,采取有效措施防范因失竊而造成的個(gè)人數(shù)據(jù)和敏感信息泄露。
四、完善工作機(jī)制,提升數(shù)據(jù)安全事件應(yīng)急處理能力
各單位應(yīng)加強(qiáng)對網(wǎng)絡(luò)隱患的日常監(jiān)測,保證對網(wǎng)絡(luò)安全事件做到快速覺察、快速反應(yīng)、及時(shí)處理、及時(shí)恢復(fù)。各單位應(yīng)進(jìn)一步規(guī)范線下個(gè)人信息采集、保存、傳遞、處理、應(yīng)用、銷毀等環(huán)節(jié)的相關(guān)工作,加強(qiáng)師生個(gè)人信息保護(hù),落實(shí)數(shù)據(jù)安全責(zé)任,防止師生個(gè)人信息泄露。
對于發(fā)生數(shù)據(jù)泄露事件的,應(yīng)按照《陜西科技大學(xué)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的要求及時(shí)報(bào)送相關(guān)部門,并妥善處置,將影響降到最低。
信息與網(wǎng)絡(luò)管理中心
2020年6月18日