校屬各單位:
為深入貫徹落實(shí)《陜西省教育廳辦公室關(guān)于進(jìn)一步加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)的通知(陜教信辦〔2020〕2號(hào))》文件精神����,增強(qiáng)我校各單位數(shù)據(jù)安全意識(shí),提升廣大師生的數(shù)據(jù)安全和個(gè)人信息保護(hù)能力����,切實(shí)保護(hù)我校師生個(gè)人信息安全,防止個(gè)人信息的泄露����,現(xiàn)將我校進(jìn)一步加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)的要求通知如下:
一、強(qiáng)化數(shù)據(jù)安全意識(shí)����,落實(shí)數(shù)據(jù)安全和個(gè)人信息保護(hù)責(zé)任
各單位應(yīng)嚴(yán)格按照《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)》等法律法規(guī)以及規(guī)范要求,充分認(rèn)識(shí)數(shù)據(jù)安全和個(gè)人信息保護(hù)工作的重要性和緊迫性����,強(qiáng)化數(shù)據(jù)安全和個(gè)人信息保護(hù)意識(shí),按照“誰主管誰負(fù)責(zé)����、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則明確本部門數(shù)據(jù)安全和個(gè)人信息保護(hù)責(zé)任人����。
二����、開展數(shù)據(jù)安全自查����,全面摸清底數(shù)
各單位重點(diǎn)排查本單位相關(guān)信息系統(tǒng)、網(wǎng)站及線下數(shù)據(jù)采集����、保存、傳遞����、處理����、應(yīng)用、銷毀等環(huán)節(jié)中可能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)����,特別是涉及師生個(gè)人信息和隱私泄露的風(fēng)險(xiǎn)點(diǎn),切實(shí)保障師生個(gè)人信息安全����。
相關(guān)單位要嚴(yán)格按照下述自查內(nèi)容逐條排查����,并及時(shí)整改發(fā)現(xiàn)的問題和風(fēng)險(xiǎn)隱患����,自查的主要內(nèi)容包括:
(一)數(shù)據(jù)安全管理組織機(jī)構(gòu)。各單位是否認(rèn)真落實(shí)����,嚴(yán)格遵守,建立以主要負(fù)責(zé)人負(fù)責(zé)的網(wǎng)絡(luò)安全責(zé)任制����。
(二)數(shù)據(jù)全生命周期管理情況。各單位是否按照《中華人民共和國網(wǎng)絡(luò)安全法》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等制度的要求����,采集必要數(shù)據(jù)和個(gè)人信息。數(shù)據(jù)采集是否嚴(yán)格遵循最小范圍原則����。是否嚴(yán)格控制數(shù)據(jù)在采集、存儲(chǔ)����、傳遞����、處理����、應(yīng)用、銷毀等各環(huán)節(jié)中的知悉范圍����。
(三)網(wǎng)絡(luò)安全相關(guān)備案辦理情況。是否按照信息與網(wǎng)絡(luò)管理中心要求對(duì)信息系統(tǒng)����、網(wǎng)站進(jìn)行備案。在發(fā)生新增����、變更����、撤銷時(shí)是否及時(shí)對(duì)備案信息進(jìn)行更新(在我校“網(wǎng)上辦事大廳”中進(jìn)行信息系統(tǒng)及網(wǎng)站的備案申請(qǐng))����。
(四)網(wǎng)絡(luò)安全技術(shù)措施落實(shí)情況����。重點(diǎn)檢查訪問控制����、日志留存、數(shù)據(jù)加密����、防篡改、防泄密等技術(shù)措施的有效性����,信息系統(tǒng)是否存在安全漏洞,以及電腦����、移動(dòng)存儲(chǔ)設(shè)備、電子文檔的安全防護(hù)措施����。
(五)線下數(shù)據(jù)安全和個(gè)人信息保護(hù)情況。檢查線下數(shù)據(jù)采集����、保存����、傳遞����、處理、應(yīng)用����、銷毀等環(huán)節(jié)中是否存在風(fēng)險(xiǎn)點(diǎn),是否落實(shí)了切實(shí)有效的保護(hù)制度����,杜絕非法使用、提供����、出售師生個(gè)人信息的行為。
三����、強(qiáng)化數(shù)據(jù)信息全生命周期管理����,切實(shí)做好線上線下安全防護(hù)
各單位應(yīng)切實(shí)加強(qiáng)數(shù)據(jù)在采集����、存儲(chǔ)����、傳輸、處理����、應(yīng)用、共享����、銷毀等全生命周期的安全防護(hù),嚴(yán)防信息泄露����。確保應(yīng)用系統(tǒng)管理和線下數(shù)據(jù)安全責(zé)任落實(shí)到人,特別是涉及招生����、教務(wù)、財(cái)務(wù)、人事����、學(xué)生等信息的管理。信息系統(tǒng)需強(qiáng)化口令控制����、病毒掃描、漏洞補(bǔ)丁等基礎(chǔ)安全措施����,確保各類硬件設(shè)備安全可控。對(duì)信息系統(tǒng)的操作行為進(jìn)行身份標(biāo)識(shí)����、口令限制、訪問控制和操作管理審計(jì)����。安排專人管理信息系統(tǒng)所涉及的數(shù)據(jù)信息,規(guī)范各類管理人員對(duì)數(shù)據(jù)庫管理操作����,加強(qiáng)數(shù)據(jù)操作記錄審計(jì)和追溯,避免數(shù)據(jù)信息泄露����。
重點(diǎn)注意事項(xiàng)如下:
(一)嚴(yán)格控制身份證號(hào)、電話號(hào)碼����、家庭住址等個(gè)人敏感信息收集,原則上不采集未成年人的人臉����、指紋等生物識(shí)別信息。
(二)禁止通過公共郵箱和微信����、QQ等公共即時(shí)通訊工具傳遞非涉密重要數(shù)據(jù)。重要數(shù)據(jù)不得通過公共互聯(lián)網(wǎng)傳遞����。
(三)各單位收集產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,不得用于商業(yè)用途����,未經(jīng)收集數(shù)據(jù)的批準(zhǔn)部門同意,不能與第三方共享����。
(四)因階段性工作收集產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,在相應(yīng)工作結(jié)束后(如因疫情防控收集的相關(guān)數(shù)據(jù),在疫情防控工作結(jié)束后)����,相關(guān)數(shù)據(jù)原則上不能保留。
(五)禁止發(fā)布(上傳)包含個(gè)人數(shù)據(jù)和敏感信息的內(nèi)容����。
(六)要加強(qiáng)對(duì)各類賬號(hào)和密碼的管理,定期更換密碼����、杜絕弱口令。
(七)各單位自建的業(yè)務(wù)信息系統(tǒng)要及時(shí)打補(bǔ)丁和封堵漏洞����。
(八)加強(qiáng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)和筆記本電腦的管理,采取有效措施防范因失竊而造成的個(gè)人數(shù)據(jù)和敏感信息泄露����。
四、完善工作機(jī)制����,提升數(shù)據(jù)安全事件應(yīng)急處理能力
各單位應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)隱患的日常監(jiān)測(cè),保證對(duì)網(wǎng)絡(luò)安全事件做到快速覺察����、快速反應(yīng)����、及時(shí)處理����、及時(shí)恢復(fù)����。各單位應(yīng)進(jìn)一步規(guī)范線下個(gè)人信息采集、保存����、傳遞、處理����、應(yīng)用、銷毀等環(huán)節(jié)的相關(guān)工作����,加強(qiáng)師生個(gè)人信息保護(hù),落實(shí)數(shù)據(jù)安全責(zé)任����,防止師生個(gè)人信息泄露����。
對(duì)于發(fā)生數(shù)據(jù)泄露事件的����,應(yīng)按照《陜西科技大學(xué)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的要求及時(shí)報(bào)送相關(guān)部門,并妥善處置����,將影響降到最低。
信息與網(wǎng)絡(luò)管理中心
2020年6月18日
陜公網(wǎng)安備 61011202000334號(hào)