校屬各單位:
為深入貫徹落實(shí)《陜西省教育廳辦公室關(guān)于進(jìn)一步加強數據安全和個(gè)人信息保護的通知(陜教信辦〔2020〕2號)》文件精神,增強我校各單位數據安全意識,提升廣大師生的數據安全和個(gè)人信息保護能力,切實(shí)保護我校師生個(gè)人信息安全,防止個(gè)人信息的泄露,現將我校進(jìn)一步加強數據安全和個(gè)人信息保護的要求通知如下:
一、強化數據安全意識,落實(shí)數據安全和個(gè)人信息保護責任
各單位應嚴格按照《中華人民共和國網(wǎng)絡(luò )安全法》《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求(GB/T 22239-2019)》等法律法規以及規范要求,充分認識數據安全和個(gè)人信息保護工作的重要性和緊迫性,強化數據安全和個(gè)人信息保護意識,按照“誰(shuí)主管誰(shuí)負責、誰(shuí)運維誰(shuí)負責、誰(shuí)使用誰(shuí)負責”的原則明確本部門(mén)數據安全和個(gè)人信息保護責任人。
二、開(kāi)展數據安全自查,全面摸清底數
各單位重點(diǎn)排查本單位相關(guān)信息系統、網(wǎng)站及線(xiàn)下數據采集、保存、傳遞、處理、應用、銷(xiāo)毀等環(huán)節中可能存在的數據安全風(fēng)險點(diǎn),特別是涉及師生個(gè)人信息和隱私泄露的風(fēng)險點(diǎn),切實(shí)保障師生個(gè)人信息安全。
相關(guān)單位要嚴格按照下述自查內容逐條排查,并及時(shí)整改發(fā)現的問(wèn)題和風(fēng)險隱患,自查的主要內容包括:
(一)數據安全管理組織機構。各單位是否認真落實(shí),嚴格遵守,建立以主要負責人負責的網(wǎng)絡(luò )安全責任制。
(二)數據全生命周期管理情況。各單位是否按照《中華人民共和國網(wǎng)絡(luò )安全法》《兒童個(gè)人信息網(wǎng)絡(luò )保護規定》等制度的要求,采集必要數據和個(gè)人信息。數據采集是否嚴格遵循最小范圍原則。是否嚴格控制數據在采集、存儲、傳遞、處理、應用、銷(xiāo)毀等各環(huán)節中的知悉范圍。
(三)網(wǎng)絡(luò )安全相關(guān)備案辦理情況。是否按照信息與網(wǎng)絡(luò )管理中心要求對信息系統、網(wǎng)站進(jìn)行備案。在發(fā)生新增、變更、撤銷(xiāo)時(shí)是否及時(shí)對備案信息進(jìn)行更新(在我?!熬W(wǎng)上辦事大廳”中進(jìn)行信息系統及網(wǎng)站的備案申請)。
(四)網(wǎng)絡(luò )安全技術(shù)措施落實(shí)情況。重點(diǎn)檢查訪(fǎng)問(wèn)控制、日志留存、數據加密、防篡改、防泄密等技術(shù)措施的有效性,信息系統是否存在安全漏洞,以及電腦、移動(dòng)存儲設備、電子文檔的安全防護措施。
(五)線(xiàn)下數據安全和個(gè)人信息保護情況。檢查線(xiàn)下數據采集、保存、傳遞、處理、應用、銷(xiāo)毀等環(huán)節中是否存在風(fēng)險點(diǎn),是否落實(shí)了切實(shí)有效的保護制度,杜絕非法使用、提供、出售師生個(gè)人信息的行為。
三、強化數據信息全生命周期管理,切實(shí)做好線(xiàn)上線(xiàn)下安全防護
各單位應切實(shí)加強數據在采集、存儲、傳輸、處理、應用、共享、銷(xiāo)毀等全生命周期的安全防護,嚴防信息泄露。確保應用系統管理和線(xiàn)下數據安全責任落實(shí)到人,特別是涉及招生、教務(wù)、財務(wù)、人事、學(xué)生等信息的管理。信息系統需強化口令控制、病毒掃描、漏洞補丁等基礎安全措施,確保各類(lèi)硬件設備安全可控。對信息系統的操作行為進(jìn)行身份標識、口令限制、訪(fǎng)問(wèn)控制和操作管理審計。安排專(zhuān)人管理信息系統所涉及的數據信息,規范各類(lèi)管理人員對數據庫管理操作,加強數據操作記錄審計和追溯,避免數據信息泄露。
重點(diǎn)注意事項如下:
(一)嚴格控制身份證號、電話(huà)號碼、家庭住址等個(gè)人敏感信息收集,原則上不采集未成年人的人臉、指紋等生物識別信息。
(二)禁止通過(guò)公共郵箱和微信、QQ等公共即時(shí)通訊工具傳遞非涉密重要數據。重要數據不得通過(guò)公共互聯(lián)網(wǎng)傳遞。
(三)各單位收集產(chǎn)生的重要數據和個(gè)人信息,不得用于商業(yè)用途,未經(jīng)收集數據的批準部門(mén)同意,不能與第三方共享。
(四)因階段性工作收集產(chǎn)生的重要數據和個(gè)人信息,在相應工作結束后(如因疫情防控收集的相關(guān)數據,在疫情防控工作結束后),相關(guān)數據原則上不能保留。
(五)禁止發(fā)布(上傳)包含個(gè)人數據和敏感信息的內容。
(六)要加強對各類(lèi)賬號和密碼的管理,定期更換密碼、杜絕弱口令。
(七)各單位自建的業(yè)務(wù)信息系統要及時(shí)打補丁和封堵漏洞。
(八)加強對移動(dòng)存儲介質(zhì)和筆記本電腦的管理,采取有效措施防范因失竊而造成的個(gè)人數據和敏感信息泄露。
四、完善工作機制,提升數據安全事件應急處理能力
各單位應加強對網(wǎng)絡(luò )隱患的日常監測,保證對網(wǎng)絡(luò )安全事件做到快速覺(jué)察、快速反應、及時(shí)處理、及時(shí)恢復。各單位應進(jìn)一步規范線(xiàn)下個(gè)人信息采集、保存、傳遞、處理、應用、銷(xiāo)毀等環(huán)節的相關(guān)工作,加強師生個(gè)人信息保護,落實(shí)數據安全責任,防止師生個(gè)人信息泄露。
對于發(fā)生數據泄露事件的,應按照《陜西科技大學(xué)網(wǎng)絡(luò )安全事件應急預案》的要求及時(shí)報送相關(guān)部門(mén),并妥善處置,將影響降到最低。
信息與網(wǎng)絡(luò )管理中心
2020年6月18日