校屬各單位:
為深入貫徹落實《陜西省教育廳辦公室關于進一步加強數據安全和個人信息保護的通知(陜教信辦〔2020〕2號)》文件精神,增強我校各單位數據安全意識,提升廣大師生的數據安全和個人信息保護能力,切實保護我校師生個人信息安全,防止個人信息的泄露,現將我校進一步加強數據安全和個人信息保護的要求通知如下:
一、強化數據安全意識,落實數據安全和個人信息保護責任
各單位應嚴格按照《中華人民共和國網絡安全法》《信息安全技術網絡安全等級保護基本要求(GB/T 22239-2019)》等法律法規以及規范要求,充分認識數據安全和個人信息保護工作的重要性和緊迫性,強化數據安全和個人信息保護意識,按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則明確本部門數據安全和個人信息保護責任人。
二、開展數據安全自查,全面摸清底數
各單位重點排查本單位相關信息系統、網站及線下數據采集、保存、傳遞、處理、應用、銷毀等環節中可能存在的數據安全風險點,特別是涉及師生個人信息和隱私泄露的風險點,切實保障師生個人信息安全。
相關單位要嚴格按照下述自查內容逐條排查,并及時整改發現的問題和風險隱患,自查的主要內容包括:
(一)數據安全管理組織機構。各單位是否認真落實,嚴格遵守,建立以主要負責人負責的網絡安全責任制。
(二)數據全生命周期管理情況。各單位是否按照《中華人民共和國網絡安全法》《兒童個人信息網絡保護規定》等制度的要求,采集必要數據和個人信息。數據采集是否嚴格遵循最小范圍原則。是否嚴格控制數據在采集、存儲、傳遞、處理、應用、銷毀等各環節中的知悉范圍。
(三)網絡安全相關備案辦理情況。是否按照信息與網絡管理中心要求對信息系統、網站進行備案。在發生新增、變更、撤銷時是否及時對備案信息進行更新(在我校“網上辦事大廳”中進行信息系統及網站的備案申請)。
(四)網絡安全技術措施落實情況。重點檢查訪問控制、日志留存、數據加密、防篡改、防泄密等技術措施的有效性,信息系統是否存在安全漏洞,以及電腦、移動存儲設備、電子文檔的安全防護措施。
(五)線下數據安全和個人信息保護情況。檢查線下數據采集、保存、傳遞、處理、應用、銷毀等環節中是否存在風險點,是否落實了切實有效的保護制度,杜絕非法使用、提供、出售師生個人信息的行為。
三、強化數據信息全生命周期管理,切實做好線上線下安全防護
各單位應切實加強數據在采集、存儲、傳輸、處理、應用、共享、銷毀等全生命周期的安全防護,嚴防信息泄露。確保應用系統管理和線下數據安全責任落實到人,特別是涉及招生、教務、財務、人事、學生等信息的管理。信息系統需強化口令控制、病毒掃描、漏洞補丁等基礎安全措施,確保各類硬件設備安全可控。對信息系統的操作行為進行身份標識、口令限制、訪問控制和操作管理審計。安排專人管理信息系統所涉及的數據信息,規范各類管理人員對數據庫管理操作,加強數據操作記錄審計和追溯,避免數據信息泄露。
重點注意事項如下:
(一)嚴格控制身份證號、電話號碼、家庭住址等個人敏感信息收集,原則上不采集未成年人的人臉、指紋等生物識別信息。
(二)禁止通過公共郵箱和微信、QQ等公共即時通訊工具傳遞非涉密重要數據。重要數據不得通過公共互聯網傳遞。
(三)各單位收集產生的重要數據和個人信息,不得用于商業用途,未經收集數據的批準部門同意,不能與第三方共享。
(四)因階段性工作收集產生的重要數據和個人信息,在相應工作結束后(如因疫情防控收集的相關數據,在疫情防控工作結束后),相關數據原則上不能保留。
(五)禁止發布(上傳)包含個人數據和敏感信息的內容。
(六)要加強對各類賬號和密碼的管理,定期更換密碼、杜絕弱口令。
(七)各單位自建的業務信息系統要及時打補丁和封堵漏洞。
(八)加強對移動存儲介質和筆記本電腦的管理,采取有效措施防范因失竊而造成的個人數據和敏感信息泄露。
四、完善工作機制,提升數據安全事件應急處理能力
各單位應加強對網絡隱患的日常監測,保證對網絡安全事件做到快速覺察、快速反應、及時處理、及時恢復。各單位應進一步規范線下個人信息采集、保存、傳遞、處理、應用、銷毀等環節的相關工作,加強師生個人信息保護,落實數據安全責任,防止師生個人信息泄露。
對于發生數據泄露事件的,應按照《陜西科技大學網絡安全事件應急預案》的要求及時報送相關部門,并妥善處置,將影響降到最低。
信息與網絡管理中心
2020年6月18日
校友
教工
學生