學(xué)校各部門,、直屬單位,、二級學(xué)院:
近期國內(nèi)部分科研機(jī)構(gòu)、高校網(wǎng)絡(luò)系統(tǒng)被攻擊入侵,,大量科研人員和高校師生信息被竊取,,涉及學(xué)工,、人事、科研,、教務(wù),、圖書館等信息系統(tǒng),具體問題包括:系統(tǒng)存在弱口令或缺少強(qiáng)認(rèn)證措施,,重要內(nèi)部業(yè)務(wù)系統(tǒng)直接暴露于互聯(lián)網(wǎng)并存在安全漏洞未修復(fù),,個(gè)人敏感信息隨意發(fā)布等現(xiàn)象。為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī),,根據(jù)上級管理部門的相關(guān)工作要求,,切實(shí)加強(qiáng)學(xué)校數(shù)據(jù)安全、個(gè)人信息安全,,結(jié)合我校實(shí)際,,現(xiàn)將有關(guān)事項(xiàng)通知如下:
一、強(qiáng)化數(shù)據(jù)安全意識,,落實(shí)數(shù)據(jù)安全和個(gè)人信息保護(hù)責(zé)任
請各二級單位網(wǎng)絡(luò)安全責(zé)任人立即組織部署隱患排查與整改工作,。各二級單位應(yīng)充分認(rèn)識數(shù)據(jù)安全和個(gè)人信息保護(hù)工作的重要性和緊迫性,強(qiáng)化數(shù)據(jù)安全和個(gè)人信息保護(hù)意識,,嚴(yán)格按照“誰主管誰負(fù)責(zé),、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則明確數(shù)據(jù)安全和個(gè)人信息保護(hù)責(zé)任人,,積極配合學(xué)校管理部門做好網(wǎng)絡(luò)信息數(shù)據(jù)安全工作,。
二、加強(qiáng)網(wǎng)絡(luò)信息數(shù)據(jù)安全與個(gè)人信息安全重點(diǎn)防護(hù)
梳理本單位發(fā)布的信息,,重點(diǎn)排查在課題申報(bào),、成果展示、報(bào)名考試,、成績公布,、學(xué)籍管理等方面在網(wǎng)上暴露的師生工(學(xué))號、身份證號,、手機(jī)號等敏感信息,,發(fā)現(xiàn)后立即刪除,或做脫敏處置。相關(guān)重點(diǎn)排查注意事項(xiàng)如下:
1.嚴(yán)格控制身份證號,、電話號碼,、家庭住址等個(gè)人敏感信息收集,原則上不得采集未成年人的人臉,、指紋等生物識別信息,。加強(qiáng)發(fā)布重要數(shù)據(jù)和個(gè)人信息內(nèi)容的審核,禁止發(fā)布包含個(gè)人數(shù)據(jù)和敏感信息的內(nèi)容,,如確需發(fā)布的,,應(yīng)將數(shù)據(jù)信息做脫敏處理。
2.工作中統(tǒng)一使用校內(nèi)電子郵箱,、學(xué)校OA系統(tǒng),、粵政易、企業(yè)微信或者上級管理部門規(guī)定的其他工具處理工作信息(涉密信息按保密規(guī)定處理),,及時(shí)清理,、刪除存儲在互聯(lián)網(wǎng)電子郵箱上的工作信息,嚴(yán)禁使用互聯(lián)網(wǎng)電子郵箱存儲,、處理,、傳輸國家秘密,,禁止使用個(gè)人郵箱存儲,、處理、傳輸工作信息,。
3.各二級單位收集產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,,不得用于商業(yè)用途,未經(jīng)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組辦公室同意,,不能與第三方共享,。
4.因階段性工作收集產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,在相應(yīng)工作結(jié)束后(如因疫情防控收集的相關(guān)數(shù)據(jù),,在疫情防控工作結(jié)束后),,相關(guān)數(shù)據(jù)原則上不能保留,按有關(guān)規(guī)定進(jìn)行處理,。
5.加強(qiáng)個(gè)人辦公電腦,、手機(jī)、移動存儲介質(zhì),、學(xué)術(shù)資料等安全保護(hù)措施,,嚴(yán)防失泄密情況。嚴(yán)禁將個(gè)人賬號,、密碼和驗(yàn)證碼等給他人使用,。應(yīng)及時(shí)對電腦、服務(wù)器更新補(bǔ)丁、修復(fù)漏洞,,安裝殺毒軟件,,及時(shí)升級病毒庫,定期殺毒,,清理電腦,、服務(wù)器的系統(tǒng)數(shù)據(jù)垃圾。
三,、嚴(yán)格執(zhí)行網(wǎng)站和信息系統(tǒng)備案制度
1.梳理本單位主管的信息系統(tǒng),,按照“非必要不對外”原則,減少外網(wǎng)訪問服務(wù),,禁止無安全措施的遠(yuǎn)程訪問,,設(shè)置最小化訪問權(quán)限。協(xié)調(diào)信息系統(tǒng)的運(yùn)維單位,,設(shè)置高強(qiáng)度主機(jī)安全防護(hù)措施,。對外開放域名訪問的信息系統(tǒng)須按國家相關(guān)法律法規(guī)進(jìn)行備案,落實(shí)網(wǎng)絡(luò)安全等級保護(hù)相應(yīng)等級的要求,。
2.按照《韶關(guān)學(xué)院網(wǎng)絡(luò)安全管理實(shí)施細(xì)則(試行)》(韶學(xué)院[2020]191號)的要求,,信息系統(tǒng)實(shí)行備案登記制度。信息系統(tǒng)服務(wù)器要開啟防火墻,,安裝正版殺毒軟件,,及時(shí)更新系統(tǒng)漏洞補(bǔ)丁和程序。各種信息系統(tǒng)登陸用戶名和密碼,,管理員用戶名避免電話號碼,、生日、administrator,、admin等,,杜絕弱口令、默認(rèn)口令,、通用口令以及長期不變口令,,密碼應(yīng)至少包含數(shù)字、大寫字母,、小寫字母,、特殊字符等三種以上的組合,嚴(yán)禁使用簡單的數(shù)字或字母,,避免被暴力破解,。嚴(yán)禁多人合用一個(gè)賬號。
四,、強(qiáng)化數(shù)據(jù)信息全生命周期管理,,切實(shí)做好線上線下安全防護(hù)
各二級單位應(yīng)切實(shí)加強(qiáng)數(shù)據(jù)在收集、存儲、使用,、加工,、傳輸、提供,、公開等全生命周期的安全防護(hù),,嚴(yán)防信息泄露。實(shí)行二級單位主要領(lǐng)導(dǎo)負(fù)責(zé)制,,明確專門人員負(fù)責(zé)數(shù)據(jù)安全和個(gè)人信息保護(hù),,確保應(yīng)用系統(tǒng)管理和線下數(shù)據(jù)安全責(zé)任落實(shí)到人,特別是涉及招生,、教務(wù),、財(cái)務(wù)、人事,、學(xué)生等信息的管理,。信息系統(tǒng)需強(qiáng)化口令控制、病毒掃描,、漏洞補(bǔ)丁等基礎(chǔ)安全措施,,確保各類軟件和硬件設(shè)備安全可控。對信息系統(tǒng)的操作行為進(jìn)行身份標(biāo)識,、口令限制,、訪問控制和操作管理審計(jì)。安排專人管理信息系統(tǒng)所涉及的數(shù)據(jù)信息,,規(guī)范各類管理人員對數(shù)據(jù)庫管理操作,,加強(qiáng)數(shù)據(jù)操作記錄審計(jì)和追溯,,避免數(shù)據(jù)信息泄露,。網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)按照《韶關(guān)學(xué)院網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》(韶學(xué)院[2021]80號)處置。
五,、加強(qiáng)宣傳提高數(shù)據(jù)安全和個(gè)人信息保護(hù)能力
各二級單位要積極組織形式多樣,、針對性強(qiáng)的宣傳教育,嚴(yán)格遵守國家有關(guān)網(wǎng)絡(luò)信息數(shù)據(jù)安全的法律法規(guī),,增強(qiáng)師生數(shù)據(jù)安全和個(gè)人信息保護(hù)意識,,提升防范技能,避免侵犯師生個(gè)人信息及隱私,,避免造成經(jīng)濟(jì)損失和負(fù)面社會影響,。
學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組辦公室
2022年4月23日
