学校各部门、直属单位、二级学院:
近期国内部分科研机构、高校网络系统被攻击入侵,大量科研人员和高校师生信息被窃取,涉及学工、人事、科研、教务、图书馆等信息系统,具体问题包括:系统存在弱口令或缺少强认证措施,重要内部业务系统直接暴露于互联网并存在安全漏洞未修复,个人敏感信息随意发布等现象。为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,根据上级管理部门的相关工作要求,切实加强学校数据安全、个人信息安全,结合我校实际,现将有关事项通知如下:
一、强化数据安全意识,落实数据安全和个人信息保护责任
请各二级单位网络安全责任人立即组织部署隐患排查与整改工作。各二级单位应充分认识数据安全和个人信息保护工作的重要性和紧迫性,强化数据安全和个人信息保护意识,严格按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则明确数据安全和个人信息保护责任人,积极配合学校管理部门做好网络信息数据安全工作。
二、加强网络信息数据安全与个人信息安全重点防护
梳理本单位发布的信息,重点排查在课题申报、成果展示、报名考试、成绩公布、学籍管理等方面在网上暴露的师生工(学)号、身份证号、手机号等敏感信息,发现后立即删除,或做脱敏处置。相关重点排查注意事项如下:
1.严格控制身份证号、电话号码、家庭住址等个人敏感信息收集,原则上不得采集未成年人的人脸、指纹等生物识别信息。加强发布重要数据和个人信息内容的审核,禁止发布包含个人数据和敏感信息的内容,如确需发布的,应将数据信息做脱敏处理。
2.工作中统一使用校内电子邮箱、学校OA系统、粤政易、企业微信或者上级管理部门规定的其他工具处理工作信息(涉密信息按保密规定处理),及时清理、删除存储在互联网电子邮箱上的工作信息,严禁使用互联网电子邮箱存储、处理、传输国家秘密,禁止使用个人邮箱存储、处理、传输工作信息。
3.各二级单位收集产生的重要数据和个人信息,不得用于商业用途,未经学校网络安全和信息化建设领导小组办公室同意,不能与第三方共享。
4.因阶段性工作收集产生的重要数据和个人信息,在相应工作结束后(如因疫情防控收集的相关数据,在疫情防控工作结束后),相关数据原则上不能保留,按有关规定进行处理。
5.加强个人办公电脑、手机、移动存储介质、学术资料等安全保护措施,严防失泄密情况。严禁将个人账号、密码和验证码等给他人使用。应及时对电脑、服务器更新补丁、修复漏洞,安装杀毒软件,及时升级病毒库,定期杀毒,清理电脑、服务器的系统数据垃圾。
三、严格执行网站和信息系统备案制度
1.梳理本单位主管的信息系统,按照“非必要不对外”原则,减少外网访问服务,禁止无安全措施的远程访问,设置最小化访问权限。协调信息系统的运维单位,设置高强度主机安全防护措施。对外开放域名访问的信息系统须按国家相关法律法规进行备案,落实网络安全等级保护相应等级的要求。
2.按照《韶关学院网络安全管理实施细则(试行)》(韶学院[2020]191号)的要求,信息系统实行备案登记制度。信息系统服务器要开启防火墙,安装正版杀毒软件,及时更新系统漏洞补丁和程序。各种信息系统登陆用户名和密码,管理员用户名避免电话号码、生日、administrator、admin等,杜绝弱口令、默认口令、通用口令以及长期不变口令,密码应至少包含数字、大写字母、小写字母、特殊字符等三种以上的组合,严禁使用简单的数字或字母,避免被暴力破解。严禁多人合用一个账号。
四、强化数据信息全生命周期管理,切实做好线上线下安全防护
各二级单位应切实加强数据在收集、存储、使用、加工、传输、提供、公开等全生命周期的安全防护,严防信息泄露。实行二级单位主要领导负责制,明确专门人员负责数据安全和个人信息保护,确保应用系统管理和线下数据安全责任落实到人,特别是涉及招生、教务、财务、人事、学生等信息的管理。信息系统需强化口令控制、病毒扫描、漏洞补丁等基础安全措施,确保各类软件和硬件设备安全可控。对信息系统的操作行为进行身份标识、口令限制、访问控制和操作管理审计。安排专人管理信息系统所涉及的数据信息,规范各类管理人员对数据库管理操作,加强数据操作记录审计和追溯,避免数据信息泄露。网络与信息安全突发事件应按照《韶关学院网络安全事件应急预案》(韶学院[2021]80号)处置。
五、加强宣传提高数据安全和个人信息保护能力
各二级单位要积极组织形式多样、针对性强的宣传教育,严格遵守国家有关网络信息数据安全的法律法规,增强师生数据安全和个人信息保护意识,提升防范技能,避免侵犯师生个人信息及隐私,避免造成经济损失和负面社会影响。
学校网络安全和信息化建设领导小组办公室
2022年4月23日
