关于进一步加强我校数据安全和个人信息保护工作的通知

发布者:李博发布时间:2023-08-22浏览次数:1022

关于进一步加强我校数据安全和个人信息保护工作的通知

各基层党委、机关各部门:

新学期伊始,为增强我校各部门数据安全意识,提升广大师生的数据安全和个人信息保护能力,切实保护我校师生个人信息安全,防止个人信息的泄露,现将我校进一步加强数据安全和个人信息保护的要求通知如下:

一、增强数据安全意识,落实领导责任

各基层党委要组织本单位认真学习《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,严格落实《哈尔滨理工大学数据资源管理办法》(校发[2022]62号)《哈尔滨理工大学网络与信息安全管理办法(试行)》(校发[2022]66号),充分认识数据安全和个人信息保护工作的重要性和紧迫性,强化数据安全和个人信息保护意识,严格按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,实行单位主要领导负责制,明确专门人员负责部门的数据安全和个人信息保护,确保应用系统管理和线下数据安全责任落实到人,特别是涉及招生、教务、财务、人事、学生等信息的管理。

对于主要负责人更换的单位和部门,要重新签订《哈尔滨理工大学网络与信息安全承诺书》。

二、强化数据安全管理,做好安全防护

各单位应切实加强数据在采集、存储、传输、处理、应用、共享、销毁等全生命周期的安全防护,严防信息泄露。重点加强以下事项管理:

(一)信息系统需强化口令控制、病毒扫描、漏洞补丁等基础安全措施,确保各类硬件设备安全可控;

(二)对信息系统的操作行为进行身份标识、口令限制、访问控制和操作管理审计;

(三)安排专人管理信息系统所涉及的数据信息,规范各类管理人员对数据库管理操作,加强数据操作记录审计和追溯,避免数据信息泄露;

(四)清理存在安全威胁、长期不修复、停止更新服务、无继续使用必要的僵尸信息系统(网站),及时消除安全隐患。定期查看信息系统页面、及时发现和处置页面被篡改、被插入暗链和跳转代码等安全事件;

(五)禁止通过公共邮箱和微信、QQ等公共即时通讯工具传递非涉密重要数据。重要数据不得通过公共互联网传递;

(六)各部门收集产生的重要数据和个人信息,不得用于商业用途,未经收集数据的批准部门同意,不能与第三方共享。严格控制身份证号、电话号码、家庭住址等个人敏感信息收集,明确人脸等生物识别信息的使用范围;

(七)因阶段性工作收集产生的重要数据和个人信息,在相应工作结束后,相关数据原则上不能保留;

(八)禁止发布(上传)包含个人数据和敏感信息的内容;

(九)自建的信息系统要及时打补丁和封堵漏洞。信息系统服务器要开启防火墙,安装正版杀毒软件,及时更新系统漏洞补丁和程序;

(十)加强对各类账号和密码的管理,信息系统(网站)登陆用户名和密码,管理员用户名避免电话号码、生日、administrator、admin等,杜绝弱口令、默认口令、通用口令以及长期不变口令。密码应至少包含数字、大写字母、小写字母、特殊字符等三种以上的组合,严禁使用简单的数字或字母,避免被暴力破解。严禁多人合用一个账号;

(十一)加强对移动存储介质、笔记本电脑和手机等移动设备的管理,采取有效措施防范因失窃而造成的个人数据和敏感信息泄露;

(十二)师生用户严格执行校园网接入审批和备案登记制度,严格执行实名制认证上网要求,计算机终端必须安装杀毒软件,做好病毒防护工作。

三、消除数据安全隐患,开展自检自查

各基层党委、机关各部门要组织开展一次隐患排查与整改工作,重点排查本单位相关信息系统、网站及数据采集、保存、传递、处理、应用、销毁等环节中可能存在的数据安全风险点,特别是涉及师生个人信息和隐私泄露的风险点,切实保障师生个人信息安全。主要内容包括以下六方面:

(一)数据安全管理组织机构。各单位是否认真落实建立以主要负责人负责的网络安全责任制。

(二)数据全生命周期管理情况。各单位是否按照《中华人民共和国网络安全法》等制度的要求,采集必要数据和个人信息。数据采集是否严格遵循最小范围原则。是否严格控制数据在采集、存储、传递、处理、应用、销毁等各环节中的知悉范围。

(三)网络安全相关备案办理情况。是否按照网络信息中心要求对信息系统、网站进行备案。在发生新增、变更、撤销时是否及时对备案信息进行更新。

(四)网络安全技术措施落实情况。重点检查访问控制、日志留存、数据加密、防篡改、防泄密等技术措施的有效性,信息系统是否存在安全漏洞,以及电脑、移动存储设备、电子文档的安全防护措施。

(五)线下数据安全和个人信息保护情况。检查线下数据采集、保存、传递、处理、应用、销毁等环节中是否存在风险点,是否落实了切实有效的保护制度,坚决杜绝非法使用、提供、出售师生个人信息的行为。

四、完善数据安全机制,提升处理能力

各单位应加强对网络隐患的日常监测,保证对网络安全事件做到快速觉察、快速反应、及时处理、及时恢复。对各自负责的信息系统(网站)安全监控过程中,发现信息系统被破坏、恶意篡改等网络安全事件发生,应当立即断网向分管领导汇报,并通知网络信息中心。

网络信息中心将对各单位网络信息安全防护工作进行定期巡查,排查管理漏洞,对于未按要求落实学校规定的部门、未安装杀毒软件的设备所属人进行通报。同时,协助各单位解决网络安全遇到的问题,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,杜绝重大网络安全事件的发生,保障学校网络信息安全。

网络安全工作咨询电话:86390762

 

 

 

网络安全和信息化领导小组办公室

2023年8月22日