学院各部门:
为深入贯彻落实省公安厅《关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》和《河南省教育厅办公室转发省公安厅关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》(教办科技 [2019]172号)文件精神,结合我院实际,现就有关事宜紧急通知如下。
一、高度重视,落实网络安全主体责任
重要数据和个人信息安全事关国家安全和社会稳定,事关广大师生切身利益。去年12月以来,我省某教育保险管理系统、某学历认证网站相继出现信息泄露隐患,引起网信、公安部门的高度重视,说明全省教育行业仍存在较大信息泄露风险。各部门要以本次信息泄露安全隐患排查为契机,按照“谁主管谁负责、谁使用谁负责、谁维护谁负责”的原则,进一步清理信息(数据)管理各个流程的管理责任,确保业务不断线,责任不断档。
二、深入排查,及时消除网络安全隐患
(一)深入排查数据资产管理情况。各单位要以收集、存储、处理本行业重要数据和公民个人信息的互联网相关信息系统为重点,全面排查相关信息系统重要数据和公民个人信息在采集、存储(含缓存)、传输使用、提供、销毁等环节的具体情况,形成本单位数据资产清单。根据数据资源梳理情况,聚焦数据安全突出风险,紧急排查信息系统数据库存在弱口令、未授权访问、数据明文传输、缺少安全审计、访问控制策略不严等突出安全隐患,针对发现的问题立即组织清查整改,完善数据全生命周期安全保护。
(二)全面梳理安全防范措施落实情况。全面梳理物理隔离的业务专网、内部网络边界,排查是否存在违规接入互联网问题,强化网络边界违规外联安全监测和防护。对于与互联网逻辑隔离的业务专网和内部网络,要全面加强业务专网和内部网络数据资源防护,全面排查互联网接入区边界安全防护措施,验证内外网数据交换、安全隔离等安全保护措施是否有效,并及时升级病毒库,查杀病毒木马,实时监测内外网数据流量,及时阻断外部攻击探测,积极防范黑客通过互联网渗透攻击内网造成数据泄露和丢失。此项工作由现代教育技术中心负责完成。
(三)扎实做好外部风险监测。对软件供应、电信运营商、托管服务商等软件供应及传输链条上的各方进行全面排查,逐一签订网络安全协议。重点排查使用开源数据库和应用软件情况,及时升级数据库和应用软件安全补丁,严格数据访问权限管理。全面排查信息系统建设、运维服务的厂商及其信息系统建设情况,防止企业违规私自在互联网上存储或缓存数据,加强对企业的安全监管,对企业在本单位长期驻场运维的人员签订保密协议。对于托管在电信运营商云服务商、IDC机房等第三方企业的信息系统,要督促托管部门落实安全管理和技术防范措施,坚决防止通过第三方企业泄露重要数据和师生个人信息。
三、尽快开展相关材料梳理报送
各部门梳理形成《互联网上存储的数据资产清单》、《在互联网上存储(含缓存)的重要数据和公民个人信息统计表》(见附件),于4月2日前将相关表格电子版、纸质版交现代教育技术中心。
联系人:孙剑斐3664122。
附件二.docx
附件一.docx
现教中心
2019年3月27日