各设区市教育局,杨凌示范区教育局、西咸新区教育卫体局,韩城市教育局,神木市、府谷县教育和体育局,各高等学校,厅属中等职业学校,厅属有关单位:
近日,经中央领导批准,公安部与中央网信办牵头,建立打击危害公民个人信息和数据安全违法犯罪长效机制。为增强各单位数据安全意识,提升全省教育系统的数据安全和个人信息保护能力,结合我省教育系统实际,现将进一步加强数据安全和个人信息保护的要求通知如下。
一、强化数据安全意识,落实数据安全和个人信息保护责任
各单位应严格按照《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》等法律法规以及规范要求,充分认识数据安全和个人信息保护工作的重要性和紧迫性,强化数据安全和个人信息保护意识,严格落实党委(党组)网络安全责任制,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则明确数据安全和个人信息保护责任人。
各单位要对数据安全和个人信息保护进行一次全面彻底排查。一方面,要排查信息系统网络安全隐患和管理机制漏洞,分析评估网络安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大网络安全事件的发生。另一方面,要排查线下数据采集、保存、传递、处理、应用、销毁等环节中可能存在的数据安全风险点,特别是涉及师生个人信息和隐私泄露的风险点,切实保障师生个人信息安全。
各单位要严格按照自查内容逐条排查,并及时整改发现的问题和风险隐患,自查的主要内容包括:
(一)数据安全管理组织机构。检查是否建立了与本单位数据安全和个人信息保护任务相适应的安全管理组织机构,安全管理人员构成是否合理,安全培训是否到位,职责岗位划分是否明确。
(二)数据全生命周期管理情况。单位是否按照《中华人民共和国网络安全法》《儿童个人信息网络保护规定》的要求,采集必要数据和个人信息。不论线上线下方式,凡是收集儿童个人信息的,是否告知监护人,并征得监护人同意。数据采集是否严格遵循最小范围原则。是否严格控制数据在采集、存储、传递、处理、应用、销毁等各环节中的知悉范围。
(三)网络安全相关备案办理情况。检查网站是否在全国互联网安全管理服务平台(www.beian.gov.cn)办理了网站备案,网站是否悬挂备案图标和备案号。检查重要信息系统是否按等级保护相关规定进行了自查和定级,是否在公安网安部门办理了等级保护备案,是否按等级保护要求开展了相关测评和整改工作。
(四)网络安全管理制度制定和实施情况。检查网络安全相关人员管理、机房管理、设备管理、介质管理、运维管理、服务外包等管理制度的建设情况,以及相关管理制度的监督保障和运行情况。
(五)网络安全技术措施落实情况。检查是否采取了整体网络安全防范技术措施。重点检查身份认证、访问控制、日志留存、数据加密、安全审计和防篡改、防病毒、防攻击、防泄密等技术措施的有效性,信息系统是否存在安全漏洞,以及电脑、移动存储设备、电子文档的安全防护措施。
(六)线下数据安全和个人信息保护情况。检查线下数据采集、保存、传递、处理、应用、销毁等环节中是否存在风险点,是否落实了切实有效的保护制度,杜绝非法使用、提供、出售师生个人信息的行为。
三、强化数据信息全生命周期管理,切实做好线上线下安全防护
各单位应切实加强数据在采集、存储、传输、处理、应用、共享、销毁等全生命周期的安全防护,严防信息泄露。实行主要领导负责制,明确专门部门、专门人员负责数据安全和个人信息保护,确保应用系统管理和线下数据安全责任落实到人,特别是涉及招生、教务、财务、人事、学生等信息的管理。信息系统需强化口令控制、病毒扫描、漏洞补丁等基础安全措施,确保各类硬件设备安全可控。对信息系统的操作行为进行身份标识、口令限制、访问控制和操作管理审计。安排专人管理信息系统所涉及的数据信息,规范各类管理人员对数据库管理操作,加强数据操作记录审计和追溯,避免数据信息泄露。
(一)严格控制身份证号、电话号码、家庭住址等个人敏感信息收集,原则上不采集未成年人的人脸、指纹等生物识别信息。
(二)禁止通过公共邮箱和微信、QQ等公共即时通讯工具传递非涉密重要数据。地市级及以上范围的重要数据,或涉及10万人以上的个人信息,不得通过公共互联网传递。
(三)各单位各学校收集产生的重要数据和个人信息,不得用于商业用途,未经收集数据的批准部门同意,不能与第三方共享。
(四)因阶段性工作收集产生的重要数据和个人信息,在相应工作结束后(如因疫情防控收集的相关数据,在疫情防控工作结束后),相关数据原则上不能保留。
(五)禁止发布(上传)包含个人数据和敏感信息的内容。
(六)要加强对各类账号和密码的管理,定期更换密码、杜绝弱口令。
(七)各单位自建的业务信息系统要及时打补丁和封堵漏洞。
(八)加强对移动存储介质和笔记本电脑的管理,采取有效措施防范因失窃而造成的个人数据和敏感信息泄露。
各单位应进一步完善网络安全应急预案,加强应急技术支撑队伍、灾难备份与恢复能力建设,技术和机要部门要建立健全数据安全监控体系,加强对网络隐患的日常监测,保证对网络安全事件做到快速觉察、快速反应、及时处理、及时恢复。
各单位应进一步规范线下个人信息采集、保存、传递、处理、应用、销毁等环节的相关工作,加强师生个人信息保护,落实数据安全责任,防止师生个人信息泄露。
对于发生数据泄露事件的,应按照《陕西省教育系统网络安全事件应急预案》的要求及时报送相关部门,并妥善处置,将影响降到最低。
要积极组织形式多样、针对性强的全员宣传教育,增强师生数据安全和个人信息保护意识,普及专业知识,提升防范技能,在遵循合法、正当、必要原则的基础上,促进建立健全收集、使用个人信息的规范制度,避免侵犯公民个人信息及隐私,避免造成经济损失和负面社会影响。同时,各单位应加强信息系统管理人员的专业培训,按照要求参加省教育厅组织的网络信息安全专业技术人员教育培训,并结合实际制订本单位的培训计划,确保培训工作不漏一人,落到实处。
