各部门、各学院,各科研机构:
为规范学校网络信息系统建设及系统数据采集、存储传输、使用处理、开放共享等数据活动,保障教学、管理、服务等业务数据安全,按照山东省教育系统党委(党组)网络安全工作责任制有关要求及省教育厅下发的关于开展教育系统数据安全测评工作的通知精神,学校决定在全校范围内开展网络信息系统清查和重要信息系统数据安全自查工作。现将有关事项通知如下:
一、信息系统清查和数据安全自查范围
1.信息系统清查范围:各部门、各学院,各科研机构(以下简称各单位)建设、运行、管理的所有能够通过校园网、互联网访问的网络信息系统(仅在实验室等局域网环境使用、不对校园网和互联网开放访问的信息系统不在此次清查范围),包括但不限于面向教学、科研、管理、生活服务建立的应用系统、网站、APP、微信小程序等。
2.数据安全自查范围:涉及学校教学、学工、人事、财务、科研、办公、图书资料等教育数据的安全管理和技术防护(单机独立运行的信息系统、由上级建设供本级使用的系统、只提供机房设备不完整履行数据处理和数据安全保护责任的数据中心、云,不在自查范围)。
二、工作内容及要求
(一)信息系统清查工作。
1.全面梳理网络信息系统资产。各单位要加强信息系统安全建设和管理意识,进一步压实各级网络安全责任,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,在《山东第二医科大学网络信息系统资产核对表》(该表格将通过内部信息流转方式单独下发给各单位)基础上,对本单位所属网络信息系统进行全面摸排和信息更新、完善,做到底数清、信息准。(责任单位:各部门、各学院)
2.清理“僵尸”系统。各单位要在理清本单位网络信息系统资产台账基础上,对“双非”(非学校域名、非学校IP地址)系统,长期未更新、使用频率低,交互不便捷、实用性不强、安全性不高、无人管理的“空壳”“僵尸”系统及网站进行确认,并根据《校园网安全管理规定》,按照有关程序进行关停注销。 (责任单位:各部门、各学院)
3.开展信息系统安全风险评估。学校将针对在用的网络信息系统进行全面的安全风险检查评估。(责任单位:网络信息中心)
4.进行安全整改。各单位针对安全风险评估检查中发现的弱口令、信息泄露、系统漏洞等安全隐患进行及时整改。(责任单位:各部门、各学院)
(二)数据安全自查内容。
1.数据安全管理是否到位。重点检测数据安全责任制、数据资产管理、外包服务安全管理、开发运维管理、新应用上线评估等安全管理制度建设落实情况,重大数据安全事件处置情况。
2.数据安全防护措施是否有效。重点检测数据边界防护安全、数据访问身份识别、数据访问权限控制、数据对外接口管理、数据存储、数据传输、数据备份恢复等安全措施的有效性。
3.数据处理活动是否合规。重点检测数据来源是否合法正当、真实可靠,数据存储策略和操作规程是否合法合规,数据使用加工是否合法正当,数据传输链路是否安全可靠,数据对外提供和数据公开是否经过严格的安全评估和审批手续,数据删除是否及时彻底等。
4.个人信息保护要求是否落实。重点检测收集、使用个人信息是否遵循合法、正当、必要、诚信原则,是否经个人信息主体同意后收集使用,是否采取个人信息加密、脱敏、去标识化等安全技术措施,委托处理个人信息是否签署合同、约定并监督落实等。
(责任单位:办公室、学生工作处、人事处、教务处、科研处、研究生处、国际合作交流处、资产管理处、财务处、教学质量监控与评估处、继续教育学院、网络信息中心、图书馆等相关部门)
三、报送要求
1.请所有单位填写《山东第二医科大学网络信息系统资产核对表》(附件1);
2.请党委办公室(学校办公室)、学生工作处、人事处、教务处、科研处、研究生处、国际合作交流处、资产管理处、财务处、教学质量监控与评估处、继续教育学院、网络信息中心、图书馆填报数据基础信息统计表(附件2),根据网络数据安全自查内容(附件3)开展自查,与信息系统开发商或供应商充分沟通对接,撰写自查报告(包括数据基本情况、网络数据安全自查情况、自查发现的主要问题和下一步工作改进措施等);
3.报送时间:请各单位在2024年5月20日之前将报送材料发送至邮箱xxb@sdsmu.edu.cn。
后续工作将根据工作进度安排,另行通知。
联系人:孙老师、周老师 联系电话:0536-8462293
山东第二医科大学
网络安全和信息化工作领导小组办公室
2024年5月6日