各部门、学院:
为加强全校信息系统安全保障,确保全网系统稳定运行,根据国家网络安全、数据安全、信息系统安全等相关法律法规,结合浙江省教育厅2024年教育系统安全保障工作要求,现对全校信息系统开展年度安全检查工作,具体通知如下。
一、工作内容
(一)摸排梳理、自查自纠
坚持“谁主管谁负责、谁使用谁负责”原则,各单位应加强信息系统安全责任意识,所属的信息系统需做到专人负责、专人管理。请各部门学院网管员登录钉钉工作台,进入“2024年度信息系统自查反馈”服务,对本部门学院的信息系统清单进行摸排核对,如有变化及时更新。更新内容包括信息系统的域名、IP地址、管理人员、使用人员、运维人员等基本信息。
(二)全面排查、整治安全隐患
1.信息系统排查范围。本次安全检查的信息系统范围覆盖本部门学院自主建设或租用的信息系统、手机App、小程序(微信、钉钉、百度、抖音、支付宝等)等。
2.账号密码安全排查。排查账号密码是否泄露给非相关或非必要人员,如有隐患则及时更改密码。密码是否存在弱密码、默认密码、公用密码、长期不变密码等问题,如有隐患则应及时修改密码。
八位以下简单的数字或字符组合为弱密码;密码与用户名相同或未经修改的系统初始密码为默认密码;多个用户使用同一密码为公用密码;半年以上未更新的密码为长期不变密码。
3.“双非”“僵尸”排查。根据系统安全规定,不允许存在“双非”系统,即非学校IP地址、非学校域名的系统,如有此类情况需上报整改。不允许存在180天以上未更新的“僵尸”信息系统,例如庆典系统、阶段调查统计系统、临时性学习系统等具有时效性阶段性的专题系统、已完成工作使命但未关停的系统、无人运维的系统等。
4.个人敏感信息泄露排查。信息系统是否违反国家法律法规和学校相关规定,存储非必要的师生个人敏感信息,加大个人敏感信息泄露安全风险,应及时删除非必要信息。对于因工作需要必须存储必要个人信息的信息系统,应加强安全技术保障,包括个人敏感数据加密储存和传输、严格控制个人信息可见范围等。
根据国家个人信息相关法律法规,个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括但不限于身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
5.综合集成安全。全校信息系统应纳入整体安全管理。各部门学院须仔细核对系统清单,排查信息系统是否已纳入学校统一身份认证平台和校园综合门户(我的医大、医大钉或医大微校园)。如未纳入,请在钉钉自查反馈表中自行补充填报。
6.合规备案审查。信息系统主管单位应完成所属信息系统的属地通信管理局ICP核准备案、等级保护定级备案和互联网信息服务安全备案,将相关备案证明报信息技术中心,由信息技术中心对系统进行运行合规性审查。
(三)加强防范意识
1.操作系统安全。信息系统主管单位应向信息技术中心报送系统承建单位相关信息,信息技术中心将联系承建单位,及时更新服务器操作系统,安装漏洞补丁,防止系统遭攻击篡改。
2.教工安全宣教。信息系统主管单位应做好本单位信息系统操作人员和使用人员安全宣教工作。不轻易点开陌生邮件中的链接,不轻易下载陌生邮件中的附件,不进入非法系统。请安装火绒、360杀毒等安全软件,增强个人电脑安全性,防止勒索病毒入侵或电脑数据窃取。
二、工作安排
1.根据工作内容,信息技术中心在学校官网发布安全检查通知,各单位开展自查工作,全面核查梳理信息系统。请各单位于4月18日前,在“医大钉”线上提交自查反馈表。
提交路径:钉钉—工作台—信息化服务—2024年度信息系统安全自查反馈,操作说明详见附件。
2.信息技术中心将于4月25日前,开展全校信息系统安全评估,评估不合格者将进行关停处理。具有以下情况的将被视为安全评估不合格,责任部门自查反馈标注为“弃用”;责任部门标注为“在用”,但因系统自身故障而导致的页面无法访问;近180天内服务器无任何访问记录;无法找到管理权属责任部门或未落实管理员。
在信息系统安全检查和日常运行使用过程中,如有任何问题、疑难,请及时与信息技术中心联系。
联系人:王老师 电话:86680302
信息技术中心
2024年4月10日