各学院:
为防范和化解研究生资助系统运行和数据管理风险,强化网络安全管理,根据《广东省教育厅办公室关于做好学生资助信息网络安全隐患排查工作的通知》,现就做好我校研究生资助信息网络安全隐患排查工作有关事项通知如下:
一、排查范围
各学院对研究生资助信息网络开展安全隐患排查,包括研究生资助管理信息系统(各院级)、国家开发银行助学贷款业务管理系统,与研究生资助信息有关的各级各类网站、应用系统、新媒体平台、移动APP、公共场所电子显示屏等。开放访问的网站、含有资助数据和研究生个人信息的系统要重点排查。
二、自查自纠
(一)压实责任,强化属地管理
学院使用研究生管理信息系统、资助管理信息系统、网站和各类平台要严格遵守《中华人民共和国网络安全法》,落实网络安全保护等级制度。抓实防攻击、防病毒、防篡改、防瘫痪、防数据泄密等工作。学院委托第三方设计开发运营的涉及研究生资助数据和个人信息的网站、系统、各类云平台、微信公众号等,要承担完全防护职责。
(二)加强网站和信息系统账号管理,杜绝弱口令
学院全面排查操作系统、数据库、中间件、信息系统存在的弱口令,屏蔽或删除系统的默认账号、禁用僵尸账号。各类研究生管理信息系统、资助管理信息系统的账户、传输数据的电子邮箱,必须定期修改口令,口令长度和复杂性应符合安全要求(口令应含字母、数字、特殊字符,长度8至20位),不同用途的账号不能设置相同口令。信息系统用户要进行全面清理,限制系统管理员账号数量,合理设置权限,不得使用公共管理账号,妥善保管助学贷款业务管理系统用户口令牌,防范业务风险,堵塞安全漏洞。
(三)加强资助数据和研究生个人信息保护,排查信息泄露隐患
学院应规范研究生资助数据用途,对资助数据和学生个人信息的采集、存储、传输、使用、提供、销毁等环节进行严格要求。不得通过QQ、微信等传输含有学生身份证号、银行帐户等个人隐私的信息;系统下载、传输研究生数据应通过内网进行,如无法通过内网传输的,应对数据文件进行加密(密码及文件应分开提供)或通过刻录方式交换数据;研究生资助数据和个人信息不得存储到公共云盘;加强数据访问权限管理,定期销毁无保存要求的各类资助学生申报材料,严防数据泄露。
(四)加强安全管理,防范安全风险
1.规范研究生资助信息公示工作
学院严格落实网络信息发布审核制度,公示研究生资助信息时,要严格遵循国家有关个人信息保护的相关法规制度以及学校有关资助项目的公示期限,严格审查公示内容,坚持信息简洁够用原则,公示研究生姓名、专业、年级等基本信息,不得公示身份证号、家庭住址、电话号码、出生日期、银行帐户等个人敏感信息。
2.全面清理超过期限的研究生资助信息
学院要在2020年4月27日前,全面排查所属网站、邮箱、各类新媒体平台,重点检查附件文档,及时删除存在安全隐患或过期信息,将超过公示期限的研究生资助信息,从学院、年级、专业等网站、微博、微信、QQ群等全部撤下(对于以附件链接形式公示的,除删除链接外还必须同时删除附件)。对于公示期内的研究生资助信息,必须将公示信息中含有的研究生身份证号、家庭住址、电话号码、出生日期、银行帐户等个人敏感信息全部删除。
3.尊重保护研究生个人隐私
在评定研究生家庭经济状况时,不能让研究生当众诉苦、互相比困;在宣传研究生励志典型时,应征得研究生本人同意;在公示研究生受助情况时,不能涉及学生个人及家庭隐私;在发放资助物品时,鼓励采用隐性资助方式。
三、督促整改
各学院要严格按照广东省教育厅有关要求,做好研究生资助信息网络安全隐患自查整改工作,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的要求,压实责任,对自查发现的问题和漏洞要及时妥善处理,排除隐患。下一步,研究生工作部将对各学院自查整改情况进行抽查,对因网络安全管理不善造成资助数据或学生信息泄露的,将建议学校严肃追究相关人员责任,并予以通报。
附件:广东省教育厅办公室关于做好学生资助信息网络安全隐患排查工作的通知.pdf
研究生工作部
2020年4月22日