- 2023年8月��,南昌某高校3萬余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣,該校受到責(zé)令改正����、警告并處80萬元人民幣罰款的處罰����,主要責(zé)任人被罰款5萬 元人民幣����。
- 2023 年 7月,中國人民大學(xué)一名畢業(yè)生馬某某盜取全校學(xué)生的個(gè)人信息�,并制作網(wǎng)頁任人查看,還可給該校學(xué)生的顏值打分�����,上面的信息包括學(xué)生的照片���、姓名、學(xué)號(hào)���、學(xué)院、籍貫�����、生日等。
- 2023年3月,南昌市公安局發(fā)現(xiàn)���,江西某職業(yè)技術(shù)大學(xué)師生個(gè)人信息疑似遭泄露���。經(jīng)查��,該學(xué)校未健全全流程數(shù)據(jù)安全管理制度�����,未采取數(shù)據(jù)加密等相應(yīng)技術(shù)措施保障數(shù)據(jù)安全,導(dǎo)致學(xué)校數(shù)據(jù)庫被黑客非法入侵���,師生個(gè)人敏感信息數(shù)據(jù)遭泄露。
- 2022年6月�����,某知名大學(xué)生學(xué)習(xí)軟件的數(shù)據(jù)庫信息被公開售賣���,超1.7億條信息疑遭泄露,公安機(jī)關(guān)介入調(diào)查��。
近年來,高校數(shù)據(jù)安全風(fēng)險(xiǎn)事件頻發(fā)�����,一定程度上反映了目前高校數(shù)據(jù)安全管理工作存在一定的安全短板�,建立完善的數(shù)據(jù)安全管理體系是當(dāng)前高校的重點(diǎn)工作之一�����。2021 年����,教育部等七部門印發(fā)了《關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》����,《通知》要求建立教育系統(tǒng)數(shù)據(jù)安全責(zé)任體系和數(shù)據(jù)分類分級(jí)制度�, 形成教育系統(tǒng)數(shù)據(jù)資源目錄��。健全覆蓋數(shù)據(jù)收集�����、傳輸存儲(chǔ)�、使用處理���、開放共享等全生命周期的數(shù)據(jù)安全保障制度。探索建立個(gè)人生物識(shí)別信息審查制度��、數(shù)據(jù)安全評(píng)估制度��,開展常態(tài)化的數(shù)據(jù)安全監(jiān)測(cè)預(yù)警通報(bào)���。構(gòu)建數(shù)據(jù)安全協(xié)同治理的新格局�����,有效遏制數(shù)據(jù)安全違法違規(guī)活動(dòng)��。全面加強(qiáng)數(shù)據(jù)安全保護(hù)能力,提升數(shù)據(jù)安全合法合規(guī)管理水平�,有力支撐教育事業(yè)發(fā)展。
近期�����,為進(jìn)一步落實(shí)《教育部等七部門關(guān)于加強(qiáng)教育系統(tǒng)數(shù)據(jù)安全工作的通知》要求�����,了解掌握教育系統(tǒng)數(shù)據(jù)安全總體態(tài)勢(shì),規(guī)范數(shù)據(jù)采集�、存儲(chǔ)傳輸�、使用處理、開放共享等數(shù)據(jù)活動(dòng)�����,保障教學(xué)�、管理�、服務(wù)等領(lǐng)域數(shù)據(jù)安全���,山東省教育廳網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室發(fā)布《關(guān)于開展教育系統(tǒng)數(shù)據(jù)安全評(píng)測(cè)工作的通知》,測(cè)評(píng)工作重點(diǎn)任務(wù)圍繞加強(qiáng)數(shù)據(jù)安全統(tǒng)籌協(xié)調(diào)�、規(guī)范數(shù)據(jù)生命周期管理�、重點(diǎn)保障個(gè)人信息安全、健全數(shù)據(jù)安全保障體系等方面進(jìn)行展開����,主要包含以下關(guān)鍵點(diǎn):
01 數(shù)據(jù)安全管理責(zé)任制落實(shí)
- 數(shù)據(jù)安全管理機(jī)構(gòu)健全�,職能清晰��。明確數(shù)據(jù)安全負(fù)責(zé)人及職能��。
- 落實(shí)“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)����、誰管數(shù)據(jù)安全”,把數(shù)據(jù)安全監(jiān)管與業(yè)務(wù)管理工作同謀劃�、同部署�、同落實(shí)。制定完善的數(shù)據(jù)安全工作制度���、規(guī)劃或方案,數(shù)據(jù)安全制度監(jiān)督檢查機(jī)制健全���、運(yùn)行有效。明確重要�、關(guān)鍵崗位人員錄用、設(shè)置�、轉(zhuǎn)崗離崗相關(guān)要求工作制度���。明確數(shù)據(jù)操作人員禁止行為和保密責(zé)任。
- 重要數(shù)據(jù)處理者定期開展安全風(fēng)險(xiǎn)評(píng)估����,并向有關(guān)部門報(bào)送評(píng)估報(bào)告�����,報(bào)告內(nèi)容包含重要數(shù)據(jù)種類�����、數(shù)量�����、開展數(shù)據(jù)處理活動(dòng)情況���、面臨數(shù)據(jù)安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施等內(nèi)容����。
- 建立關(guān)鍵崗位數(shù)據(jù)安全管理操作規(guī)程���。數(shù)據(jù)庫管理人員���、操作員�����、安全運(yùn)維人員���、數(shù)據(jù)備份恢復(fù)管理人員����、數(shù)據(jù)恢復(fù)管理人員等關(guān)鍵崗位職責(zé)分離、專人專崗設(shè)置情況��。特權(quán)賬戶、關(guān)鍵數(shù)據(jù)處理崗位雙人雙崗設(shè)置情況���。
02 數(shù)據(jù)資產(chǎn)管理要求與保護(hù)措施
- 結(jié)合行業(yè)領(lǐng)域?qū)嶋H情況,數(shù)據(jù)分類分級(jí)制度健全���,符合國家�、行業(yè)和地方分類分級(jí)規(guī)范要求�����,核心數(shù)據(jù)�、重要數(shù)據(jù)目錄建立并動(dòng)態(tài)更新��,分類分級(jí)保護(hù)策略�����、措施在數(shù)據(jù)訪問權(quán)限����、保護(hù)措施上具體體現(xiàn)�。
- 數(shù)據(jù)資產(chǎn)統(tǒng)計(jì)全面����,覆蓋數(shù)據(jù)庫、大數(shù)據(jù)存儲(chǔ)組件���、云上對(duì)象存儲(chǔ)或網(wǎng)盤等存儲(chǔ)工具及計(jì)算機(jī)、盤�����、光盤等存儲(chǔ)介質(zhì)中數(shù)據(jù)�。
- 按照重要數(shù)據(jù)目錄或規(guī)定�,重要數(shù)據(jù)采取有效措施實(shí)施重點(diǎn)保護(hù)�。按照核心數(shù)據(jù)目錄或規(guī)定,核心數(shù)據(jù)采取有效措施實(shí)施嚴(yán)格管理��。
03 外包服務(wù)管理、開發(fā)運(yùn)維管理�����、應(yīng)急預(yù)案與組織演練
- 建立數(shù)據(jù)處理合作方或外包服務(wù)機(jī)構(gòu)選擇����、評(píng)價(jià)���、管理����、監(jiān)督配套機(jī)制�,對(duì)外包服務(wù)機(jī)構(gòu)安全能力評(píng)估�����。
- 對(duì)數(shù)據(jù)外包服務(wù)過程中數(shù)據(jù)導(dǎo)出����、數(shù)據(jù)外發(fā)����、敏感數(shù)據(jù)訪問操作���、服務(wù)賬號(hào)與訪問權(quán)限管理����、遠(yuǎn)程訪問操作進(jìn)行監(jiān)督�����,并有詳實(shí)記錄�。
- 開發(fā)測(cè)試前對(duì)真實(shí)個(gè)人信息�、核心數(shù)據(jù)��、重要數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化、脫敏處理���。
- 新應(yīng)用開發(fā)審核流程規(guī)范,數(shù)據(jù)處理需求安全合規(guī)�����。
- 制定并修訂數(shù)據(jù)安全事件應(yīng)急預(yù)案���,方案內(nèi)容科學(xué)、完整、可行�����,并組織演練�����。發(fā)生重大數(shù)據(jù)安全事件�,啟動(dòng)應(yīng)急預(yù)案����,采取有效應(yīng)對(duì)處置措施���,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告����。
04 數(shù)據(jù)訪問權(quán)限控制
- 建立與數(shù)據(jù)類別級(jí)別相適應(yīng)的訪問控制機(jī)制,設(shè)定訪問控制數(shù)據(jù)范圍��。
- 設(shè)置數(shù)據(jù)訪問身份認(rèn)證措施�����。
- 建立數(shù)據(jù)訪問權(quán)限申請(qǐng)����、審批機(jī)制����,明確賬號(hào)分配�、開通�����、使用��、變更�����、注銷等安全管理規(guī)定,落實(shí)執(zhí)行嚴(yán)格��。
- 滿足最小業(yè)務(wù)需求最小化權(quán)限設(shè)置情況。
- 系統(tǒng)管理員�����、安全管理員角色分離設(shè)置����,權(quán)限明晰�����。
- 數(shù)據(jù)批量復(fù)制�����、下載��、導(dǎo)出����、修改���、刪除等數(shù)據(jù)敏感操作采取多人審批授權(quán)或操作監(jiān)督并進(jìn)行日志審計(jì)。
05 數(shù)據(jù)對(duì)外接口管理
- 面向互聯(lián)網(wǎng)及合作方數(shù)據(jù)接口的接口認(rèn)證鑒權(quán)��、安全監(jiān)控能力����。
- 不同安全等級(jí)系統(tǒng)之間���、不同區(qū)域間跨系統(tǒng)���、跨區(qū)域數(shù)據(jù)流動(dòng)安全控制措施。
- 設(shè)置接口安全控制策略���,對(duì)個(gè)人信息���、重要數(shù)據(jù)傳輸接口實(shí)行調(diào)用審批,定期對(duì)對(duì)外數(shù)據(jù)接口進(jìn)行清查����。
- 涉及敏感數(shù)據(jù)接口調(diào)用具備安全通道�、加密傳輸�、時(shí)間戳等安全措施。
- 明確接口類型��、名稱��、參數(shù)等安全要求規(guī)范����,對(duì)接口訪問進(jìn)行日志記錄����,對(duì)接口異常事件進(jìn)行警告通知��。
06 數(shù)據(jù)操作和使用加工規(guī)范
- 數(shù)據(jù)庫的賬號(hào)權(quán)限管理���、訪問控制、日志管理����、加密管理�����、版本升級(jí)等方面管理規(guī)定健全、落實(shí)嚴(yán)格�����。
- 數(shù)據(jù)導(dǎo)出授權(quán)審批流程規(guī)范��,導(dǎo)入導(dǎo)出操作日志記錄完整����,導(dǎo)出權(quán)限管理設(shè)置嚴(yán)格�����。
-數(shù)據(jù)處理環(huán)境設(shè)置身份鑒別�����、訪問控制����、隔離存儲(chǔ)�����、加密�、脫敏安全措施��,大數(shù)據(jù)平臺(tái)等處理組件按照基線要求進(jìn)行安全配置����,數(shù)據(jù)處理環(huán)境安全漏洞及處置����。
- 數(shù)據(jù)使用權(quán)限是否存在未授權(quán)訪問、超范圍授權(quán)�����、特權(quán)賬號(hào)情況��。
- 個(gè)人信息處理目的明確合理,收集信息限于實(shí)現(xiàn)目的最小范圍�����,不存在過度收集行為,是否經(jīng)個(gè)人信息主體同意后收集使用��。
- 對(duì)個(gè)人信息采取加密�、脫敏��、去標(biāo)識(shí)化等安全技術(shù)措施�。
- 簽訂包含委托處理目的�����、期限����、處理方式�����、個(gè)人信息種類�����、保護(hù)措施��、雙方權(quán)利義務(wù)等內(nèi)容的合同協(xié)議��,對(duì)受托人個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督�。
- 委托合同不生效�����、無效�����、被撤銷或終止�,受托人將個(gè)人信息返還處理者或者刪除��,受托人無違規(guī)保留個(gè)人信息行為�����。
