根据北京市信息安全等级保护办公室下发的《关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》要求,朝阳教育系统将开展紧急排查整改重要数据和公民个人信息泄露安全隐患工作,现将有关事项要求如下:
一、加强组织领导,全面部署开展排查整改工作。
重要数据和公民个人信息安全事关国家安全和社会稳定,各单位要高度重视此次专项工作任务,按照通知要求制定具体工作方案,全面部署本单位梳理重要数据和公民个人信息底数,排查网络安全风险漏洞,整改安全隐患,并按照《网络安全法》和国家网络安全等级保护制度要求,落实网络安全保护责任,加强数据安全管理和技术防范,切实维护重要数据和公民个人信息安全。
二、突出工作重点,全面加强互联网相关信息系统数据安全保护。
各单位要以收集、存储、处理、重要业务数据和公民个人信息的互联网相关信息系统为重点,全面排查相关信息系统重要数据和公民个人信息在采集、存储(含缓存)、传输、使用、提供、销毁等环节的具体情况,形成本单位数据资产清单。要根据数据资源梳理情况,聚焦数据安全突出风险,紧急排查信息系统数据库存在弱口令、未授权访问、数据明文传输、缺少安全审计、访问控制策略不严等突出安全隐患,针对发现的问题立即组织清查整改,完善数据全生命周期安全保护,切实提高重要数据和公民个人信息安全保护能力。
三、强化边界防护,切实防范内部信息系统数据被攻击泄露风险。
各单位要全面梳理物理隔离的业务专网、内部网络边界,排查是否存在违规接入互联网问题,强化网络边界违规外联安全监测和防护,加强内部人员安全管理和责任追究,坚决防止违规外联。对于与互联网逻辑隔离的业务专网和内部网络,要全面加强业务专网和内部网络数据资源防护,全面排查互联网接入区边界安全防护措施,验证内外网数据交换、安全隔离等安全保护措施是否有效,并及时升级病毒库,查杀病毒木马,实时监测内外网数据流量,及时阻断外部攻击探测,积极防范黑客通过互联网渗透攻击内网造成数据泄露和丢失。
四、加强安全管理,有效防范供应链安全风险。
重点排查本单位重要信息系统使用开源数据库(例如MongoDB)和应用软件情况,及时升级数据库和应用软件安全补丁,严格数据访问权限管理,对重要软件开展第三方安全检测,防范软件供应链安全风险。全面排查为本单位提供信息系统建设、运维服务的厂商及其信息系统建设情况,防止运维单位违规私自在互联网上存储或缓存数据,加强对运维单位的安全监管,对运维单位在本单位、长期驻场运维的人员签订保密协议,进行背景审查和安全检查,防范人员安全风险。对于本单位托管在电信运营商、云服务商、IDC机房等信息系统,要督促托管部门落实安全管理和技术防范措施,坚决防止通过第三方企业泄漏重要数据和公民个人信息。
五、开展安全监测,及时应对处置网络安全突发事件。
各单位要组织技术力量,对本单位重要信息系统开展实时安全监测,及时发现网络渗透、数据窃取等攻击行为,及时采取有针对性地防护措施。要健全本单位网络安全应急处置预案并组织开展应急演练,加强日常值班值守,重点时期24小时值守,畅通应急处置渠道,完善应急处置工作机制。对于发生数据泄露等网络安全事件的,要第一时间启动预案并妥善处置,同时第一时间按要求报告,留存信息系统相关日志,并配合开展事件调查。
近期,公安机关将组织技术支持单位,对各单位在互联网上的数据库进行专门技术检测和渗透测试,对于发现的严重安全隐患漏洞和数据泄露风险,将通报相关部门严肃处理。
请各单位将“市、区属委办局(含直属单位)/国有企业互联网上存储的数据资产清单”和“在互联网上存储(含缓存)的重要数据和公民个人信息统计表”填写完整,如无相关信息,填“无”进行上报,将盖章彩色扫描件及电子版表格于2019年3月22日下班前,发送至wlaq@bjchyedu.cn,邮件标题写明单位名称、联系人和联系方式;盖章纸质版上交至朝阳教育信息网络中心101室(水碓子北里14号)。如出现误报、漏报,由各单位自行承担相应责任。
联系人:朱鹏宇 85979246-82013;张亚钊 85979246-82016
24小时技术支持电话:85858383-2或3;
附件:《市、区属委办局(含直属单位)/国有企业互联网上存储的数据资产清单》、《在互联网上存储(含缓存)的重要数据和公民个人信息统计表》
朝阳教育系统网络安全办公室
北京市朝阳区现代教育技术信息网络中心
2019年3月20日
附件
市、区属委办局(含直属单位)/国有企业
互联网上存储的数据资产清单
|
单位名称 |
|
|||
|
单位地址 |
|
|||
|
网络安全责任部门 |
|
|||
|
责任部门联系人 |
姓 名 |
|
职务/职称 |
|
|
办公电话 |
|
移动电话 |
|
|
|
数据保护责任部门 |
|
|
|
|
|
责任部门联系人 |
姓 名 |
|
职务/职称 |
|
|
办公电话 |
|
移动电话 |
|
|
|
单位数据总量 (TB/PB) |
|
|||
|
数据存储位置 |
□互联网 □业务专网 □互联网和业务专网 □其他 |
|||
|
数据内容描述 |
(描述业务数据种类,是否包含公民个人信息) |
|||
在互联网上存储(含缓存)的重要数据和公民个人信息统计表
|
单位名称 |
信息系统名称 |
包含的数据类型 |
数据量(GB/TB/PB) |
数据存储位置 |
数据库IP地址 |
数据库维护单位、联系人及联系方式 |
|
本级 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
直属事业单位1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
直属事业单位2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
注:包含的数据类型:业务数据/公民个人信息;数据存储位置:互联网/互联网和业务专网/托管单位。