為認真貫徹落實中央領(lǐng)導(dǎo)關(guān)于敏感��、重要數(shù)據(jù)庫信息泄露事件和關(guān)于網(wǎng)絡(luò)安全工作等重要批示指示精神���,按照湖南省公安廳《關(guān)于開展防范重要數(shù)據(jù)和公民個人信息泄露工作的函》��、湖南省教育廳《關(guān)于加強教育系統(tǒng)重要數(shù)據(jù)安全管理防范泄露工作的通知》(湘教通〔2019〕157 號)��、長沙市公安局《關(guān)于開展網(wǎng)絡(luò)安全執(zhí)法檢查工作的函》以及學(xué)校相關(guān)要求��,結(jié)合我館網(wǎng)絡(luò)安全工作實際,特就加強檔案館重要數(shù)據(jù)和公民個人信息安全防護工作����、嚴防發(fā)生重要數(shù)據(jù)和公民個人信息泄露事件,配合學(xué)校網(wǎng)絡(luò)安全執(zhí)法檢查��,制訂工作方案如下:
一�、加強領(lǐng)導(dǎo),明確和落實數(shù)據(jù)安全管理責(zé)任
檔案館高度重視本單位主管�、使用、運行的各類信息系統(tǒng)(網(wǎng)站)��、本單位重要數(shù)據(jù)和相關(guān)個人信息等敏感數(shù)據(jù)的安全管理工作�。及時成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,并指定人員負責(zé)本單位系統(tǒng)及數(shù)據(jù)安全�����。
組長:許建蘭
成員:彭靜 尹瑛 梁鳳娟 何潘毅
二�、規(guī)范管理,制度優(yōu)先����,推進和完善網(wǎng)絡(luò)安全建設(shè)
按要求摸底本部門主管、使用�����、運行的各類信息系統(tǒng)(網(wǎng)站)��、本單位重要數(shù)據(jù)和相關(guān)個人信息等敏感數(shù)據(jù)情況���,清查本單位網(wǎng)站數(shù)據(jù)發(fā)布情況���,排查各種網(wǎng)絡(luò)、數(shù)據(jù)庫�����、軟件運行環(huán)境的安全隱患�����,全面清理信息系統(tǒng)用戶管理權(quán)限�,加強超級管理員帳號管理、信息系統(tǒng)用戶密碼管理���。與此同時����,制訂管理辦法,規(guī)范系統(tǒng)管理使用和數(shù)據(jù)采集����、存儲、使用����、開發(fā)、交換共享流程��。建立數(shù)據(jù)安全審核和保密審查制度���,明確審核審查程序���,確保數(shù)據(jù)全生命周期安全。制訂本部門的網(wǎng)絡(luò)安全等級保護制度����,有效預(yù)防數(shù)據(jù)丟失和泄露。
三��、全面落實網(wǎng)絡(luò)安全等級保護�����,清除信息系統(tǒng)數(shù)據(jù)安全隱患,做好系統(tǒng)����、數(shù)據(jù)安全預(yù)防工作
1��、認真落實相關(guān)系統(tǒng)定級備案和測評整改工作�,做好數(shù)據(jù)的安全檢測,加強數(shù)據(jù)安全管理和技術(shù)防范�,切實維護重要數(shù)據(jù)和公民個人信息安全;積極配合應(yīng)對處置網(wǎng)絡(luò)安全突發(fā)事件�,如發(fā)現(xiàn)網(wǎng)絡(luò)滲透、數(shù)據(jù)竊取等攻擊行為時���,及時采取針對性防護措施�;健全本單位網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案��,組織開展應(yīng)急演練����,提高網(wǎng)絡(luò)安全事件應(yīng)急處置能力;加強日常值班值守��,發(fā)生攻擊入侵��、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件時,第一時間啟動預(yù)案并妥善處置����,固定相關(guān)日志,第一時間向信息化中心報告等����。
2、積極部署排查檔案館主管�、使用、運行的信息系統(tǒng)(網(wǎng)站)�,以收集、存儲��、處理重要業(yè)務(wù)數(shù)據(jù)和公民個人信息的互聯(lián)網(wǎng)相關(guān)信息系統(tǒng)為重點��,全面排查相關(guān)信息系統(tǒng)重要數(shù)據(jù)和公民個人信息在采集存儲(含緩存)���、傳輸���、使用、提供�、銷毀等環(huán)節(jié)的具體情況,摸清本單位重要數(shù)據(jù)和公民個人信息等敏感數(shù)據(jù)底數(shù)���,形成本單位數(shù)據(jù)資產(chǎn)清單���;排查信息系統(tǒng)數(shù)據(jù)庫存在弱口令���、未授權(quán)訪問、數(shù)據(jù)明文傳輸��、缺少安全審計���、訪問控制策略不嚴、未脫敏使用等突出安全隱患并整改�����,切實提高信息數(shù)據(jù)安全保護能力���;強化網(wǎng)絡(luò)邊界違規(guī)外聯(lián)安全監(jiān)測和防護工作����,加強內(nèi)部人員安全管理�,堅決防止違規(guī)外聯(lián),排查安全隔離等安全保護措施���,并及時升級病毒庫�,查殺病毒木馬,實時監(jiān)測內(nèi)外網(wǎng)數(shù)據(jù)流量�,及時阻斷外部攻擊探測,有效防范黑客通過互聯(lián)網(wǎng)滲透攻擊內(nèi)網(wǎng)造成數(shù)據(jù)泄露和丟失���;排查信息系統(tǒng)使用開源數(shù)據(jù)庫(如:MongoDB) 和應(yīng)用軟件情況��,及時升級數(shù)據(jù)庫和應(yīng)用軟件安全補丁�����,嚴格數(shù)據(jù)訪問權(quán)限管理��,對重要應(yīng)用軟件開展第三方安全檢測����,防范應(yīng)用軟件供應(yīng)鏈安全�����;排查為本單位提供網(wǎng)絡(luò)系統(tǒng)建設(shè)��、運維服務(wù)廠商及其系統(tǒng)建設(shè)情況,防止企業(yè)違規(guī)私自在互聯(lián)網(wǎng)上存儲或緩存數(shù)據(jù)�����;加強對運維企業(yè)的安全監(jiān)管�����,要簽訂保密協(xié)議�,進行背景審查和安全檢查,防范人員安全風(fēng)險�����,防止通過第三方企業(yè)泄露重要數(shù)據(jù)和公民個人信息�����。
檔案館
2019.5.30
