各部门：

为深入贯彻《中华人民共和国数据安全法》、《中华人民共和国网络安全法》以及《中华人民共和国个人信息保护法》等相关法律法规，加强学校数据安全保护，提高数据安全意识，现对学校重要信息系统业务数据开展专项检查，具体工作通知如下。

一、检查对象及方式

（一）范围和对象

本次数据安全专项检查范围为学校机关部门、科研机构、教学辅助机构（以下简称各部门），特别是具有数据存储传输功能的信息管理系统。

重点对象为系统内存储的业务数据，尤其是《温州医科大学数据安全管理办法》规定的学校内部数据和敏感数据（内部数据、敏感数据定义详见附件1第七条）。

（二）检查方式

此次工作分为数据安全自查、技术检测。为提高工作效率，采取线上与线下相结合的方式开展。

二、主要任务

（一）数据安全自查

1.部门数据资产梳理。

各部门要以收集、存储、处理本部门业务数据和师生个人信息的相关信息系统为重点，全面排查系统中是否存储处理重要数据和师生个人信息，摸清数据在收集、存储、使用、加工、传输、提供、公开、删除等环节的具体情况，形成本部门数据资产清单。

2.数据安全管理自查。

根据数据资产梳理情况，聚焦数据安全风险。排查信息系统数据库是否存在弱口令、未授权访问、未数据备份、数据泄露等安全隐患，发现问题并及时组织整改。

请各部门加强对本部门信息系统操作使用人员的数据安全教育，增强系统操作人的数据安全意识和基本技能。

各部门需重点排查本部门信息系统使用开源数据库（如：MySql、MongoDB等）和应用软件情况，及时升级数据库和应用软件安全补丁，严格管理数据访问权限管理，防范通用软件的潜在安全风险。

3.数据集成安全。

根据数据资产梳理情况，着眼数据集成规范。排查信息系统是否已纳入学校信息化数据资源共享的范围，是否与学校数据中台完成对接。如果发现有未纳入集成的系统，请及时向我中心反馈。

4.数据开放安全。

根据数据资产梳理情况，关注对外（校外）开放数据规范。对外开放数据需求发起部门，应对业务合作伙伴的境内外合作关系、既往合作情况、运营历史等进行背景调查，并对其安全资质进行审查。同时，必须填写《温州医科大学对外数据共享申请表》，并要求业务合作伙伴签订《温州医科大学数据共享使用安全承诺书》（详见附件2）。

5.第三方供应链安全自查。

全面排查为本部门提供信息系统开发建设、运维服务的厂商情况，防止厂商违规私自在互联网上存储或缓存数据，加强对厂商的安全监管，对厂商在本部门长期驻场（远程）运维的人员，签订《数据安全保密承诺书》（详见附件3），增加必要的运维安全审计环节，防范人员安全风险，坚决防止通过第三方企业泄露重要数据和师生个人信息。

（二）技术检测及处置

信息技术中心将于2024年4-5月对我校信息系统（网站）开展数据安全技术检测和抽查，对检查中发现的数据库存在弱口令，访问控制策略不严，缺少安全审计，重要敏感数据存储和传输未加密，重要数据未备份，API 接口存在风险等安全隐患，将逐一发放整改通报，并协助做好整改，及时消除安全隐患。

三、信息上报及联系方式

在数据安全检查和日常运行使用过程中，如有任何问题、疑难，请及时与我中心联系。

联系人：杨春燕，手机短号666910。

信息技术中心

2024 年 4 月 9 日