各系:
为进一步增强我校学生资助工作队伍信息化操作的安全意识,规范系统操作行为,提升网络安全防范能力,根据《河南省教育厅办公室关于加强学生资助工作信息安全管理的通知》(教资助函〔2021〕144号)文件要求,现对我校学生资助工作信息安全管理做如下规范要求:
1、各学生资助工作相关信息系统(以下简称“各资助信息系统”)包括:资助工作人员的办公电脑、全国学生资助管理信息系统、河南省高校学生资助业务系统、国家开发银行助学贷款业务管理系统和学校办事大厅等。
2、各系要高度重视资助工作信息安全工作,加强组织领导,切实增强信息安全管理意识,强化信息安全主体责任,按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,严格管理各类学生资助信息的查阅、导出、存储、流转、公示、复印等操作,严格限制资助信息系统的使用权限。
3、各系要实现资助信息系统操作人员与操作账户一一对应,仅限操作人员本人使用,杜绝混用、滥用账户行为。要定期核对账户使用情况,及时报停、删除长期未使用账号。禁止将账户给非操作人员本人登录使用。
4、禁止在资助工作人员个人电脑或非办公场所登录使用各资助信息系统。禁止将各资助信息系统加密锁等安全工具带出办公场所使用。禁止使用公共WiFi登录使用各资助信息系统。
5、为保证各资助信息系统安全,资助工作人员的办公电脑和各资助信息系统密码长度应该大于8个字符,并采用大小写字母、符号、数字相结合的组合方式。禁止采用默认密码、单一密码或通用密码。禁止使用办公电话、办公室门牌号、生日、手机号码等作为密码。禁止与个人电脑或个人微博、微信、邮箱、网盘等私人社交账户密码相同。各资助信息系统密码要定期更改,使用周期不要长于3个月。
6、各资助信息系统的账户、密码应通过加密方式保存,禁止明文保存于电脑、邮箱、网盘,如纸面留存需锁入保险柜。
7、资助工作人员的办公电脑要做好木马防护,经常杀毒。办公电脑和各资助信息系统账户密码不得设置为自动登录。禁止使用浏览器记住登录密码功能,禁止电脑自动登录操作等。禁止在办公电脑上安装远程控制类软件,禁止在办公电脑上启用远程服务和远程协助。
8、各资助信息系统导出的数据和含有敏感信息(包括并不限于个人信息、系统用户信息、组织机构信息等)的资助相关文档务必妥善保管,加密存储。禁止存放于U盘和互联网,禁止上传至各网盘、WPS云文档,禁止通过非工作邮箱或QQ、微信等即时通讯平台收发、存储涉及学生隐私的信息(如家庭住址、家庭成员、身份证号、通讯信息等)。含有敏感信息的文档如必须传输时,需要通过学校OA系统或加密后再传输(密码通过其他途径告知)。
9、对必须公示的学生信息,要严格公示内容和范围,不得随意公开学生隐私信息,不得随意增加内容和扩大范围,防止学生信息泄露。要定期排查本系学生资助公示信息,原则上要将超过公示期限的学生资助信息,从网站、微博、微信、QQ群等全部撤下(对于以附件链接形式公示的,除删除链接外还必须同时删除附件)。对于公示期内的学生资助信息,必须将公示信息中含有的学生身份证件号码、家庭住址、电话号码、出生日期、银行卡号等个人敏感信息全部删除。
10、各系要尽快建立本系的信息安全制度,防止出现各自盲区和职责空白。
各系要高度重视学生资助工作过程中的信息安全问题,保证各类学生信息尤其是资助信息的安全,要严格落实信息管理责任,内控违规泄露,外控非法入侵,坚决杜绝各种信息泄露行为,保护好受助学生权益。
2021年4月15日
