各机关部门、科研机构、教学辅助机构：

根据国家数据安全相关法律法规，为全面加强学校数据安全保护，提高数据安全意识，以学校重要信息系统和业务数据为重点检查对象，全面摸清学校重要业务数据的安全保护状况，检测排查并督促整改数据安全漏洞隐患、数据安全风险和突出问题，坚决防范发生重大数据安全事件。现将数据安全检查工作通知如下：

一、检查对象及方式

（一）范围和对象

本次数据安全专项检查范围为学校机关部门、科研机构、教学辅助机构（以下简称各部门）具有数据存储传输功能的信息管理系统。

重点对象为：储存业务数据，重点检查有储存《温州医科大学数据安全管理办法》规定的学校内部数据和敏感数据的信息系统（内部数据、敏感数据定义详见附件2第七条）。

（二）检查方式

此次工作分为数据安全自查、技术检测。为提高工作效率，采取线上与线下相结合的方式开展。

二、主要任务

（一）数据安全自查

1.部门数据资产梳理。

各部门要以收集、存储、处理本部门业务数据和师生个人信息的互联网相关信息系统为重点，全面排查系统中是否有重要数据和师生个人信息，摸清在采集、存储（含缓存）、传输、使用、提供、销毁等环节的具体情况，形成本部门数据资产清单。

2.数据安全管理自查。

根据数据资产梳理情况，聚焦数据安全突出风险，排查信息系统数据库是否存在弱口令、未授权访问、数据备份、数据泄露等安全隐患，发现问题应及时组织清查整改。

请各部门加强对本部门信息系统操作使用人员的数据安全教育，增强师生员工数据安全意识和基本技能。

各部门需重点排查本单位信息系统使用开源数据库（如：MySql、MongoDB等）和应用软件情况，及时升级数据库和应用软件安全补丁，严格数据访问权限管理，防范通用软件安全风险。

3.第三方供应链安全自查。

全面排查为本部门提供信息系统开发建设、运维服务的厂商及其信息系统建设情况，防止厂商违规私自在互联网上存储或缓存数据，加强对厂商的安全监管，对厂商在本部门长期驻场（远程）运维的人员签订数据安全保密承诺书（附件4），增加必要的运维安全审计环节，防范人员安全风险，坚决防止通过第三方企业泄露重要数据和师生个人信息。

（二）技术检测及处置

信息技术中心将于2023年4-5月对我校重要信息系统（网站）开展数据安全远程技术检测和抽查，如发现数据库存在弱口令、未授权访问、数据明文传输、缺少安全审计、访问控制策略不严等安全隐患，将对检测中发现的安全威胁一一下发整改通报并协助做好整改，及时消除安全威胁。

三、信息上报及联系方式

请各部门于2023年3月31日前，前在“医大钉”线上提交《数据安全管理自查表》。

提交路径：钉钉—>工作台—>搜索“数据安全管理自查表”并打开填报。

在数据安全检查和日常运行使用过程中，如有任何问题、疑难，需要技术支持的，请及时与我们联系。

联系人：杨春燕，手机短号666910。

信息技术中心

2023年3月17日