淮北市工商局信息安全管理制度
淮北市工商局信息安全管理制度
为了加强全市工商信息系统安全和保密管理工作,解决信息系统安全和保密管理工作中管理机制不健全、制度不落实、技术防护措施不完善等问题,不断提高我市工商信息系统安全保障能力。根据国家保密局、国务院信息化工作办公室《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发【2007】13号)、《关于加强政府信息系统安全和保密管理工作的通知》(国办发【2008】17号)、《关于印发<政府信息系统安全检查办法>的通知》(国办发【2009】28号)和其它相关文件精神,结合工作实际,特制定如下信息安全管理制度:
(一)应用系统安全。加强对计算机管理的人员和操作人员的管理,根据其工作职责设置不同的权限,通过对用户身份认证管理保证用户的合法性。计算机信息系统必须使用正版软件,并及时进行系统升级或更行补丁;必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相连的信息系统要有防止非法入侵措施。
(二)数据安全。通过系统权限、数据权限、角色权限的管理,建立数据库系统的权限控制机制。通过安全审计记录,跟踪用户对数据库的操作。根据信息的重要程度和安全要求,采取不同层次的数据备份制度。对通过网络传输的重要信息,应进行数据加密处理。有条件的地方,应建立数据库灾害防范机制,最大限度的保证数据的安全。
(三)网络平台安全。配备有效地防病毒软件,防止网络环境的病毒感染和泛滥。在内部网与外部网之间,应采用防火墙技术,对进出内部网络的信息进行过滤,堵封某些禁止的业务。建立网络安全扫描系统和网络实时监控预警系统,对网络攻击进行检测和告警,及时发现网络系统安全漏洞,防止非法攻击对网络平台的损害。
(四)机房和设备安全。机房建设要符合有关国家标准,机房内应有防尘措施,窗户必须全密封、遮光;机房内的温度、湿度应符合维护技术指标要求,保持正常通风;机房内禁止吸烟,严禁存放和使用易燃易爆、剧毒及腐蚀性物品;必须配备一定数量的合适消防器材和防护用具,各种消防器材和防护用具应按规定定点放置,随时保持有效;应有可靠避雷装置,雷雨季节应加强对机房内部安全设备、地线及防护电路的检修和整改;应有良好的防静电措施;存储信息的备份介质要防尘、防潮、防霉变,保障系统的设备和数据的安全。对信息系统所在的环境、所用计算机设备、信息所载媒体进行有效地安全保护。
(五)信息系统安全等级保护。信息系统运营使用单位在信息系统建设前,应当依据国家有关规定确定安全保护等级。信息系统的规划、设计、建设和维护,应当根据安全保护等级同步落实相应的安全保护技术措施,使用满足信息系统安全保护需求的信息技术产品。
(六)涉密信息系统。涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离。涉密计算机一律不得连接互联网,连接互联网的计算机一律不得处理公文和信息,切实做到“涉密计算机不上网,上网计算机不涉密”。涉密计算机及相关设备维修,应当在本单位内部现场进行,并指定专人全过程监督,严禁维修人员读取和复制涉密信息。确需送修的,应当拆除涉密信息存储部件。涉密计算机及相关设备存储设备的恢复,必须由国家保密工作部门指定的具有涉密数据恢复资质的单位进行。
(七)计算机的使用管理应当符合下列要求:
1、工作用计算机实行专人专机,谁使用、谁管理、谁负责;
2、设置开机口令长度不得少于8个字符,并定期更换,防止口令被盗;
3、严格遵守计算机操作规程,爱护计算机设备,不得私自拆卸计算机;
4、对计算机内的重要数据要定期备份并妥善保管;
5、安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;
6、不得安装、运行、使用与工作无关的软件;
7、严禁同一计算机既上互联网又处理涉密信息;
8、严禁使用含有无线网卡、无线鼠标、无线键盘等具有无限互联功能的设备处理涉密信息;
9、不得恶意访问和攻击网络服务器和他人计算机,未经允许不得阅读他人文件、文档、电子邮件,不得有意制造和传播计算机病毒,禁止破坏网络数据、网络资源,或在网络上进行恶作剧行为;
10、处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件种中的内部信息;
11、建立MAC地址、IP地址与使用者的对应关系,以便能够第一时间准确定位中毒,中木马、被控制或进行网络攻击或其他非法活动的计算机,并及时进行处理。
(八)移动存储设备的使用管理应当符合下列要求:
1、实行登记管理
2、移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;
3、移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;
4、鼓励采用密码技术等对移动存储设备中的信息进行保护;
5、严禁将涉密存储设备带到与工作无关的场所。
(九)数据复制操作管理应当符合下列要求:
1、严格限制从互联网向涉密信息系统复制数据,确需复制的应当严格按照国家有关保密标准执行;
2、将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
3、不得使用移动存储设备从涉密计算机向非涉密计算机复制数据,确需复制的,应当采取严格的保密措施,防止泄密;
4、复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
(十)人员安全管理
要认真组织信息安全和保密基本技能培训,开展信息安全和保密形势分析、典型案例分析和警示教育,并做到经常化、制度化。要把信息安全和保密教育作为工作人员上岗、干部培训、业务学习的重要内容,提高安全和保密意识,使主动做好信息安全和保密工作成为每个人员的自觉行动,把信息安全防护基本技能作为应知应会内容纳入考核范围。计算机使用人员离岗离职,要及时取消其计算机信息系统访问授权,收回计算机和介质等相关物品。
对外来人员进行安全管理,凡外来人员未经许可、未填写出入记录的一律不得进入中心机房,为控制外来人员通过机关大楼内任意网线网络访问业务系统信息资源,机关大楼内部应采取地址绑定、分配IP地址的做法确保安全。
(十一)安全检查
定期组织人员对全局网站等信息网络进行安全检查,及时发现安全问题,做好预防工作。
(2012-2-15修改)