江西工商机关信息系统安全管理办法.doc

江西省工商机关信息系统安全管理办法第一章 总则第一条 根据中华人民共和国计算机信息系统安全保护条例、计算机信息网络国际联网安全保护管理办法及工信部、公安部的有关规定，为了更好地规范和管理我省工商信息系统、计算机、网络设备和电子信息，保障运行安全，特制定江西省工商机关信息系统安全管理办法（以下简称办法）。第二条 本办法适用于全省各级工商机关（含基层工商分局）使用的非涉密信息系统、网络、计算机及附属设备的管理，适用于使用信息系统对电子数据采集、存储、处理、传递、输出的管理。各级工商机关涉密计算机的运行管理，依照国家有关规定执行。各级工商机关非涉密用计算机必须与涉密网络物理隔离，并不得存有涉密文件、敏感信息。第三条 各级工商机关信息系统安全保护工作遵循“谁主管谁负责、谁使用谁负责”和预防为主、综合治理、人员防范与技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理科学化、规范化。第四条 任何组织或个人，不得利用信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害信息系统的安全。第五条 各级工商机关工作人员和工商信息系统研发人员不得私自删改、复制、泄露信息系统的有关程序、数据、文档和密码;不得私自利用单位的名义、设备或工商行政管理数据对外提供有偿服务；不得擅自对外提供工商数据给任何单位和个人；不得制造、传播、复制病毒和病毒程序。第二章 安全组织管理第七条 信息系统的安全管理实行领导负责制，省局、设区市局、县（区）局应成立信息系统安全领导小组，各级工商机关主要领导为第一责任人，分管领导为分管责任人，信息中心主要负责人或相关人员为信息安全管理员。由使用信息系统的单位、内设机构主要负责人负责本单位、机构的信息系统的安全工作，并指定有关机构或人员具体承办。基层工商分局局长为该分局信息安全第一责任人，并指定一名信息安全管理员具体负责。第八条 信息系统安全领导小组的主要职责：1、全面负责本单位信息系统的安全管理、教育培训、监督检查和指导信息系统安全方面的工作；2、负责制定具体的信息安全及系统运维管理制度，检查规章制度的落实情况。包括机房安全管理，机房设备，数据管理，系统管理，用户管理等制度；3、面向系统内用户和所属单位通报信息安全事故情况，提供信息安全事故处置的技术服务；4、负责与公安等部门的沟通联系，协助公安部门查处信息安全事故；5、防止和打击窃取、泄露、私自修改计算机信息、破坏干扰信息系统和网络正常运行的行为。第九条 信息安全管理员的主要职责：1、负责信息系统安全管理的日常工作；2、组织开展网络与信息安全知识的培训和宣传工作；3、监控信息系统安全总体状况，包括运行维护管理、用户管理等各项工作的安全监督及审计，发布辖区所属工商机关信息安全通报及安全预警，提出安全分析报告；4、了解行业动态，为改进和完善信息系统安全管理工作，提出安全防范建议；5、组织解决信息系统安全突发事件，及时向信息系统安全领导小组和有关部门报告网络与信息安全事件。第三章 机房及物理环境管理第十条 机房设备与环境:1、各设区市工商局计算机机房应当按照有关国家标准配置防火、防水、防震和防盗报警设施；2、计算机设备必须有可靠接地，接地电阻不应大于相应设备的技术要求，应安装防雷电、防静电设施；3、对不能停机的计算机设备，应当采用双回路供电，或配置发电机、长时间(不间断电源）等设施。第十一条 机房日常管理：1、未经许可，机房内严禁非计算机机房工作人员进入；2、对与计算机有关的电源接口、通信接口等设备要进行经常性检查维护；3、计算机设备和机房应定期除尘，保持机房整洁卫生，保持其所必须的湿度；4、机房内严禁存放、食用任何食品及存放与机房设备无关的杂物；5、机房内废弃的打印纸及介质等，应按国家有关规定及时销毁；6、长假期间，如工作需要，应留有值班人员。 第十二条 机房消防安全管理。机房消防安全应纳入本机关消防安全管理范畴，并做到：1、计算机机房应列为机关要害和重点防火部位，按照规定配备足够数量的消防器材，机房工作人员要熟悉机房消防器材的存放位置及使用方法，并定期检查更换；2、严禁在防火通道内堆放杂物，确保设备及工作人员的安全；3、机房及其附近严禁吸咽、焚烧任何物品；4、严禁携带易燃易爆品进入机房；5、机房用电量严禁超负荷运行；6、定期对机房供电线路及照明器具进行检查，防止因线路老化短路造成火灾。第四章 运行安全管理第十三条 计算机使用管理。计算机使用人员应遵守计算机信息系统的法律法规，自觉培养良好的职业道德。1、不得安装、运行、使用与工作无关的软件；2、不得擅自使用外来移动存储介质。必须使用时，经检测后，方可使用； 3、未经许可，非本系统人员不得使用网内计算机，否则造成的一切后果由当事人承担；4、内网计算机不得擅自上外网；5、新计算机进入网络系统必须实行全面安全检测方可接入；6、计算机使用人员应当在指定的计算机上工作，不得利用工作时间从事其它与工作无关的事；7、计算机使用人员离开工作机时，必须退出所使用的应用系统。确定不再用机时，必须关机。第十四条 计算机病毒防治管理:1、严禁任何单位或个人制造、传播计算机病毒和其他有害数据;2、服务器、个人电脑均要保持杀毒软件的最新版本，并及时更新杀毒软件;3、对计算机信息系统应定期进行计算机病毒检查，并积极采取预防计算机病毒的相关措施，防止计算机病毒对系统和数据的破坏。用介质交换信息要进行病毒检测、查杀; 4、新建或改造网络系统，在设计中应考虑安全技术措施，采用较成熟的安全技术和防治病毒的技术产品。第十五条 密码管理:1、网络设备、安全设备、服务器、计算机及各应用系统等必须设定密码，密码须为8位以上，由英文字母和阿拉伯数字组成，不得使用过于简单的密码;2、运维人员、用户等各岗位人员应保管各自的系统密码，防止越权操作;3、不得将账号、密码写在不安全的地方或转给他人。第五章 信息资源安全管理第十六条 严格遵守保密制度，保证工商数据、信息、资料的准确、安全可靠。第十七条 程序与数据备份管理: 1、计算机有用数据和程序要及时备份，妥善保管，备份介质应明确标注时间及内容，在发生系统崩溃或数据丢失时能及时还原并恢复系统功能或数据;2、 数据备份的主要内容为：各类信息系统数据库、服务器操作系统的日志文档;各类信息系统及网站数据;网络设备日志等。各级工商机关安装的应用系统（如：各设区市局安装的12315申述举报系统、绩效考核系统等）和操作系统以及数据库，要定期将以上信息存储于移动存储介质、备份服务器等，数据备份档案统一保存，未经本级领导批准不得外借； 3、程序、数据、日志等备份至少保存 90 天；4、 系统管理员在使用数据或系统还原功能时，应向信息安全员报告。严重故障应及时向主管、分管领导报告。第十八条 提供批量数据服务，各级工商机关遵循“谁主管谁负责”的原则。1、各级工商机关数据库及批量数据，未经局领导批准，任何人不得擅自提供、泄露；2、各级工商机关由于工作原因，需要使用批量数据的，由本机关批量数据使用部门主要负责人签署意见，呈局领导批准后，送本级信息中心办理；3、各级工商机关由于外单位工作需要使用工商批量数据的，应当由使用数据的外单位提出书面申请并附相关材料，局办公室受理报经局领导批准后，由本级信息中心进行办理；4、提供批量数据的各级工商机关必须做好提供内容、提供方式、提供时间、审批人、使用单位及用途等相关登记工作，并保留相关审批文件。第十九条 机房及使用计算机的单位、内设机构要设专人负责文字及介质资料的安全管理工作。第二十条 每个单位、内设机构要建立资料管理登记簿，详细记录资料的分类、名称、用途、借阅情况等，便于查找和使用。第二十一条 技术资料应集中统一保管，严格借阅制度。存放应用系统及重要信息的介质严禁外借。第二十二条 重要数据的打印输出及外存介质应放在安全的地方，打印出的废纸要及时销毁，外存的数据要加密处理，损坏的外存介质要及时粉碎报废。第6章 运维人员管理 第二十三条 各级工商机关网络管理员、操作系统管理员、应用系统管理员、机房管理员等重要岗位，应选派责任心强，工作认真负责的在编人员担任。管理员调离时，必须移交全部技术资料和有关文档、密码等。第二十四条 各级工商机关的各应用系统的管理员，须逐级报送备案。承担全省大集中部署的应用系统的管理员，须报省局信息中心备案，如有人员变动，须在5个工作日内报省局信息中心。第二十五条 操作系统管理员的主要职责：1、全面了解、随时掌握本单位计算机运行情况并定期报告，及时向信息安全管理人员报告安全事件；2、负责操作系统软件的安装、调试及管理工作；3、负责对操作系统进行密码修改、账户增加、参数设置、策略变更、服务变更等操作；4、服务器安装应用软件前对应用软件进行常规安全检查；5、负责程序与数据备份管理，计算机病毒防治管理；6、定期检查系统补丁与升级情况，在测试环境中对补丁程序的有效性和安全性进行测试评估后，对必要补丁进行及时更新。更新前对重要文件进行完全备份。第二十六条 应用系统管理员的主要职责：1、负责相关应用系统安装、部署、调试及日常运行维护，负责相关应用系统程序及数据的备份；2、协助上级管理员处理应用系统运行中出现的问题，保证应用系统安全稳定运行，及时向信息安全管理人员报告安全事件；3、负责应用系统在本局及所辖工商机关的推广、培训及指导；4、负责应用系统中的用户管理及权限分配。严格执行本办法用户管理规定，在应用系统中设定相关人员的权限，并保存权限分配表书式文档；5、严格按照本办法第二十七条的规定，负责提供批量数据服务。第二十七条 网络管理员的主要职责：1、负责本单位网络及相关设备的维护及管理，协助其它部门处理网络运行中出现的问题，保证网络系统正常运行，及时向信息安全管理人员报告安全事件；2、按照省局IP地址整体规划，负责本单位的计算机IP地址分配、VLAN划分，如使用了非省局规划IP地址需报送上一级工商机关信息中心备案；3、对计算机及软件安装情况及其使用人员进行登记备案，计算机IP地址（网络逻辑地址）与MAC地址（硬件地址）绑定，计算机使用人员与IP地址进行对应，定期核查；如有新增、变动、报废，须及时做好相关登记工作；4、熟练利用各种工具及软件，全面了解、随时掌握本单位网络运行状况，对本单位网络流量、上网行为等进行全面的监测、记录，发现异常情况及时上报，对操作网络管理功能的其他人员进行安全监督；5、负责设计、绘制与当前运行情况相符的网络拓扑图，根据网络的改动及时修改拓朴图；6、及时跟进、定期检查网络设备（路由器、交换机等）、线路（业务专网、政务网等）的运行情况，发现问题及时解决；7. 充分利用现有的安全设备设施、软件，负责入侵检测、漏洞扫描等工作，最大限度地防止黑客入侵、攻击；8、随时掌握网络系统配置情况及配置参数变更情况，对配置参数进行备份。随着系统环境的变化、业务发展需要和用户需求，动态调整系统配置参数，优化系统性能。第二十八条 机房管理员的主要职责：1、 按照本规定要求对机房设备与环境建设提出建议，负责机房日常管理、机房消防安全管理等，及时向信息安全管理人员报告安全事件；2、 保证机房内各应用系统得正常运行和数据完整及安全。软盘、优盘、硬盘等存储设备未经许可不得带入机房，不得擅自将数据复制、传送出机房；3、对重要的资料、档案要妥善保管，建立资料管理登记簿，详细记录资料的分类、名称、用途、借阅情况等，便于查找和使用，防止丢失泄露；4、 机房内的服务器及相关设备，应设置安全口令，且定期专人更换，操作人员不得对外泄漏；5、严禁在机房设备上安装、下载和运行与工作无关的软件。对机房内设备的操作和物品的使用要按照正确的方法和程序进行，所有操作必须记录日志，设备和物品使用后应恢复原位，不得随意放置。第七章 用户管理第二十九条 各级工商机关用户，应根据实际业务需要，填写权限分配表，由分管局领导签字后，应用系统管理员方可在相应的应用系统中进行权限分配。现有人员帐号的权限须重新确认，按照以上流程进行分配。第三十条 各应用系统用户应严格遵循本办法计算机使用管理、计算机病毒防治管理及密码管理等有关规定。第三十一条 帐号管理：1、帐号统一编制为9位数字的工号（6位行政区划代码3位顺序号），并要求对应用户真实姓名；2、用户帐号不得转借、转让；3、三个月未登陆使用的帐号，系统将自动加锁，如需启用，由各级系统管理员进行解锁；4、如遇人员调离、退休等情况，人员调离岗位前应做到：锁定其账号；对调离人员重申离岗后承担的安全与保密的责任和义务。第八章 责任追究第三十二条 违反本办法的，按下列方式处理： 1、违反规定、影响轻微的，本单位应当给予当事人批评教育处