快捷查询
中山市公共信用信息管理平台数据安全保护和应对制度
2020年11月
第一条 中山市社会信用体系建设统筹协调小组办公室(以下简称“市信用办”)通过招投标的形式确定专门的团队作为运维小组,负责中山市公共信用信息管理系统(以下简称“公共信用信息管理系统”)的运行维护。其中,运维小组负责人由市信用办指定专人担任,全面负责公共信用信息管理系统维护的各项工作。
第二条 运维小组的主要职责:
一、根据国家有关文件的总体要求,在上级有关部门的领导下,指导公共信用信息管理系统的制定、建设、管理、等级保护和安全保密工作。
二、根据国家有关计算机安全的有关法规,审定公共信用信息管理系统安全的规章制度和管理规范,经批准后组织实施。
三、协调在公共信用信息管理系统安全工作中的有关问题;组织审定公共信用信息管理系统安全重大突发事件应急预案。
四、完成上级交办的有关事项。
第三条 公共信用信息管理系统的运行单位,承担对系统的信息安全保护责任,具体实施信息系统的信息安全等保建设和整改工作,落实和执行等保管理制度以及信息系统的等保运维管理工作。
第五条定期组织市信用办的全体工作人员进行应急预案演练,且一年至少安排一次演练,对应急预案定期进行审查。
第一条 本规定所称公共信用信息管理系统运维岗位与人员是指与公共信用信息管理系统直接相关的系统管理员、网络管理员、系统开发员、业务管理员、网站信息安全员等重要岗位人员。
第二条 公共信用信息管理系统岗位负责人员应当政治过硬、业务素质高、遵纪守法、恪尽职守、保守秘密。
第三条 违反国家法律、法规和行业规章的人员,不得从事信息系统重要岗位工作。
第四条 公共信用信息管理系统岗位负责人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理员、网络管理员、系统开发员、系统维护员不得兼任业务管理员。
第五条 公共信用信息管理系统岗位负责人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及保密信息的岗位人员调离单位,必须进行离岗审计。
第六条 公共信用信息管理系统岗位负责人员离岗后,必须立即更换相关密码或注销相关账号。
第七条 公共信用信息管理系统岗位负责人员应定期进行政治思想教育、职业道德教育和安全保密等教育。
第一条为加强和规范公共信用信息管理系统安全工作,提高两个系统整体安全防护水平,实现信息安全可控、能控、在控,依据国家法律、法规的有关要求,制定本文档。
第二条本文档的目的是为公共信用信息管理系统安全管理提供一个总体的策略性架构文件。安全管理体系的建立是为公共信用信息管理系统的安全管理工作提供参照,以实现公共信用信息管理系统的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。
第三条本办法所称中山市公共信用信息管理系统,主要包括“信用中国(中山)”网和八大业务应用。“信用中国(中山)”网包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含信用资讯、信用信息查询、视频频道、信用助手、全文搜索、信用互动交流。
第四条引用标准及参考文件
本文档的编制参照了以下国家、中心的标准和文件:
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27 号)
(三)《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
(四)《信息安全技术 信息系统安全管理要求》(GB/T 20269—2006)
(五)《信息系统等级保护安全建设技术方案设计要求》(报批稿)
(六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
第五条物理安全策略
(1)公共信用信息管理系统机房必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力;
(2)公共信用信息管理系统机房的位置不能是大楼的地下室、房间或是大楼的顶层,机房的正上方不能是用水量大的房间;
(3)公共信用信息管理系统机房出入口必须有专人值守,对工作人员进行登记;
(4)进入公共信用信息管理系统机房的工作人员必须由安全管理员或机房管理员全程陪同;
(5)公共信用信息管理系统机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离;
(6)公共信用信息管理系统机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。
第六条网络安全策略
(1)公共信用信息管理系统网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统;
(2)公共信用信息管理系统网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余;
(3)公共信用信息管理系统整体网络不能出现流量瓶颈,保证带宽充足;
(4)公共信用信息管理系统网络边界处必须部署防火墙、IPS等安全设备;
(5)公共信用信息管理系统网络设备必须开启日志审计功能。
第七条主机安全策略
(1)公共信用信息管理系统登录操作系统和数据库系统的用户必须进行身份标识和鉴别;
(2)公共信用信息管理系统的操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求并定期更换;
(3)公共信用信息管理系统的操作系统和数据库系统必须启用登录失败处理功能;
(4)对公共信用信息管理系统服务器进行远程管理时,必须采取必要措施,防止鉴别信息在网络传输过程中被窃听;
(5)为公共信用信息管理系统的操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,不能出重名情况;
(6)公共信用信息管理系统的主机必须开启日志审计功能;
(7)公共信用信息管理系统的主机必须安装防恶意代码产品,并进行统一管理。
第八条应用安全策略
(1)公共信用信息管理系统的应用系统必须在登录时要求输入用户名和口令;
(2)公共信用信息管理系统的登录应用系统必须进行两种或两种以上的复合身份验证(如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式);
(3)公共信用信息管理系统的应用系统中设置的用户都必须是唯一用户,不能名称相同,且不能出现多人使用同一账户的情况;
(4)公共信用信息管理系统的应用系统必须开启登录失败处理功能;
(5)公共信用信息管理系统的应用系统必须开启登录连接超时自动退出等措施;
(6)公共信用信息管理系统的应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数;
(7)公共信用信息管理系统的应用系统必须开启日志审计功能;
(8)公共信用信息管理系统的应用系统存储用户信息的设备在销毁、修理或转其他用途时,必须清楚内部存储的信息;
第九条数据安全策略
(1)公共信用信息管理系统的业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复;
(2)公共信用信息管理系统的数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性;
(3)公共信用信息管理系统的数据本机备份时应检测其完整性;
(4)公共信用信息管理系统的数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储;
(5)公共信用信息管理系统的数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。
第一条 日常管理
一、公共信用信息管理系统的系统管理员对用户在应用系统运行中产生问题进行登记、汇总并编号,及时做出答复和处理。
二、公共信用信息管理系统的系统管理员对常见问题进行归纳总结,及时公布其解决方法,必要时可举办专题培训。
第二条 异常管理
一、操作失败或系统异常发生时,公共信用信息管理系统的系统管理员应辨别其对系统的影响,确定受影响的数据范围。如果需要进行系统变更,按照变更的有关管理规定进行。如果需要进行数据恢复,应配合数据库管理员制定详细的数据恢复计划,做出书面报告,经相关部门负责人批准后按照相关数据备份与恢复管理制度执行。
二、操作失败或系统异常发生后,公共信用信息管理系统的系统管理员应分析其原因,提出改进的措施,相关部门负责人签字确认后,系统管理员执行改进措施以避免同类情况再次发生。改进的措施如涉及系统变更,按照变更的有关管理规定进行。
第三条 权限管理
一、公共信用信息管理系统的系统管理员在系统中为每个用户设立一个账户,其权限按照业务部门负责人批准的用户权限设定。应用系统的所有账户应按照相关口令设置策略的要求设置和更新密码。
二、用户的权限需要改变时,业务部门对新的权限表格签字确认之后,公共信用信息管理系统的系统管理员按照要求调整用户在系统中的操作权限,并在日志中详细记录有关情况。
三、用户离职时,业务部门应及时通知公共信用信息管理系统的系统管理员,删除此用户在系统中的帐户或删除此账户的所有权限,并在日志中记录有关情况。
四、公共信用信息管理系统的系统管理员使用系统中的特权帐户进行管理工作后,应在日志中记录有关情况。
第四条 公共信用信息管理系统的服务器的操作系统中没有未授权的登录帐号,确需保留的系统帐号应有明确的管理人员。操作系统中账户应按照相关口令设置策略的要求设置和更新密码。
第五条 公共信用信息管理系统的操作系统管理员使用系统中的特权帐户进行管理工作后,应在日志中记录有关情况。
第六条 公共信用信息管理系统的操作系统管理员更改服务器操作系统的设定或参数时,必须提出书面申请并经负责人签字确认,其执行情况应在日志中记录。
第七条公共信用信息管理系统的数据库中的所有账号应按照相关口令设置策略的要求设置和更新密码。
第八条 公共信用信息管理系统的数据库管理权的使用,须经过管理负责人的批准。数据库管理员使用特权帐户进行管理工作后,应在日志中记录有关情况。
第九条公共信用信息管理系统的数据库管理员需更改数据库的设定或参数时,必须提出书面申请并管理负责人签字确认,其执行情况应在日志中记录。
第十条 公共信用信息管理系统的数据库管理员每季度对数据库日志进行分析,检查是否存在未经授权的对数据库直接访问,记录检查结果,并及时报告相关部门负责人。
第十一条 公共信用信息管理系统的数据库备份管理的内容参见相关数据备份与恢复管理制度。
第十二条 运维小组对安全漏洞检测工作进行技术指导和监督检查。
第十三条 公共信用信息管理系统的系统维护部门对漏洞检测具体管理工作负责。
第十四条 公共信用信息管理系统的系统管理人员对责任范围内的具体工作负责。
第十五条 对公共信用信息管理系统进行安全漏洞检测前,必须充分分析安全漏洞的影响等级、存在风险以及对业务应用的影响,并有相应的应对措施和回归策略,形成安全漏洞检测方案。
第十六条 安全漏洞检测工作应当选择在非上班时间或者非繁忙服务时间实施,尽量避免对业务的影响。
第十七条 等级保护三级系统每半年至少进行一次全面的安全漏洞检测。
第十八条 在安全漏洞检测执行前,公共信用信息管理系统的系统管理员必须与检测人员沟通,做好系统备份,做好应急准备。发现问题及时汇报及时处理,构成事故的依照事故处理标准和流程上报,触发应急响应条件的,启动紧急预案。
第十九条 安全漏洞检测(扫描)工具在扫描前,必须更新为最新版本和最新检测规则集(和最新特征定义库),使得系统能够得到全面的检测。
第二十条 开展检测工作应当做好情况记录,检测工作完成后必须输出详细漏洞报告和整改建议。
第一条 应急预案编制原则
1、以人为本,安全第一
把保障员工的生命安全和身体健康、最大程度地预防和减少事故造成的人员伤亡和财产损失作为首要任务。切实加强应急救援人员的安全防护。
2、预防为主,强化基础,快速反应
坚持预防与应急相结合、常态与非常态相结合,常抓不懈,在不断提高安全风险辨识、防范水平的同时,加强现场应急基础工作,做好常态下的风险评估、物资储备、队伍建设、完善装备、预案演练等工作。强化一线人员的紧急处置和逃生的能力,“早发现、早报告、迅捷处置”。居安思危,预防为主。
3、科学实用
应急预案应具有针对性、实用性和可操作性。通过危险源辨识、风险评估进行编制;应急对策简练实用,通过演练不断完善改进。依法规范,加强管理。
4、分级响应
应急和应急管理工作实行统一领导,分级负责。应急工作按照事故的危害程度、波及和影响范围,实施分级应急响应的应急管理体制。
第二条 预案内容要求
预案内容应包括应急小组成员配置及分工、应急装备配备、应急预案及应急响应程序等必要内容。
根据年度应急演练计划,每年至少安排一次应急预案演练,强化职工应急意识,提高应急队伍的反应速度和实战能力。
1、演练内容包括演练前的准备,演练现场组织指挥,应急预案的实施和演练结果的记录。
2、演练时根据现有条件,采用活人或假体作为事故受害对象进行抢险、抢救、现场保护等工作。
3、根据演练结果,评审应急预案的实施效果、充分性和有效性,能否达到预期的应急救援目标,针对预案存在的缺陷由总务部负责修订、完善。
4、应急预案经评审发布后,应当报上级安全生产监督管理部门备案,并通知应急协作单位,签订应急救援协议。
根据事故发生类别,结合应急预案,每年演练前,每年至少组织进行一次职工应急预案的培训,培训内容应当包括:事故预防、危险辨识、事故报告、应急响应、各类事故处置方案、基本救护常识、避灾避险、逃生自救等。
根据应急预案做好应急救援设备、器材、防护用品、工具、材料、药品等保障工作。确保物资供应,切实加强应急保障能力,并对应急救援设备、设施要定期进行检测、维护、更新,确保性能完好。
事故发生后,立即启动应急预案,以营救遇险人员为重点,开展应急救援工作;要采取必要措施,防止发生次生、衍生事故,避免造成更大的人员伤亡。
第三条 公共信用信息管理系统的数据安全管理的目的,是为了防止信息系统数据的丢失、泄露与被破坏以及非法生成、变更,确保数据的完整性、可用性、保密性。
第四条 公共信用信息管理系统的数据从采集、传输、处理、存储、发布、提供等各环节进行严格控制和管理,确保数据的安全。
第五条 公共信用信息管理系统的数据安全管理的数据包括:所有利用计算机和计算机网络进行输入、存储、传输、处理、再加工和输出的数据。包括:文字材料、数据报表、各类原始凭证、图形图像等输入处理对象,计算机内部存储和网络传输的各类数据,计算机输出的磁存储、光存储及各类纸介质打印数据。其数据安全管理的范围包括数据输入、数据存储、数据传输、数据检查以及数据库管理。
第六条数据完整性是指公共信用信息管理系统在数据的采集、传输、处理、存储、提供等过程中通过各种技术手段和完善的规章制度,使数据不丢失、不被破坏,未经授权不被修改,保证数据的内容完整、正确。
第七条 数据内容的完整性,包括单个数据和系列数据的完整性,可以通过信息校验码和系列号技术手段和相应的制度得到保证。
第八条 为了保证数据的可用性,必须对数据的操作者和使用者进行职责授权和使用授权确认;必须对采集数据的合法性、输入数据的有效性及业务处理的正确性进行全面确认;必须采用各种有效的技术手段与岗位职责、行政和法律手段相结合的方法,确保采集、存储、传输、处理、加工和输出的数据正确可用。
第九条对公共信用信息管理系统的中的所有数据都应根据其重要性和应用需求,决定操作人员的存取权限和存取方式,采取相应的保密措施和管理办法,确定内部信息交流和对外信息发布的信息范围和报批手续。
第十条 公共信用信息管理系统的操作系统及数据库管理系统的系统管理员应由政治可靠、工作责任心强和业务技术水平高的人员担任,负责对系统的维护管理。
第十一条 公共信用信息管理系统应建立对资源访问的审计跟踪系统,审计记录:身份及验证机制的使用,用户对系统资源的访问,操作系统、数据库管理系统及网络系统安全管理员的行为,以及与数据安全相关的事件。审计记录的访问只能是被授权的用户只读访问,任何人不得修改。
第十二条 公共信用信息管理系统应建立可信恢复系统,使系统出现异常情况或发生故障时,在不停止运行或短暂停止运行情况下可信地恢复到正常状态,保障系统的数据不丢失、不被破坏。
第十三条所有数据存储设备必须安放在安全、可靠的地点,未经许可,不得擅自删除存储介质或存储设备中的任何数据。
第十四条所有已存数据的删除、复制、转移、更改等操作必须经过相关部门的同意方可进行。
第十五条 公共信用信息管理系统的数据库安全管理应指定专人负责对数据库的管理,数据库管理人员应明确管理职责,定时对数据库进行检查,检查情况应记入运行日志。
第十六条 公共信用信息管理系统的数据库管理人员应视工作量情况,以不影响工作为原则,每1~5天进行一次数据备份。不得因数据备份不及时、不完整造成工作损失。
第十七条 公共信用信息管理系统的数据库管理人员发现数据库不安全隐患或病毒威胁时,应采取措施加以预防或制止,必要时可以切断用户接入并向有关上级报告,安全隐患或病毒威胁消除后,应及时切断用户接入。
第十八条 公共信用信息管理系统的使用人员应自觉接受数据库管理人员的监督,未经许可,不得擅自下载、安装、使用与工作无关的程序、软件。
第十九条 公共信用信息管理系统的数据库中的过期、冗余数据定期进行一次清理,清理中发现需要删除的数据,应书面报相关业务部门,经核对批准后方能进行。未经正式批准,不得擅自删除数据。
第一条公共信用信息管理系统的个人数据隐私保护的目的,是为了防止信息系统个人数据的非法采集、非法使用个人信息。
第二条 公共信用信息管理系统的个人数据从采集、传输、处理、存储、公示、提供等各环节进行严格控制和管理,确保数据隐私和安全。
第三条 个人数据采集应只采集业务所必须必要的信息,对于非业务必须的信息不采集。
第四条采集和保存个人信息时,应通过正式渠道获取用户同意、授权。
第五条鉴于个人数据存在敏感信息,在网络传输过程和数据存储时应对相关敏感信息进行加密处理,以保障数据隐私不泄露。
第六条鉴于个人数据存在敏感信息,在数据存储时应对相关敏感信息进行加密处理,以保障数据隐私不泄露。
第七条所有个人数据存储设备必须安放在安全、可靠的地点,未经许可,不得擅自删除存储介质或存储设备中的任何数据。
第八条 信息收集后,不可随意进行社会公开,对存在敏感的数据因进行脱敏处理。
第九条 不得随意将用户信息提交第三方处理,未脱敏的情况用于其他业务用途。
第十条 严格控制个人信息查询及导出。不允许对个人数据进行非法买卖、泄露个人敏感信息。
关于本站 | 网站地图 | 帮助说明 | 技术支持 | 隐私保护 | 版权声明
