首页>网站保障制度

深圳市民政局信息安全管理制度(2014年修订版)

发布时间:2016-09-25 17:27信息来源:字体大小: 打印

  制度一

  信息资产和设备管理制度

  第一条 本制度适用于计算机信息资产的管理,计算机信息资产的统计范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人(责任人)、所属部门、物理位置、服务器的内外网IP对应等。

  第二条 硬件资产的使用:

  1、新增机房硬件设备接入网络按照相关规定处理;

  2、对于无人值守的设备,要明确管理人员,加强物理安全控制。

  3、加强对存储介质领用、交回、维修、报废、销毁 、使用人员、维护等管理,加强存储阵列、磁带库等大容量存储介质的外联情况管理(含远程维护)和安全防护。

  第三条 硬件资产的转移:

  1、当设备迁移时,必须先对设备中存储的重要信息进行备份;

  2、设备迁移完成后,必须检查设备是否损坏;

  3、设备迁移出本单位时,设备中禁止存放重要信息,以防止机密信息泄露或泄露的风险增加。

  第四条 硬件资产的处置和重用:

  1、存储设备销毁前,必须确保所有存储的敏感数据或授权软件已经被移除或安全重写;

  2、服务器、主要网络设备的处置由信息基建办进行安全处置;

  3、台式机、打印机、传真机、扫描仪等IT设备的处置由办公室进行并做登记;

  4、如需报废时,应向主管部门提出报废申请,经批准后报废。

  第五条 软件资产的使用:

  1、所有的软件资产必须由系统管理员管理,明确职责,避免软件资产的丢失,泄密;

  2、所有正版软件实体由系统管理员保管,在安装软件时要规定使用权限,防止非授权访问;

  第六条 电子数据的使用:

  1、对所有电子数据进行分类、分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理;

  2、对于存于服务器上的电子数据的访问,根据服务器提供服务的不同与部门、职务的不同,设置不同的访问权限,避免非授权访问;

  3、对于内部公开级别的电子信息,其使用要控制在内部,禁止带出。

  第七条 严禁采购和使用未获得销售许可证的信息安全产品,避免采用境外的密码设备。

  第八条 应优先采用我国自主开发研制的信息安全技术和设备。

  第九条 如需采用境外信息安全产品时,必须确保产品获得我国权威机构的认证测试和销售许可证。

  第十条 使用经国家密码管理部门批准和认可的国内密码技术及相关产品。

  第十一条 终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。

  第十二条 信息系统中的所有安全设备必须符合中华人民共和国国家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。

  第十三条 设备符合系统选型要求并获得批准后,方可购置安装。

  第十四条 主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测,禁止安装有默认操作系统的主机、服务器直接接入系统。通过测试后,设备进入试运行阶段。通过试运行的设备才能接入生产系统,正式运行。

  第十五条 每台设备的使用均应指定专人负责。一旦关键设备出现故障,机房管理员如实填写故障报告,通知有关人员处理。

  第十六条 对系统进行维修时必须采取数据保护措施,安全设备维修时应有安全管理员在场。

  第十七条 对设备进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。

  第十八条 信息安全产品设备必须单独储存并有相应的保护措施。

  第十九条 本制度由信息基建办负责解释。

  第二十条 本制度自发布之日起执行。

  制度二

  信息审核发布制度

  第一条 为促进我局网络宣传平台信息审核发布工作的规范化,结合本单位实际,制定本制度。

  第二条 本制度适用于通过我局网络宣传平台(包括官方网站、微博、微信等)公开的信息(包括文字、图片、音像信息),在正式发布前必须进行审核。

  第三条 审核发布的信息应具有真实性、准确性、完整性和安全性。

  第四条 审核发布信息应遵循“依法公开,文责自负”和“流程规范,审核严谨”的原则。

  第五条 产生信息的部门为信息的责任部门,对产生信息的准确性、及时性、完整性负责。经过部门负责人初审后的信息须发送到办公室复审。

  第六条 各部门应指定人员担任信息员,并报办公室备案。由信息员发送给办公室的信息视为已获得该部门负责人初审同意。

  第七条 办公室根据信息公开的有关规定,从格式、规范和保密方面对拟发布的信息进行复审后发布。

  第八条 对因审核不严导致信息公开后引发不良影响的,依照有关规定追究相关人员责任。

  第九条 本制度由办公室负责解释。

  第十条 本制度自发布之日起执行。

  制度三

  计算机终端使用及安全管理规定

  第一条 本规定所指的计算机终端类设备包含个人使用的各种台式计算机、笔记本电脑、移动存储介质及其他终端类设备等。

  第二条 计算机终端管理按照“谁使用谁负责”的原则,计算机终端使用人为第一责任人,有责任和义务保证所使用的设备完好,确保设备安全。

  第三条 计算机终端使用人不得在非涉密机上传输和使用涉密资料及信息。

  第四条 计算机终端类设备接入网络必须按照规定安装统一的杀毒软件、桌面安全管理系统等安全管理软件,并不得随意卸载。计算机终端类设备必须安装使用正版软件,不得使用来源不明的软件和介质。

  第五条 计算机终端使用人应定期运行杀毒软件,发现病毒或其他信息安全事件应及时通知安全管理员。及时更新所用计算机的防病毒软件和安装补丁程序,自觉接受安全管理员的安全指导。

  第六条 计算机终端类设备用户必须使用一定强度的口令。在单位计算机终端设备上运行的个人软件,如邮箱、即时通讯工具等禁止使用弱口令。

  第七条 内网计算机及涉密计算机必须安装保密部门认可的违规上互联网监控软件。

  第八条 涉密与非涉密计算机及外设应严格区分,不得相互混用。所有涉密计算机必须设置“涉密计算机”字样及国家秘密等级的标识。

  第九条 涉密计算机必须与国际互联网实行物理隔离,隔离方式和设备必须符合国家保密部门的相关要求。

  第十条 严禁在涉密计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。

  第十一条 严禁在涉密计算机上使用无线网卡、路由器、键盘、鼠标等一切无线互联设备,应当拆除具有无线联网功能的硬件模块。

  第十二条 涉密计算机及存储介质应严格按照专机专用、专人负责,监督管理与技术防范并重的原则实施管理。严禁涉密移动存储介质随意放置,用后应及时存放在保险柜中。

  第十三条 不得擅自处理损坏、报废的涉密计算机或涉密移动存储介质,必须交由局办公室按《广东省国家保密局关于涉密计算机、通信和办公自动化设备定点维修维护管理的规定》交有“定点维修维护证书”的单位处理,或交市涉密载体销毁中心作销毁处理。

  第十四条 凡因违规操作、使用不当、管理不善等人为原因,造成设备损坏的、一律由直接责任人赔偿,并给予通报批评。

  第十五条 本制度由局办公室和信息基建办负责解释。

  第十六条 本制度自发布之日起执行。

  制度四

  信息系统用户管理制度

  第一条 本制度适用于信息系统用户的管理,包括:岗位配置原则、人员录用及调(离)岗、安全培训教育、第三方人员管理。

  第二条 为确保信息安全工作的顺利开展,保障信息系统的正常运行,应设置安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员,并在岗位说明书中明确其工作职责。其中,系统管理员不能兼任安全审计员

  第三条 重要岗位实施角色备份制度,在合理设置工作岗位、完善工作职责的基础上,在相近岗位之间,实行顶岗或互为备岗制,以便能及时处理紧急任务。

  第四条 所有信息系统相关岗位人员应符合所需的专业资格和资质,并要签署保密协议。

  第五条 人员调离时必须更换或归还之前发放的身份证件、钥匙、单位提供的软硬件设备及文档资料等资产,并办理详尽的交接手续。

  第六条 人员调离时必须终止其所有的访问权限,涉及相关信息系统账号、口令时,先采取更换密码或冻结账号的措施,避免直接删除账号。

  第七条 人员调(离)岗时必须签署保密承诺书,承诺在调(离)岗后根据保密承诺书的内容履行相关的保密责任和义务,涉密人员实行脱密期管理制度。

  第八条 根据各个岗位的业务应用、安全意识和保密意识需求,定期组织业务及安全教育培训。

  第九条 为加强与信息安全公司、产品供应商、业界专家、安全组织的沟通与合作或应急响应,应建立详细的外联单位联系表。

  第十条 第三方人员必须签订正式的合同及保密协议,在合同和保密协议中明确其安全责任、必须遵守的安全要求以及违反要求的处罚等条款。

  第十一条 与第三方人员共同协定现场工作规范并按照既定规范实施管理,工作中发现的安全隐患或故障应及时报告本单位安全管理员,并及时响应、处置。

  第十二条 应选择具有公安部门、保密部门、密码管理部门资质认证的第三方公司进行信息安全合作,保障系统安全。

  第十三条 本制度由信息基建办负责解释。

  第十四条 本制度自发布之日起执行。

  附件:1.安全保密责任书(在岗人员)

  2.保密承诺书(离岗人员)

  附件1

  安全保密责任书

  (在岗人员)

  为做好本单位的保密工作,确保单位敏感信息和国家秘密的安全,特制定本保密责任书。

  一、个人信息提供

  本人保证,涉密资格审查时提供的所有个人信息都是真实的,没有任何虚假、伪造或隐瞒。

  二、岗位职责

  (一)积极参加保密教育和培训,完成规定的学时要求(每年累计不得少于16小时),认真学习、掌握并严格执行保密法律、法规、规章和本单位、本部门的保密规定;

  (二)依法确定、使用和管理单位敏感信息、国家秘密及其载体,确保单位敏感信息和国家秘密的绝对安全;

  (三)负责所在涉密场所保密安全防范措施的执行并确保落实;

  (四)严格护照保密工作部门有关手机使用保密管理规定的要求使用和管理手机。

  三、行为规范

  本人保证,不得做出下列行为:

  (一)以任何方式非法向知悉范围以外的人员泄露单位敏感信息和国家秘密;

  (二)违规记录、存储、复制、携带单位敏感信息或国家秘密,违规持有单位敏感信息或国家秘密载体;

  (三)未经单位审查批准,擅自发表涉及未公开工作内容文章、著述;

  (四)擅自移交信息系统敏感资料、或透露信息系统相关敏感信息。

  (五)在本单位以外的其他单位兼职,擅自向境外驻华机构、企业等提供信息咨询服务;

  (六)发生泄密后隐瞒事实或不及时报告;

  (七)参加社会非法组织或活动;

  (八)其他违反保密规定的行为。

  四、报告事项

  遇有下列情形之一的,本人保证主动、及时向本单位保密工作部门或部门责任人报告:

  (一)发生或发现泄密;

  (二)有涉外婚恋行为;

  (三)拟因私出国(境)或到境外定居;

  (四)有直系亲属在国(境)外学习、工作和定居;

  (五)与国(境)外人员非公务交往情况;

  (六)拟辞职脱离本岗位;

  (七)其他可能影响履行保密职责的重大事项。

  五、出境审批

  依照保密规定,本人因私出境须按程序由本单位批准同意。否则,不得擅自出境。

  六、保密监督

  自觉接受保密监督、检查、管理和考核,配合做好相关工作,履行岗位保密职责。

  七、离岗要求

  本人离岗脱密期确定为 。如离岗应签署《保密承诺书》,并保证严格执行脱密期规定及限制。

  八、法律责任

  如果本人未能履行保密义务和职责,违反保密规定,致使本岗位存在重大泄密隐患或发生泄密,本人将按照有关规定将承担相应的党纪、政纪责任;情节严重的,承担相应的刑事责任。

  九、享有权利

  (一)拒绝执行违反保密规定的指示、指令和要求;

  (二)制止违反保密规定的行为;

  (三)举报、控告泄密行为;

  (四)向保密工作部门如实反映本单位保密工作情况;

  (五)对本岗位的保密工作提出建议;

  (六)享受相应的岗位津贴和政治待遇;

  (七)参加保密业务培训和保密组织活动;

  (八)保密法律、法规、规章规定的其他权利。

  (十)其他

  本保密责任书自双方签字之日起生效,至离岗之日止。

  本保密责任书一式三份,单位保密工作机构(组织)、人事部门和责任人各留存一份。

  上述所有条款本人已仔细阅读,明白无误,无任何异议。

  单位代表(签章):

  年 月 日

  保密责任人(签名):

  身份证号码:

  年 月 日

  附件2

  保密承诺书

  (离岗人员)

  我已被告知各项保密制度,知悉应当承担的保密义务和法律责任。本人庄重承诺:

  一、严格遵守国家保密法律、法规和规章制度,履行保密义务;

  二、本人保证,在脱密期间及以后,除非得到合法授权或批准,永不泄露所知悉的单位敏感信息和国家秘密;

  三、本人已履行了工作交接手续,保证没有私自留存任何单位敏感信息或国家秘密及其载体;

  四、未经原单位审查批准,不擅自发表涉及原单位未公开工作内容的文章、著述;

  五、在脱密期间,保证不受聘、受雇于境外及境外驻华机构、组织、企业、人员或为其提供信息咨询服务;不参加非法组织或非法活动以及其他违反保密规定的行为;

  六、在脱密期间,本人因私出境须依照保密规定和程序申报,未经批准不擅自出境;

  七、自愿接受脱密期管理,自 年 月 日至 年 月 日服从有关部门的保密监督;

  八、自愿如实提供联系方式,联系电话,常住地址。如有变动及时告知原单位。

  九、违反上述承诺,自愿承担党纪、政纪和法律后果。

  十、本离岗保密承诺书一式三份,单位保密工作机构(组织)、人事部门和承诺人各留存一份,自签字之日起生效。

  上述所有条款本人已仔细阅读,明白无误,无任何异议。

  承诺人(签名):

  身份证号码 :

  年 月 日

  制度五

  机房安全管理制度

  第一条 本制度适用于本单位机房安全管理,信息基建办指定机房管理员和安全管理员。

  第二条 机房管理员负责机房的日常维护、监控和管理。安全管理员负责审核外部人员进入机房。

  第三条 严禁非机房工作人员进入机房,如因工作需要进入机房,需完整填写《机房出入登记表》,经安全管理员审核,由机房管理员签字确认后带入。

  第四条 进入机房的人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

  第五条 机房管理员应定期要求并监督我局负责消防工作的部门对机房内的消防器材、监控设备进行检查,以确保其有效性。

  第六条 机房管理员应定期要求并监督UPS、空调等关键设备提供商提供巡检、维护等服务,保障设备的有效运行。

  第七条 机房管理员应随时监视设备运行状况,发现异常情况时应立即按照预案规程进行操作,并及时上报和做好详细记录。

  第八条 本制度由局信息基建办负责解释。

  第九条 本制度自发布之日起执行。

  制度六

  网络安全管理制度

  第一条 本制度适用于网络安全管理,网络管理员负责网络安全管理制度执行及监督。

  第二条 网络建设应在信息系统内外网网络边界部署防火墙、上网行为审计系统、IPS/IDS安全设备。

  第三条 内外网因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:刻录光盘)或设备(如:保密部门认可的安全移动存储介质管理系统)。

  第四条 所有在互联网提供服务的应用系统必须使用网页防篡改技术或专用安全设备进行保护,确保应用系统在受到破坏时能自动恢复。

  第五条 所有在互联网提供服务的应用系统必须经过有资质的专业信息安全公司或第三方技术机构的安全测评,确保应用系统的安全性。

  第六条 网络管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图,确保网络拓扑图完整、真实。

  第七条 在未经许可的情况下,任何人不得进入计算机系统更改系统信息和用户数据。

  第八条 任何人不得利用计算机技术侵害用户合法利益,不得制作和传播有害信息。

  第九条 办公网络实名制接入,外部人员接入办公网络必须申请,网络管理员汇总形成《网络实名登记表》经领导批示后实名登记(姓名,单位,事项,周期)方可接入。

  第十条 本制度由局信息基建办负责解释。

  第十一条 本制度自发布之日起执行。

  制度七

  信息系统运行维护管理制度

  第一条 本制度适用于信息系统的运行维护管理,包括:业务系统运维管理、备份和恢复、口令和权限管理、恶意代码防范管理以及系统补丁管理。

  第二条 系统管理员负责系统运行维护管理,安全管理员负责监督、处理安全事件。

  第三条 系统管理员负责对主机系统上开放的网络服务和端口进行检查,发现不需要开放的网络服务和端口时及时通知系统开发人员进行关闭。

  第四条 系统管理员对系统运行情况进行记录,定期对记录结果进行分析、统计,并形成分析报告。

  第五条 在业务系统运行过程中,任何人员发现业务系统出现安全异常应及时报告安全管理员。不同的业务系统应采取不同的保护措施,达到等级保护二级以上标准时应向网监部门提交备案申请并取得备案编号。

  第六条 已在网监部门备案的信息系统要根据等级保护国标和上级主管部门的要求开展测评和整改工作。

  第七条 所有在互联网提供服务的信息系统都必须在公安部门进行备案登记。

  第八条 按照业务数据的重要性,采取不同介质进行备份,如:专业存储阵列、磁带、硬盘、光盘等;备份介质要标注内容、日期、操作员和状态。

  第九条 备份介质(磁带、硬盘和光盘)要按照时间顺序保存。当介质超出有效使用期时,即使还能使用也要强制报废。

  第十条 按照备份策略,对不同业务数据采用不同备份方式,灵活运用完全备份、增量备份和差异备份等方式进行备份,保证信息系统出现故障时,能够满足数据恢复的时间点和速度要求。

  第十一条 系统管理员定期要求系统开发单位对备份数据及存储介质做恢复测试,至少一年一次。安全管理员负责记录工作,形成报告。

  第十二条 口令安全是保护信息安全的重要措施。其规范如下:

  1、保守口令的秘密性,除非有正式批准授权,禁止把口令提供给其他人使用;

  2、不能在任何登录程序中保存口令或启用自动登录,如在宏或功能键中存储口令;

  3、服务器、网络设备及安全设备的口令安全设置,必须遵守系统安全策略中的相关要求。

  第十三条 系统管理员应要求并监督系统开发单位定期更新防病毒软件和病毒特征库。

  第十四条 系统管理员定期要求外包安全服务单位人员对信息系统进行漏洞扫描,并将扫描结果反馈至安全管理员,安全管理员要求系统开发单位人员对发现的信息系统漏洞和风险进行及时的修补。

  第十五条 系统管理员要求系统开发单位定期对服务器操作系统补丁进行更新。

  第十六条 当出现应对高危漏洞的信息系统补丁时,系统管理员和安全管理员应在第一时间组织系统开发单位测试补丁,并对漏洞进行修补。

  第十七条 本制度由信息基建办负责解释。

  第十八条 本制度自发布之日起生效执行。

  制度八

  信息系统安全审计管理制度

  第一条 为加强信息系统安全审计管理,保障信息系统安全稳定运行,现结合本单位实际情况,制定本制度。

  第二条 本制度适用于本单位信息系统安全审计和管理,安全审计员负责本单位信息系统安全审计具体工作的总体规划、监督和管理。

  第三条 各业务应用系统运维单位每月对各自负责的业务应用系统进行定期的运维巡检和安全审计,形成月度运维报告并提交给各系统管理员,同时抄送给安全审计员,各系统管理员负责督促和审核业务应用系统的月度运维报告。

  第四条 业务应用系统月度运维报告安全审计内容至少包括以下几个方面:

  1、服务器安全审计:操作系统运行状态、网络连接状态、磁盘空间状态、系统日志审计情况、病毒库补丁与操作系统补丁更新情况和安全策略配置情况等;

  2、数据库审计:服务启动情况、空间使用情况和运行状况;

  3、数据备份审计:数据库备份情况、应用程序和附件备份情况、备份服务器使用情况、服务器数据备份空间使用情况;

  4、系统安全漏洞整改情况。

  第五条 软硬件平台运维公司每月对本单位网络安全设备进行定期运维巡检和安全审计,形成月度运维报告并提交给网络管理员,同时抄送给安全审计员,网络管理员负责督促和审核网络安全设备的月度运维报告。

  第六条 网络安全设备月度运维报告安全审计内容至少包括以下几个方面:

  1、安全策略审计:对设备口令策略配置、安全审计策略配置、配置文件备份情况进行审计;

  2、安全日志审计:对安全设备日志进行审计,按攻击行为、攻击源IP、攻击目标等进行分析和说明;

  3、安全漏洞整改情况:对网络安全设备在定期的安全检测中发现问题的整改情况进行说明。

  第七条 本制度由信息基建办负责解释。

  第八条 本制度自发布之日起执行。

  制度九

  信息安全责任追究制度

  第一条 为了加强网络安全防范工作,确保网络信息安全防范责任落实到位,制定本制度。

  第二条 网络与信息安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。

  第三条 发生网络与信息安全事故后,应根据安全事件造成的影响及相关责任主体的态度,作出相应处理。责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。

  第四条 对于信息安全事件,信息基建办负责核查相关事件的真实性,将情况向部门领导汇报,经由领导审批后,将视情节轻重追究其责任。

  第五条 安全事件处置流程:事件报告、事件受理、事件处理、事后总结。

  第六条 安全事件处理各环节责任人职责:

  1、信息安全事件报告人:信息安全事件报告;

  2、安全事件管理相关负责人:受理和记录信息安全事件、将安全事件分配到技术人员进行处理、记录归档;

  3、安全事件处理人员:对信息安全事件进行处理;

  4、安全管理员:安全事件的统计分析采取纠正预防措施;

  5、上级部门:协调安全事件的处理。

  第七条 本办法由信息基建办负责解释。

  第八条 本办法自发布之日起施行。

  制度十

  信息系统授权管理制度

  第一条 为规范信息系统授权管理流程,明确管理审批权限,有效控制信息系统管理不明确带来的风险,依据相关法律法规和本单位实际情况,制定本制度。

  第二条 本制度适用于本单位信息系统的服务器设备、IP地址资源、端口服务、系统管理员账号、业务应用系统办公使用账号、防火墙策略等相关资源和权限的新增、修改、删除等操作。

  第三条 各信息系统管理员负责信息系统统一的授权管理和审批。

  第四条 服务器设备、IP地址、端口服务等相关资源和权限的新增、修改、删除等操作,必须由各信息系统管理员提出申请,向安全管理员提交书面的《授权审批申请表》,经安全管理员授权审批通过后,才允许执行。

  第五条 各信息系统管理员应定期核查本系统相关资源和权限的使用情况,发现有人员离岗、离职,应及时对系统资源和权限进行回收。

  第六条 我局电子政务系统用户账号的新增、修改、删除等操作,由各区民政局(新区社会建设局)、各处室、直属单位根据实际需要提出,经区局、处室、直属单位领导批准,信息基建办安全管理员授权审批通过后,再由相应业务应用系统管理员予以执行。

  第七条 严禁未经授权审批对信息系统相关资源和权限进行新增、修改、删除等操作,发生上述情况的,对相关责任人予以警告处理,造成安全事件或事故的,对相关责任人在全局范围内予以通报。

  第八条 本制度由信息基建办负责解释。

  第九条 本制度自发布之日起执行。

分享到