1、 -1- 镇江市公共信用信息基础数据库 安全保障 规定 (试行) 第一章 总则 第一条 为 加强 镇江市公共信用信息基础数据库 安全管理 ,特制定本 规定 。 第二条 本 规定明确 了 镇江市公共信用信息基础数据库 安全保障 规定 的基本原则和要求。 第三条 本 规定 适用于从事 镇江市公共信用信息基础数据库 系统运行维护 机构 和 业务管理人员 。 第二章 保密教育 第 四 条 保密教育的主要内容是中华人民共和国保守国家秘密法及其配套法规 ;江苏省和镇江市为贯彻执行保密法而颁发的地方 法规;党中央、国务院、地 方政府有关保密 工作的重要会议精神 ;保密形势及保密技术防范措施;保密管理制度,保
2、密知识等。 第 五 条 保密教育的具体要求 : 对 从事 镇江市公共信用信息基础数据库 运行维护 机构 和 业务管理 的 人员进行 保密法规、保密知识 、信息安全 教育。 市信用办 每半年组织一-2- 次 保密教育 。保密教育应有文字记录备查,并保证 每人每年度不少于 8 学时。 第三章 安全保密 人员管理 第 六 条 安全保密岗位 。 根据 需要,对 镇江市公共信用信息基础数据库 的 系统运行和维护设立系统管理员、安全保密管理员。 第七 条 数据 保密承诺 。通过 市信用办 审批确定的 系统管 理员、安全保密管理员 ,必须签订 信息 保密 承诺书 。 第 八 条 离岗 管理 。 系统管理员、
3、安全保 密管理员 辞职、解聘、调动、退休等原因不再从事 该 工作的,应在离岗前及时清退保管使用的 数据 载体、设备等 。 第四章 安全保密 部位管理 第九条 安全 保密 部位的确定 。 集中存放、保管 镇江市 公共 信用 信息 载体的专门场所, 确定为 系统安全保密 部位。 第十条 保密 部位的防护措施 。 保密 部位 须安装防盗报警装置、视频监控系统和 IC 卡电子门控系统。 第五章 设备与介质 管理 第十一条 采购管理 。 严 禁采购和使用 未经国家相关-3- 主管部门授权测评机构检测的安全保密产品。 选用国外的非安全保密产品时 ,应 进行安全保密检测。 第十二条 设备携带外出管理。 对于
4、需要携带外出的介质,应进行必要的信息消除处理, 并进行资料备案, 保证介质上只存有与本次外出相关的资料 。 第六章 系统互联管理 第十三条 安全互联控制 。严禁直接或间接连接国际互联网和其他公共信息网络 。 第七章 软件 安全 管理 第十四条 软件管理的范围 。 软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护管理。 第十五条 软件的采购、安装和测试 。 镇江市公共信用信息基础数据库 系统 所使用的操作系统、应用软件、数据库、安全软件、工具软件必须是正式版本,严 禁使用测试版软件。 第十六条 软件的登记和保管 。 软件安装 或 更新 后,原件 (
5、盘 )应进行登记造册, 归档并由专人保管 。 第十七条 软件的使用和维护 (一) 系统管理员和安全保密管理员 共同 负责维护操作-4- 系统、数据库 及安全管理软件, 并 对系统运行情况进行记录。 (二) 定期对操作系统、数据库及其它相关软件进行审核审计,分析与安全有关的事件, 修复 安全漏洞。 (三) 软件更新后,须重新审查系统安全 状态,必要时对安全策略进行调整。 第八章 技术文档管理 第十 八 条 技术文档应根据其内容来确定保密要求 。借阅、复制技术文档要履行相应的手续 。 第九章 应急响应 处理 第十 九 条 当遇到紧急事件时 ,应按照相关规定进行紧急事件处理。应急计划应经过 市信用办
6、 审批,由专人管理,定期组织演习,并针对演习结果进行评估与改进。 第十章 风险评估 第 二 十条 为保证 镇江市公共信用信息基础数据库 系统的长期安全运行,每 年 应根据系统综合日志由 运维 部门组织 对系统进行风险评估。 第十一章 信息交换管理 第 二 十 一 条 镇江市公共信用信息基础数据库 系统在-5- 进行信息交换时,应遵从以下原则: (一) 从 互联网、公共信息网络等系统导入信息到 镇江市公共信用信息基础数据库 系统时,需登记并注明信息的名称、来源、用途等。 (二) 镇江市公共信用信息基础数据库 系统中的信息需要对外输出时,一般应 输出纸介质文件 ,并记录打印台帐 。确因工 作需要使
7、用电子文档输出时,需登记并注明输出信息的名称、类别、用途等 。 第十二章 病毒 和漏洞 防护 第 二 十 二 条 病毒和漏洞防护职责 (一) 安全保密管理员负责防病毒体系的部 署规划,逐步完善病毒防护措施,并对所有的防病毒产品进行有效管理,及时更新病毒库和恶意代码样本库。 (二) 系统管理员应对系统所使用的操作系统、应用软件、数据库、工具软件、安全软件等进行 全面 检查,确保其安全性。 第 二 十 三 条 病毒和漏洞防护措施 (一) 在发现计算机病毒疫情时,管理人员应及时采取有效的措施,对不能解决的情况,要作为安全事件及时向领导报告,对染毒次数,杀毒次数,杀毒结果进行详细说明。 (二) 应定期
8、对计算机操作系统、数据库及 其它重要的-6- 软件进行稽查审计 ,分析可能与计算机病毒相 关的事件,以采取技术措施切 断计算机病毒传播的途径 。 (三) 定期对系统进行漏洞扫描和病毒检测工作,并填写漏洞扫描 报告、漏洞扫描记录 以及相关的计算机病毒检测和清除记录。 (四) 根据系统审查和系统安全扫描的状况,及时 调整所采取的计算机病毒防治技术措施 。 第十三章 数据备份与恢复 第 二 十 四 条 数据备份方法 (一) 文件数据的备份:包括对服务器上的数据文件、日志文件备份以及用户端文件的备份(用户自己对重要数据文件进行本地备份)。 (二) 数据库的备份:对于数据量较大、实时使用的数据库,使用专
9、用的数据库备份工具备份。 (三) 系统的备份与恢复: 通过专用软件和技术,实现系统的快速恢复,避免重新安装系统的复杂过程。 第 二 十 五 条 数据备份周期 (一) 对于非常重要的数据,随时修改,随时备份。 (二) 对于周期性变化的数据,可在一个变化周期结束后进行备份。 (三) 对于应用软件程序源代码,在每次修改时,要对-7- 修改前的数据做好备份,并在本次修改完成后,再次做好备份。 (四) 对于系统运行参数,应在系统正式投入运行后,对参数进行记录或备份,并在每次系统修改后再次记录或备份。 第 二 十 六 条 数据库恢复 (一) 关键业务数据库备份措施必须经过测试以验证备份正确、可用, 且应有
10、测试相关记录,记录中应包含测试时间、测试人员、测试对象、测试过程、测试结果等相关信息。 (二) 关键业务数据库备份介质应在其他建筑物内有一份独立的副本,防止在异常事故发生时被同时破坏。数据库备份环境应保证备份数据安全,数据库系统与备份环境间具有快捷安全的传输通道。 (三) 对重要系统的数据库服务器等进行备份,并对关键数据库服务器采用热备份等。 (四) 恢复方案应保证在出现灾难性崩溃的时候,应在12 小时内恢复数据库的使用,数据损失不超过 24 小时,关键数据损失不超过 12 小时,如果应用系统对数据有特殊的要求,应根 据应用系统的要求制定特殊的数据库备份恢复计划,以确保数据库中数据的安全。 (
11、五) 数据必须 根据备份周期 进行备份,并由专人检查备份情况,确保备份成功。对配置信息更改后,需立即对配-8- 置信息进行备份。 第十 四 章 终端安全管理 第 二 十 七 条 终端准入管理 系统内使 用的所有计算机 须通过 市信用办 登记备案 ,严禁将没有备案 的设备私自接入信息系统。 第 二 十 八 条 终端使用管理 系统终端用户应设置屏幕保护,空闲时间要小于 10 分钟,并在恢复时要求密码保护。 第 二 十 九 条 口令管理 。 口令设置应满足: (一) 口令长度不少于八位。 (二) 采用组成复杂、不易 破解 的口令,应由大小写英文字母、数字和特殊字符中两者以上的组合。 第十 五 章 附则 第 三 十条 镇江市公共信用信息基础数据库 及服务平台的维护和服务机构必须与市信用办签订保密协议,确定业务管理人员名单和身份,并与 业务管理人员 签订信息保密承诺书,信息保密承诺书报市信用办备案。 第 三 十 一 条 本 规定 由镇江市 信用办 负责解释。 第三十 二 条 本 规定 自 2014 年 1 月 1 日起实施。
