1、1 江西省工商机关信息系统安全管理办法 第一章 总则 第一条 根据中华人民共和国计算机信息系统安全保护条例、 计算机信息网络国际联网安全保护管理办法 及工信部、公安部的有关规定,为了更好地规范和管理我省工商信息系统、计算机、网络设备和电子信息,保障运行安全,特制定江西省工商机关信息系统安全管理办法(以下简称办法)。 第二条 本办法适用于全省各级工商机关(含基层工商分局)使用的非涉密信息系统、网络、计算机及附属设备的管理,适用于使用信息系统对电子数据采集、存储、处理、传递、输出的管理。 各级工商 机关 涉密计算机的运行管理,依照国家有关规定执行。各级 工商机关 非涉密用计算机必须与涉密网络物理隔
2、离,并不得存有涉密文件、敏感信息。 第三条 各级工商机关信息系统安全保护工作遵循“谁主管谁负责、谁使用谁负责”和预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理科学化、规范化。 2 第四条 任何组织或个人,不得利用信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害信息系统的安全。 第五条 各级工商机关工作人员和工商信息系统研发人员不得私自删改、复制、泄 露信息系统的有关程序、数据、文档和密码 ;不得私自利用单位的名义、设备或工商行政管理数据对外提供有偿服务;不得擅自对外提供工商数据给任何单位和个人;不得 制造、 传播、复制病毒
3、和病毒程序。 第二章 安全组织管理 第七条 信息系统的安全管理实行领导负责制,省局、设区市局、县(区)局应成立信息系统安全领导小组,各级 工商机关 主要领导为第一责任人,分管领导为分管责任人,信息中心主要负责人或相关人员为信息安全管理员。由使用信息系统的单位、内设机构主要 负责人 负责本单位、机构的信息系统的安全工作,并指定有关机构或 人员具体承办。 基层工商分局局长为该分局信息安全第一责任人,并指定一名信息安全管理员具体负责。 第八条 信息系统安全领导小组的主要职责: 1、全面负责本单位信息系统的安全管理、教育培训、监督检查和指导信息系统安全方面的工作; 3 2、负责制定具体的信息安全及系统
4、运维管理制度,检查规章制度的落实情况。包括 机房安全管理,机房设备,数据管理,系统管理,用户管理等制度; 3、面向系统内用户和所属单位通报信息安全事故情况,提供信息安全事故处置的技术服务; 4、负责与公安等部门的沟通联系,协助公安部门查处信息安全事故; 5、防止和打击窃 取、泄露、私自修改计算机信息、破坏干扰信息系统和网络正常运行的行为。 第九条 信息安全管理员的主要职责: 1、负责信息系统安全管理的日常工作; 2、组织开展网络与信息安全知识的培训和宣传工作; 3、监控信息系统安全总体状况,包括运行维护管理、用户管理等各项工作的安全监督及审计,发布辖区所属工商机关信息安全通报及安全预警,提出安
5、全分析报告; 4、了解行业动态,为改进和完善信息系统安全管理工作,提出安全防范建议; 5、组织解决信息系统安全突发事件,及时向信息系统安全领导小组和有关部门报告网络与信息安全事件。 第三章 机房及物理环境管理 第十条 机房设备与环境 : 4 1、各设区市工商局计算机机房应当按照有关国家标准配置防火、防水、防震和防盗报警设施; 2、计算机设备必须有可靠接地,接地电阻不应大于相应设备的技术要求,应安装防雷电、防静电设施; 3、对不能停机的计算机设备,应当采用双回路供电,或配置发电机、长时间 (不间断电源)等设施。 第十一条 机房日常管理: 1、未经许可,机房内严禁非计算机机房工作人员进入; 2、对
6、与计算机有关的电源接口、通信接口等设备要进行经常性检查维护; 3、计算机设备和机房应定期除尘, 保持机房整洁卫生,保持其所必须的湿度; 4、机房内严禁存放、食用任何食品及存放与机房设备无关的杂物; 5、机房内废弃的打印纸及介质等,应按国家有关规定及时销毁; 6、长假期间,如工作需要,应留有值班人员。 第十二条 机房消防安全管理。机房消防安全应纳入本机关消防安全管理范畴,并做到: 1、计算机机房应列为机关要害和重点防火部位,按照规定配备足够数量的消防器材,机房工作人员要熟悉机房消防器材的存放位置及使用方法,并定期检查更换; 5 2、严禁在防火通道内堆放杂物,确保设备及工作人员的安全; 3、机房及
7、其附 近严禁吸咽、焚烧任何物品; 4、严禁携带易燃易爆品进入机房; 5、机房用电量严禁超负荷运行; 6、定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。 第四章 运行安全管理 第十三条 计算机使用管理。 计算机 使用人员应遵守计算机信息系统的法律法规,自觉培养良好的职业道德 。 1、不得安装、运行、使用与工作无关的软件; 2、不得擅自使用外来移动存储介质。必须使用时,经检测后,方可使用; 3、未经许可,非本系统人员不得使用网内计算机,否则造成的一切后果由当事人承担; 4、内网计算机不得擅自上外网 ; 5、新计算机进入网络系统必须实行全面安全检测方可接入; 6、计算机使用人员应
8、当在指定的计算机上工作,不得利用工作 时间 从事其它与工作无关的事; 7、计算机使用人员离开工作机时,必须退出所使用的应用系统。确定不再用机时,必须关机。 6 第十四条 计算机病毒防治管理 : 1、严禁任何单位或个人制造、传播计算机病毒和其他有害数据 ; 2、服务器、个人电脑均要保持杀毒软件的最新版本,并及时更新杀毒软件 ; 3、对计算机信息系统应定期进行计算机病毒检查,并积极采取预防计算机病毒的相关措施,防止计算机病毒对系统和数据的破坏。用介质 交换信息要进行病毒检测、查杀 ; 4、新建或改造网络系统,在设计中应考虑安全技术措施,采用较成熟的安全技术和防治病毒的技术产品。 第十五条 密码管理
9、 : 1、网络设备、安全设备、服务器、 计算机及各应用系统等必须设定密码,密码须为 8 位以上,由英文字母和阿拉伯数字组成,不得使用过于简单的密码 ; 2、运维人员、用户等各岗位人员应保管各自的系统密码,防止越权操作 ; 3、不得将账号、密码写在不安全的地方或转给他人。 第五章 信息资源安全管理 第十六条 严格遵守保密制度,保证工商数据、信息、资料的准确、安全可靠。 第十七条 程序与数据备份管理 : 7 1、计算机有用数据和程序要及时备份,妥善保管,备份介质应明确标注时间及内容,在发生系统崩溃或数据丢失时能及时还原并恢复系统功能或数据 ; 2、 数据备份的主要内容为:各类信息系统数据库、服务器
10、操作系统的日志 文档 ;各类信息系统及网站数据 ;网络设备日志等。各级 工商机关 安装的应用系统(如:各设区市局安装的 12315 申述举报系统、绩效考核系统等)和操作系统以及数据库,要定期将以上信息存储于 移动存储介质、 备份服务器等,数据备份档案统一保存,未经 本级 领导批准不得外借; 3、程序、数据 、日志等备份至少保存 90 天; 4、 系统管理员在使用数据或系统还原功能时,应向信息安全员报告。严重故障应及时向主管、分管领导报 告。 第十八条 提供批量数据服务,各级 工商机关 遵循“谁主管谁负责”的原则。 1、各级 工商机关 数据库及批量数据,未经局领导批准,任何人不得擅自提供、泄露;
11、 2、各级工商机关由于工作原因,需要使用批量数据的,由本机关 批量数据使用部门主要负责人签署意见,呈局领导批准后,送本级信息中心办理 ; 3、各级 工商机关 由于外单位工作需要 使用工商批量数据的, 应当 由使用数据的外单位 提出书面申请并附相关材8 料,局办公室 受理报经局领导批准后,由本级 信息中心进行办理 ; 4、提供批量数据的各级 工商机关 必须做好提供内容、提供方式、提供时间、审批人、使用单位及用途等相关登记工作,并保留相关审批文件。 第十九条 机房及使用计算机的单位、内设机构要设专人负责文字及介质资料的安全管理工作。 第二十条 每个单位、内设机构要建立资料管理登记簿,详细记录资料的
12、分类、名称、用途、借阅情况等,便于查找和使用。 第二十一条 技术资料应集中统一保管,严格借阅制度。存放应用系统及重要信息的介质严禁外借。 第二十二条 重 要数据的打印输出及外存介质应放在安全的地方,打印出的废纸要及时销毁,外存的数据要加密处理,损坏的外存介质要及时粉碎报废。 第六章 运维 人员 管理 第二十三条 各级工商机关 网络 管理员 、操作系统 管理员 、应用系统 管理员 、 机房 管理 员 等重要岗位,应选派责任心强,工作认真负责的在编人员担任。管理员调离时,必须移交全部技术资料和有关文档、密码等。 第二十四条 各级 工商机关 的各 应用系统 的 管理员,须逐级报送备案。承担全省大集中
13、部署的应用系统 的管理员,9 须报省局信息中心备案, 如有人员变动,须在 5 个工作日内报省局信息中心。 第二十五 条 操作系统管理员的主要职责: 1、全面了解、随时掌握本单位计算机运行情况并定期报告,及时向信息安全管理人员报告安全事件; 2、负责操作系统软件的安装、调试及管理工作; 3、负责对操作系统进行密码修改、账户增加、参数设置、策略变更、服务变更等操作; 4、服务器安装应用软件前对应用软件进行常规安全检查; 5、负责程序与数据备份管理,计算机病毒防治管理; 6、定期检查系统补丁与升级情况,在测试环境中对补丁程序的有效性和安全性进行测试评估后,对必要补丁进行及时更新。更新前对重要文件进行
14、完全备份。 第二十六条 应用 系统 管理员的主要职责: 1、负责相关应用系统安装、部署、调试及日常运行维护,负责相关应用系统程序及数据的备份; 2、协助上级管理员处理应用系统运行中出现的问题,保证应用系统安全稳定运行,及时向信息安全管理人员报告安全事件; 3、负责应用系统在本局及所辖工商机关的推广、培训及指导; 10 4、负责应用系统中的用户管理及权限分配。严格执行本办法用户管理规定,在应用系统中设定相关人员的权限,并保存权限分配表书式文档; 5、严格按照本办法第二十七条的规定,负责提供批量数据服务。 第二十七条 网络管理员的主要职 责: 1、负责本单位网络及相关设备的维护及管理,协助其它部门
15、处理网络运行中出现的问题,保证网络系统正常运行,及时向信息安全管理人员报告安全事件; 2、按照省局 IP 地址整体规划,负责本单位的计算机 IP地址分配、 VLAN 划分,如使用了非省局规划 IP 地址需报送上一级 工商机关 信息中心 备案 ; 3、对计算机及软件安装情况及其使用人员进行登记备案,计算机 IP 地址(网络逻辑地址)与 MAC 地址(硬件地址)绑定,计算机使用人员与 IP地址进行对应,定期核查;如有新增、变动、报废,须及时做好相关登记工作; 4、熟练 利用各种工具及软 件,全面了解、随时掌握本单位网络运行状况,对本单位网络流量、上网行为等进行全面的监测、记录,发现异常情况及时上报,对操作网络管理功能的其他人员进行安全监督; 5、负责设计、绘制与当前运行情况相符的网络拓扑图,根据网络的改动及时修改拓朴图;