信用信息系统安全保护和应对制度

第一章  总  则

第一条  为规范信用信息系统安全管理工作，保障市公共信用信息系统安全及正常运行，结合市公共信用信息系统建设情况及应用特点，特制定本实施细则。

第二条  本实施细则所称信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三条  本规定所称安全管理内容包括基础设施建设、技术管理、应用管理3部分，其具体内容包括：组织机构及职责，计算机及其相关的和配套的设备、设施（含网络）的安全管理，客户端安全管理，病毒、恶意软件及黑客的安全防范管理，应用软件、数据及应用安全管理，公共信用信息的安全，系统使用运行管理，安全突发事件应急管理，安全检查、奖励及责任追究等。市信息中心涉密办公网信息系统的安全管理暂不列入本实施细则。

第四条  市公共信用信息系统安全管理工作坚持积极防御、综合防范的指导方针，采取技术与管理相结合的措施，重点保障基础网络和重要信息系统安全，全面提高信息系统安全防护能力，并按照国家有关规定实行等级保护，建立信息系统安全保障体系。

第五条  市公共信用信息系统安全管理实行责任制，按照“谁主管、谁负责，谁使用、谁负责”的原则，逐级建立安全管理责任制。各单位及部门主要负责人为本级安全责任人。

第二章  组织机构及职责

第六条  市信用办是市公共信息中心信息系统安全管理工作的领导机构，负责审定市公共信用信息系统安全发展规划和管理制度；协调解决涉及市公共信用信息系统安全的重大问题。市公共信用信息中心负责监督和管理项目实施方的日常维护，确保系统安全防护和系统稳定运行。

第七条  市信用办是公共信用信息系统安全工作的主管部门，负责基础设施建设和技术管理工作。主要包括：

（一）组织制定和实施市公共信用信息系统统安全策略和管理制度；

（二）组织制定和实施市公共信用信息系统安全技术方案；

（三）组织实施信息系统安全运行监控与审计；

（四）协调解决信息系统安全突发事件；

（五）进行信息系统安全的教育培训、制度检查及责任追究。制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训

第八条  市信用办协助市信用信息中心协调各数据归集部门做好信息系统安全工作的应用管理，协助信息中心进行信息系统安全检查及责任追究和奖励，协助做好信息系统安全教育培训工作。

第九条  各应用项目的职能部门是业务应用项目的应用管理部门，负责制定和实施应用项目安全运行管理制度，包括应用项目的操作使用、授权管理、数据管理和业务应急管理等。

第十条  连云港市公共信用信息中心是客户端管理及计算机信息安全的主管部门，完成本单位的信息安全工作，其主要职责如下：

（一）实施市公共信用信息系统安全策略和管理制度；

（二）处理信息系统安全突发事件；

（三）配合信息系统安全检查工作，并根据检查组反馈的意见协助本单位进行整改；

（四）负责制定客户端的管理规范，明确客户端管理和使用的人员及安全责任。

（五）定期对服务器和业务终端进行例行安全检查，完成安全设置和安全软件的安装；

（六）解决微机、打印机等计算机设备使用过程中出现的一般性故障；

（七）严格控制盗版软件、来历不明软件、具有黑客性质软件在市信息中心网络中的安装、使用和传播。

（八）定期组织对相关人员进行安全意识教育、岗位技能培训和相关安全技术培训。

第三章  机房及配套设施的安全管理

第十一条  公共信用信息系统计算机机房，指安装和运行市公共信用信息系统主机、服务器及网络核心设备的机房，以下简称“机房”。

第十二条  机房及配套设施应按照国家机房建设的标准，满足防火、防盗、防尘、防水、防电磁干扰、防静电、防雷、防鼠患、接地以及温湿度等要求。

第十三条  机房管理部门应制定机房安全管理制度，设立24小时值班岗位，明确值班岗位工作职责，对机房可能出现的火?、水灾等威胁，要建立应急处理方案。

第十四条  机房应安装具有能自动报警及记录功能的安全监控系统，对整个机房实时监控。

第十五条  机房应配备双路供电系统，电源线及网络电缆应铺设于专用的通道内。不间断电源（UPS）提供消除单点故障的双路供电。

第四章  主机、服务器、存储系统及操作系统的安全管理

第十六条  根据主机、服务器及存储系统的重要程度，建立相应的备份策略。运行系统中所有安装的操作系统、系统参数设置及应用软件须详细记录备案，并定期备份操作系统、工具软件、应用程序和应用数据。

第十七条  主机、服务器及存储系统的软件、硬件配置必须经过充分论证，不得随意变更。如需变更应经论证批准后方可实施。

第十八条  主机和服务器要及时安装安全补丁。运行系统中操作系统、数据库等补丁程序必须经过严格测试，经审批后下发安装。

第十九条  运行系统与开发测试系统要严格分离，分别制定管理制度，明确主管部门和责任人。

第二十条  操作系统授权应严格管理，严禁私自开设账号。特权账号应严格审批并备案，专人专用，使用特权帐号须双人操作才可进入系统，所有操作应有日志记录。

第二十一条  未经授权，任何人不得以任何方式进入运行系统提示符状态操作。系统维护人员需在运行机上工作时，须经主管领导审批，并由特权账号负责人临时开通账号号，并确保最小特权，用后立即收回。

第二十二条  对运行主机、服务器操作，应做到权限分级，明确系统管理员、系统操作员、程序员的权限和操作范围。

第二十三条  账号的口令密码应由八位或八位以上的数字、字母和特殊字符组成，并定期修改密码，确保密码强度。账号和密码只限于本人使用，不得共用、借用、转让，应设定有效期并定期修改密码。

第二十四条  对跨主机、服务器节点的数据访问及所使用的账号须严格控制；对含有明文访问控制信息的载体须严格保密。

第二十五条  操作系统中网络参数配置应按照制定的网络安全方案设置，严格定义路由、网关、地址和配置各种服务，关闭不需要的服务。

第二十六条  主机、服务器启动与关闭应做到专人管理，严格按照操作程序执行，未经审批不得随意关闭和启动。

第二十七条  系统管理员必须对系统的运行进行监控和分析，发现异常情况立即处理和报告，并记录处理过程。

第二十八条  系统管理员必须定期查看并校对系统时钟。

第二十九条  未经批准，严禁系统管理员查看用户文件、数据及网络传输信息。

第五章  网络安全管理

第三十条  公共信用信息系统运行网络环境系统划分为市电子政务外网、互联网，实行网络间逻辑隔离的网络安全分级管理。市信息中心政务外网是市公共信用信息中心人员使用的办公业务网络，分别承载市信息中心日常管理、辅助决策和政务办公信息化应用系统。

第三十一条 电子政务外网将采取严格的安全防范措施，保证网络系统的可用及安全。

第三十二条  市公共信用信息系统系统如确需与外部进行连接的，需要得到相关部门的授权和批准，并采取技术措施保证网络安全连接，必须在网络接入点建立相应的安全措施。

第三十四条  交换机、路由器、防火墙等网络和安全设备须专人管理维护，确保操作密码强度，核心设备要有冗余备份。设备资料、网路拓扑图、参数配置及地址表等信息应备案并妥善保管。

第三十五条  网络和安全设备要及时安装安全补丁，安全补丁需经过严格测试方可在运行系统安装使用。网络和安全设备的购置必须按照国家有关规定执行。

第三十六条  市信用信息中心负责指导机房管理方维护网络安全，监控网络安全(病毒、黑客)运行情况，加强日常巡检和通报。

第六章  客户端安全管理

第三十七条  微机使用部门、使用者负责所属微机的日常管理。微机使用部门定期对微机进行例行安全检查，防止设备丢失和非法使用，保证客户端的安全使用。

第三十八条  联入市信息中心内部网的微机（包括笔记本电脑）实行严格的审批、备案制度。使用部门向信息中心提出申请，信息中心办理安装、开通、备案手续。

第三十九条  微机必须严格按照规范命名，即计算机名称为部门名-姓名简称，；工作组为本地组别；计算机描述标明处、科室、使用人员。

第四十条  业务管理网微机在接入业务管理网之前和使用过程中，必须符合如下安全要求：

（一）设置并严格管理开机密码，禁止向无关人员泄露；

（二）安装信息中心指定的操作系统；

（三）按要求进行安全设置，安装客户端安全管理及监控系统、市信息中心指定的防病毒软件并进行补丁自动更新配置；

（四）及时安装指定的安全、补丁软件；

（五）严禁擅自安装与市信息中心工作无关的软件。

第四十二条  市信息信用信息中心负责对联入市信息中心内部网的微机的使用单位、使用地点、操作人员、保管者、IP/MAC地址及使用的域名等进行备案，采取安全监控技术措施对微机进行监控，做好安全事件的记录。

第四十三条  微机用户不得以任何方式变更微机所联网络，不得擅自打开机箱或更换任何硬件配件。如因工作需要更换的，必须向市信息中心提出申请，经市信息中心审核并作变更备案后方可更换。

第四十四条  严禁利用微机玩游戏或拨号外连互联网。禁止不同网络的微机交叉使用。

第四十五条  微机出现一般故障（如显示器故障、网络连接线路故障、操作错误等）且不能处理的，应报信息中心处理；出现重大故障（如可能感染病毒、遭受黑客攻击等情况），须立刻将微机从网络上断开，保护机器原有状态，及时报信息中心处理。

第四十六条  报废的微机在办理报废手续之前，由使用部门的专兼职技术人员对微机内的硬盘进行拆卸后交市信息中心，由信息中心统一送相关部门进行保密处理，防止硬盘数据泄密。

第七章  病毒、恶意软件及黑客的安全防范管理

第四十七条  市公共信用信息系统的病毒防治、恶意软件及黑客的防范工作由信息中心统一管理，微机使用部门配合，实施统一的病毒预警、查杀、入侵检测等监控手段。建立以信息中心为主导的防病毒、防攻击应急处理机制。

第四十八条  市公共信用信息系统的服务器和微机必须安装国家有关部门认定的防病毒软件，实行统一的病毒码更新机制，并应启动实时监控功能。任何人不得擅自卸载防病毒软件。微机责任人、服务器管理人员应定期检查病毒特征码的更新情况，确保本机病毒特征码保持最新。

第四十九条 当用户发现计算机有可能感染病毒时，应立即拔掉网线，防止病毒散发；隔离后使用最新杀毒软件进行查杀，确认清除病毒后再接入网络。必要时由本单位技术协管员或本单位技术人员协助。

第五十条 用户发现计算机病毒或恶意攻击引起的信息系统异常、程序和数据遭受破坏等安全事件时，须妥善保护现场并及时向市信息中心报告。

第五十一条  服务器和微机要及时安装安全补丁。用户看到系统更新提示时，要尽快进行系统更新。

第五十二条  移动硬盘、U盘、软盘等介质应专网专用并定期查杀病毒，防止病毒传播。读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查

第五十三条  严禁安装、使用及传播盗版软件、黑客软件和来历不明的软件。

第五十四条  邮件系统须安装市信息中心指定的专用邮件防病毒软件并定期更新。禁止打开、转发来历不明或可疑的邮件及附件，禁止使用电子邮件自动预览功能。

第五十五条 除安全技术人员外，禁止任何人以任何目的在市信息中心网络系统内使用扫描、攻击、侦听、破解等具有黑客性质的软、硬件工具。

第五十六条 将市公共信用信息系统以外的软件传入市信息中心网络之前，必须用信息中心指定的最新杀毒软件进行查杀病毒，确认无毒后再进行操作。

第八章 应用软件及数据的安全管理

第五十七条  应用软件和数据是指市信用信息中心业务和管理部门所使用的软件和生成的数据。

第五十八条  应用软件开发和移植的技术方案必须经安全论证，执行统一的安全策略，通过验收后方可使用；购买的成品软件须符合国家有关的安全管理规定。

第五十九条  信息中心必须根据市信息中心的统一部署，按照统一要求在运行系统上进行更新，其历史版本及相关资料必须妥善保管。

第六十条  除市信用信息中心已明确规定数据的管理部门以外，应用项目主管部门是数据的管理部门。未经数据管理部门批准，任何部门和个人不得对外提供数据。”

第六十九条  市信用信息中心业务数据库实行严格的访问控制制度。异常数据的删除、修改等变更操作，必须严格按照有关管理规定执行。

第六十一条  各应用项目主管部门应按职责和授权接收市信息中心下发的参数，维护本关地方关参数库，未经审批，不得随意更改参数。

第六十二条  市公共信用信息系统中使用的软件、数据和技术文档须按重要程度实行密级管理。保密信息的使用及保存、传输、更改、查询、销毁等操作必须严格按国家法规及市信息中心有关保密规定执行。记录涉密信息的介质须定点存放、专人管理，过期或损坏的须做清空或销毁处理。

第六十三条  市信用办委托社会单位或人员开发的项目，必须与其签订保密协议，明确相关责任。

第九章 应用管理

第六十四条  应用项目主管部门负责应用系统的授权，必须按照相应的授权管理规定，严格审核控制用户的功能和权限。

第六十五条  应用操作人员必须按照相应的操作规范执行，并严格保管个人USB Key、读卡器、账号和密码，禁止借用、挪用和防止盗用。密码应由8位以上的不易猜解的字母、数字组成，并应定期修改，确保密码强度。

第六十六条  应用操作人员离开岗位，暂不操作计算机时，应退出或关闭计算机系统，防止被他人冒用。

第六十七条  无人值守的服务器和计算机必须设定具有一定复杂度密码保护，防止被他人使用。

第六十八条  市信息中心工作人员工作岗位发生变动，岗位变动人员原单位必须及时通知相关部门变更或注销其应用系统帐号，为其所持有的USB Key卡办理变更或停用手续。人员离开市信息中心的，原单位必须及时收回其使用的USB Key、为其办理注销手续，并通知相关部门注销其所有应用系统帐号。

第六十九条  应用操作人员对应用系统运行异常、设备故障等安全事件或隐患必须及时报告市信用信息中心。

第七十条  应用现场的安全实行属地管理，明确责任，防止设备丢失和非授权使用。

第十章  安全审计管理

第七十一条  对重要的业务数据库，要建立监控、审计系统，实施操作记录与审计。

第七十二条  关键服务器、应用系统、路由器和防火墙必须对重要事件记录日志。

第七十三条  日志应设置访问权限，以防被篡改或删除。

第七十四条  审计管理人员须定期检查并备份日志，未经审计管理人员允许，任何人不得擅自修改、清除日志。

第十一章  公共信用信息的安全

第七十五条  市公共信用信息主管部门、市信用中心和信息提供主体应当加强公共信用信息保密管理，对涉及国家秘密、商业秘密、个人隐私以及依法不得公开的公共信用信息，不得向任何单位和个人开放和披露。

第七十六条 根据本办法规定应用公共信用信息的任何单位和个人，未经授权不得擅自将授权查询信息、政府内部应用信息提供给第三方使用。

第七十七条 市公共信用信息主管部门和市信用中心应当加强公共信用信息档案管理，对市信用平台中信息录入、删除、更改、查询，以及进行异议、举报和修复处理等，应当如实记录实施该行为的人员、日期、原因、内容和结果等日志信息，并长期保存。

对经授权查询公共信用信息的，市信用中心应当如实记录查询情况，并长期保存。

第七十八条  市信用中心应当严格执行国家计算机信息系统安全保护的有关规定，建立健全信息安全管理制度，实行信息系统安全保护等级认定和测评工作，确保公共信用信息的安全和信用平台的稳定运行。

第十二章  信息系统运行与保障

第七十九条  市信用办负责公共信用信息系统建设工作。各数据归集部门应当按照市信用办制定的技术规范统一建设本辖区公共信用信息系统。

第八十条  连云港市信用办及市公共信用信息中心负责本级公共信用信息系统日常运行维护，保障公共信用信息系统的正常运行。

第八十一条  连云港市信用办负责监管公共信用信息系统在各部门的使用授权。

第八十二条 连云港市信用办应当按照信息系统安全等级保护基本要求（GB/T 22239-2008）中关于第三级信息系统的技术要求和管理要求，建立公共信用信息系统安全管理制度，落实安全保障措施，加强日常运行监控，做好安全防护。

第八十三条  市信用办责制定公共信用信息系统数据相关制度、标准和规范，开展数据质量监测、检查及考核，定期通报数据质量考核情况；市公共信用信息中心负责公共信用信息系统数据质量监测，问题数据追溯、校核、纠错、反馈等工作，对发现的公共信用信息系统中的问题数据，应当及时处理、更新。

第八十四条  对部门归集的公共信用数据信息发生异议的，由信息提供部门进行处理，并将处理后的信息及时推送到公共信用信息系统。

第八十五条  市信用办制定公共信用信息系统使用运行管理考核办法及标准，组织对各数据归集部门落实相关职责的考核工作。

第十三章  信息系统安全突发事件应急管理

第八十六条  市信用办处理应急事件的流程和职责。

第八十七条  对突发的安全事件，各部门应根据其影响程度和范围，逐级向有关部门上报，由相关部门及时启动相应的应急预案，并在第一时间向相关单位快速通报，避免造成不良社会影响。

第八十八条 信息系统用户应将发现的安全弱点和可疑事件及时向市信息中心报告，但任何情况下用户均不应尝试验证所发现的安全弱点。

第八十九条  市公共信用信息中心应加强对信息系统的日常监控和安全审计工作，及时发现和排除隐患，每年至少组织一次针对系统相关人员的应急预案培训，各单位应定期组织技术和业务应急预案演习，确保系统安全稳定运行。

第九十条  市公共信用信息中心应对突发安全事件和处理过程进行分析，查明事件发生原因，形成安全突发事件处理报告并存档，提高市信息中心信息系统安全突发事件的处理能力。重大安全事件处理报告应上报市信息中心办公室。

第十四章  安全检查、表彰及责任追究

第九十一条  市信用信息中心每年至少组织或配合市信息中心实施一次信息系统安全检查，检查结果要及时通报反馈，对违反安全规定或制度不落实的单位和个人进行通报。

第九十二条  市信用信息中心信息系统的安全工作人人有责，各单位和工作人员必须严格遵守本实施细则。总关对保障市信息中心信息系统安全做出突出贡献的单位和个人给予表彰和奖励；对违反实施细则，造成安全事件的单位和个人追究责任。

第九十三条  市信用信息中心工作人员违反安全管理规定造成后果的，视严重程度、影响范围及违反次数等情况，追究当事人及其领导责任，原则如下：

（一）对违反规定、影响轻微的，给予当事人批评教育处理，并通知所在单位；

（二）对违反规定，造成较大影响的，给予当事人通报批评处理并进行经济处罚；

（三）对违反规定，造成重大影响的，给予当事人行政处罚；

（四）对违反规定，造成特大影响的，除给予处理当事人行政处罚外，视情况给予主管领导通报批评或行政处罚。

（五）对多次违反规定，除给予当事人相应的处理或处罚外，还应对主管领导通报批评并经济处罚；

（六）对违反国家法律构成犯罪的，依法追究刑事责任。