镇江公共信用信息基础数据库安全保障规定试行

1、镇江市公共信用信息基础数据库 安全保障规定（试行）第一章 总则第一条 为加强镇江市公共信用信息基础数据库安全管理,特制定本规定。第二条 本规定明确了镇江市公共信用信息基础数据库安全保障规定的基本原则和要求。第三条 本规定适用于从事镇江市公共信用信息基础数据库系统运行维护机构和业务管理人员。第二章 保密教育第四条 保密教育的主要内容是中华人民共和国保守国家秘密法及其配套法规；江苏省和镇江市为贯彻执行保密法而颁发的地方法规；党中央、国务院、地方政府有关保密工作的重要会议精神；保密形势及保密技术防范措施；保密管理制度，保密知识等。第五条 保密教育的具体要求：对从事镇江市公共信用信息基础数据库运行维护

2、机构和业务管理的人员进行保密法规、保密知识、信息安全教育。市信用办每半年组织一次保密教育。保密教育应有文字记录备查，并保证每人每年度不少于8学时。第三章 安全保密人员管理第六条 安全保密岗位。根据需要，对镇江市公共信用信息基础数据库的系统运行和维护设立系统管理员、安全保密管理员。第七条 数据保密承诺。通过市信用办审批确定的系统管理员、安全保密管理员，必须签订信息保密承诺书。第八条 离岗管理。系统管理员、安全保密管理员辞职、解聘、调动、退休等原因不再从事该工作的，应在离岗前及时清退保管使用的数据载体、设备等。第四章 安全保密部位管理第九条 安全保密部位的确定。集中存放、保管镇江市公共信用信息载体

3、的专门场所，确定为系统安全保密部位。第十条 保密部位的防护措施。保密部位须安装防盗报警装置、视频监控系统和IC卡电子门控系统。 第五章 设备与介质管理第十一条 采购管理。严禁采购和使用未经国家相关主管部门授权测评机构检测的安全保密产品。选用国外的非安全保密产品时，应进行安全保密检测。第十二条 设备携带外出管理。对于需要携带外出的介质，应进行必要的信息消除处理，并进行资料备案，保证介质上只存有与本次外出相关的资料。第六章 系统互联管理第十三条 安全互联控制。严禁直接或间接连接国际互联网和其他公共信息网络。第七章 软件安全管理第十四条 软件管理的范围。软件管理的范围包括对操作系统、应用软件、数据库

4、、安全软件、工具软件的采购、安装、使用、更新、维护管理。第十五条 软件的采购、安装和测试。镇江市公共信用信息基础数据库系统所使用的操作系统、应用软件、数据库、安全软件、工具软件必须是正式版本，严禁使用测试版软件。第十六条 软件的登记和保管。软件安装或更新后，原件(盘)应进行登记造册，归档并由专人保管。第十七条 软件的使用和维护（一）系统管理员和安全保密管理员共同负责维护操作系统、数据库及安全管理软件，并对系统运行情况进行记录。（二）定期对操作系统、数据库及其它相关软件进行审核审计，分析与安全有关的事件，修复安全漏洞。（三）软件更新后，须重新审查系统安全状态，必要时对安全策略进行调整。第八章 技

5、术文档管理第十八条 技术文档应根据其内容来确定保密要求。借阅、复制技术文档要履行相应的手续。第九章 应急响应处理第十九条 当遇到紧急事件时，应按照相关规定进行紧急事件处理。应急计划应经过市信用办审批，由专人管理，定期组织演习，并针对演习结果进行评估与改进。第十章 风险评估第二十条 为保证镇江市公共信用信息基础数据库系统的长期安全运行，每年应根据系统综合日志由运维部门组织对系统进行风险评估。 第十一章 信息交换管理第二十一条 镇江市公共信用信息基础数据库系统在进行信息交换时，应遵从以下原则：（一）从互联网、公共信息网络等系统导入信息到镇江市公共信用信息基础数据库系统时，需登记并注明信息的名称、来

6、源、用途等。 （二）镇江市公共信用信息基础数据库系统中的信息需要对外输出时，一般应输出纸介质文件，并记录打印台帐。确因工作需要使用电子文档输出时，需登记并注明输出信息的名称、类别、用途等。第十二章 病毒和漏洞防护第二十二条 病毒和漏洞防护职责（一）安全保密管理员负责防病毒体系的部署规划，逐步完善病毒防护措施，并对所有的防病毒产品进行有效管理，及时更新病毒库和恶意代码样本库。（二）系统管理员应对系统所使用的操作系统、应用软件、数据库、工具软件、安全软件等进行全面检查，确保其安全性。第二十三条 病毒和漏洞防护措施（一）在发现计算机病毒疫情时，管理人员应及时采取有效的措施，对不能解决的情况，要作为安

7、全事件及时向领导报告，对染毒次数，杀毒次数，杀毒结果进行详细说明。（二）应定期对计算机操作系统、数据库及其它重要的软件进行稽查审计，分析可能与计算机病毒相关的事件，以采取技术措施切断计算机病毒传播的途径。（三）定期对系统进行漏洞扫描和病毒检测工作，并填写漏洞扫描报告、漏洞扫描记录以及相关的计算机病毒检测和清除记录。（四）根据系统审查和系统安全扫描的状况，及时调整所采取的计算机病毒防治技术措施。第十三章 数据备份与恢复第二十四条 数据备份方法（一）文件数据的备份：包括对服务器上的数据文件、日志文件备份以及用户端文件的备份（用户自己对重要数据文件进行本地备份）。（二）数据库的备份：对于数据量较大、

8、实时使用的数据库，使用专用的数据库备份工具备份。（三）系统的备份与恢复：通过专用软件和技术，实现系统的快速恢复，避免重新安装系统的复杂过程。第二十五条 数据备份周期（一）对于非常重要的数据，随时修改，随时备份。（二）对于周期性变化的数据，可在一个变化周期结束后进行备份。（三）对于应用软件程序源代码，在每次修改时，要对修改前的数据做好备份，并在本次修改完成后，再次做好备份。（四）对于系统运行参数，应在系统正式投入运行后，对参数进行记录或备份，并在每次系统修改后再次记录或备份。第二十六条 数据库恢复（一）关键业务数据库备份措施必须经过测试以验证备份正确、可用，且应有测试相关记录，记录中应包含测试时

9、间、测试人员、测试对象、测试过程、测试结果等相关信息。（二）关键业务数据库备份介质应在其他建筑物内有一份独立的副本，防止在异常事故发生时被同时破坏。数据库备份环境应保证备份数据安全，数据库系统与备份环境间具有快捷安全的传输通道。（三）对重要系统的数据库服务器等进行备份，并对关键数据库服务器采用热备份等。（四）恢复方案应保证在出现灾难性崩溃的时候，应在12小时内恢复数据库的使用，数据损失不超过24小时，关键数据损失不超过12小时，如果应用系统对数据有特殊的要求，应根据应用系统的要求制定特殊的数据库备份恢复计划，以确保数据库中数据的安全。（五）数据必须根据备份周期进行备份，并由专人检查备份情况，确保备份成功。对配置信息更改后，需立即对配置信息进行备份。第十四章 终端安全管理第二十七条 终端准入管理系统内使用的所有计算机须通过市信用办登记备案，严禁将没有备案的设备私自接入信息系统。第二十八条 终端使用管理系统终端用户应设置屏幕保护，空闲时间要小于10分钟，并在恢复时要求密码保护。第二十九条 口令管理。口令设置应满足：（一）口令长度不少于八位。（二）采用组成复杂、不易破解的口令，应由大小写英文字母、数字和特殊字符中两者以上的组合。第十五章