开江县人力资源和社会保障

开江县人力资源和社会保障网络信息安全管理办法第一章总则第一条为加强我县人力资源和社会保障计算机信息系统数据的安全管理，确保网络数据信息的安全，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关规定，结合我县实际，制定本办法。第二条加强对计算机信息系统数据安全保护工作的目的是：确保本系统业务计算机信息系统正常运行，维护数据信息应用工作的正常开展，预防、打击利用或针对人力资源和社会保障计算机信息系统数据进行违法犯罪活动的行为，提高我县人力资源和社会保障计算机信息系统数据整体安全水平，净化网络信息环境。第三条人力资源和社会保障系统内计算机信息系统数据安全保护工作应按照“谁使用、谁负责，预防为主、综合治理，制度防范与技术防范相结合”的原则，逐级建立数据安全管理领导问责制和岗位责任制，加强制度建设，逐步实现数据安全管理的科学化、规范化。第二章机构职责和责任第四条局机关、局属各单位应成立信息安全工作管理小组，为本单位计算机信息系统安全工作领导机构，信息安全突发事件应急工作由管理小组统一领导和协调，遵照“统一领导、各负其责、综合协调、各司其职的原则协同配合、具体实施，完善应急工作体系和机制。按照“职能管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制，实行责任制和责任追究制。第五条局内各股室、各乡镇人社服务所负责人为计算机信息系统数据安全第一责任人，全面负责股室、所计算机信息系统数据安全管理工作。第六条各单位要设立专(兼)职计算机信息系统数据安全管理人员。数据安全管理人员职责是按照安全管理工作流程和规范，执行各项数据安全管理操作任务，定期对本单位及经办本单位业务的机构计算机信息系统数据安全情况进行检查，保障信息系统的安全。第七条信息安全工作管理小组负责组织各单位工作人员的计算机安全教育培训，设立有关计算机安全课程，学习计算机安全管理法律、法规，提高全体工作人员的法律意识。第三章信息系统安全和运行安全管理第八条计算机信息系统必须使用正版软件，并及时进行系统升级或更新补丁;业务内网计算机信息系统必须装“360天擎”，并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。第九条业务计算机信息系统必须有全面、规范、严格的用户管理策略或办法，由系统管理员对用户实行集中管理，对用户按职能分组管理，设定用户访问权限，严禁跨岗位越权操作。第十条计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段，并具有在要求时间内恢复系统功能以及重要数据的能力。第十一条严格业务内网系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计算机才能接入业务内网信息系统，严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。接入计算机信息系统的客户机要满足以下要求：1、装有杀毒防毒软件;2、与互联网或外网物理隔离;3、除有特殊用途外，应锁定所有业务经办计算机的USB接口，拆除或禁用软驱、光驱，未经允许，不得接入移动存储设备。第十二条各类计算机信息系统的安装、升级、调试和维护由系统管理员负责。未经系统管理员许可，不得随意在计算机信息系统的客户机上安装新软件。第十三条坚持“涉密计算机不上互联网，非涉密计算机不处理涉密信息”的原则。涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其它公共信息网络相连接，也不得与业务内网相连接，必须实行物理隔离。笔记本电脑不允许启用无线网卡，以避免泄密。第十四条对重要或涉密数据的存储和传输应进行加密处理。对重要或涉密数据的存储介质，应采取必要的安全保护措施，并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意，涉密计算机不得使用U盘、移动硬盘、刻录机等相关设备。第十五条对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。第十六条各业务经办计算机信息系统中的计算机均不得接入国际互联网，不得做与业务处理无关的工作。除有特殊用途外，应锁定所有业务经办计算机的USB接口，拆除或禁用软驱、光驱。业务经办计算机经允许接入移动存储设备进行数据交换的，应先将移动存储设备在非内网的计算机上进行病毒查杀处理，确保移动存储设备安全后方可接入到业务经办计算机。第十七条需接入互联网的计算机按正常程序申请，接入互联网的计算机应具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。通过网络传送的程序或信息，必须经过安全检测，方可使用。各类操作人员必须具有病毒防范意识，做好计算机病毒的预防、检测、清除工作，及时升级防病毒系统，定期进行病毒的查杀，发现病毒要及时处理，并做好记录。防止各类针对网络的攻击，保证数据安全。第十八条建立互联网信息发布的审核和登记制度，坚持“先审后贴”“谁上网谁负责”的原则，凡向互联网的站点提供或发布信息，必须经过领导审查批准，同时做好审核登记记录。未经允可，任何人员不得将数据信息以任何形式发布到互联网上或对外提供，防止数据泄密。第十九条任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。第二十条两定机构和各乡镇就业和社会保障服务中心经办本系统内网业务的计算机应遵循本系统网络安全的相关规定，必须安装杀毒软件，严禁内网计算机接入互联网。第四章人员管理和安全情况报告第二十一条涉密人员应有相当强的保密意识，自觉遵守涉密信息不上网的规定，严禁涉密信息的有意或无意泄漏。第二十二条操作人员应严格遵守软件的操作规范，离开操作岗位时，必须退出应用软件操作界面或锁定计算机，以防他人进行未经授权的操作。第二十三条操作人员必须遵守有关计算机管理的安全保密法律法规，各类应用系统的使用必须实行用户身份验证，对自己的帐号负责。操作人员应注意自己用户名和口令的保密，并定期或不定期修改口令。如出现他人借用或盗用本人帐号引起不良后果的，要按规定追究有关责任人的责任。第二十四条发生重大计算机安全事故，应当立即报告本单位信息安全工作管理小组和专职部门。第二十五条发现计算机违法、犯罪案件，须立即向公安机关公共信息网络安全监察部门报案。第五章档案管理第二十六条计算机介质与技术资料等应设专柜存放。对新购和上级单位下发的软件、资料等要分别记入“介质登记册”和“技术资料登记册”。纳入管理的资料包括系统软件、工具软件、应用软件、备份数据、技术资料等。其