第一条 为了加强对德州市统计系统计算机信息系统数据(以下简称统计数据)的安全管理,确保数据信息的安全,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关规定,结合统计系统实际,制定本规定。
第二条 加强对统计系统计算机信息系统数据安全保护工作的目的是:确保统计业务计算机信息系统正常运行,维护数据信息应用工作的正常开展,预防、打击利用或针对统计系统计算机信息系统数据进行违法犯罪活动的行为,提高统计系统计算机信息系统数据整体安全水平,净化网络信息环境。
第三条 全市统计系统计算机网络系统主要是指德州市统计局及县(市、区)统计系统内部网络局域网、以及连接各个节点的广域网部分。
第四条 统计系统内计算机信息系统数据安全保护工作应按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级建立数据安全管理领导问责制和岗位责任制,根据各自的业务情况,加强制度建设,逐步实现数据安全管理的科学化、规范化。
第五条 计算机信息系统必须使用正版软件,并及时进行系统升级或更新补丁;计算机信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。
第六条 计算机信息系统与数据库主机必须建立在正规机房,机房要在场地面积、用电环境、使用环境、消防防雷等方面符合国家有关规定。
第七条 计算机信息系统必须有全面、规范、严格的用户管理策略或办法。系统管理员必须对计算机信息系统的各种服务器加设口令,严禁采用系统默认超级管理员用户命或口令;由系统管理员对用户实行集中管理,对用户按职能分组管理,设定用户访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志,审计日志应进行妥善保存。
第八条 计算机信息系统主机或存储设备发生故障时,要尽量现场维修,系统管理员要在现场监督;确需送出维修时,注意去掉存储部件或删除数据。
第九条 严格计算机信息系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统,严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。接入计算机信息系统的客户机要满足以下要求:1、装有杀毒防毒软件;2、与互联网或外网物理隔离;3、只装指定的业务软件;4、未经允许,不得接入移动存储设备;5、除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
第十条 各类计算机信息系统的安装、升级、调试和维护由系统管理员负责。未经系统管理员许可,不得随意在计算机信息系统的客户机上安装新软件。
第十一条 坚持“涉密计算机不上互联网,非涉密计算机不处理涉密信息”的原则。涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,也不得与业务内网相联接,必须实行物理隔离。笔记本电脑不允许启用无线网卡,以避免泄密。
第十二条 对重要或涉密数据的存储和传输应进行加密处理。对重要或涉密数据的存储介质,应采取必要的安全保护措施,并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意,涉密计算机不得使用U盘、移动硬盘、刻录机等相关设备。
第十三条 对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。
第十四条 各业务经办计算机信息系统中的计算机均不得接入国际互联网,不得做与业务处理无关的工作。除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。第十五条 杜绝以各种形式违规外联互联网,包括利用办公电话拔号上网、无线上网等,维护网络安全防护体系。
第十六条 在办公范围内不允许启用笔记本电脑自带的无线网卡。以避免泄密以及对网络系统造成电磁干扰。
第十七条 接入互联网的计算机应具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。对计算机、服务器账户均设置密码,各种账户和密码严格保密。根据信息的安全规定和权限,确定使用人员的存取、使用权限。通过网络传送的程序或信息,必须经过安全检测,方可使用。各类操作人员必须具有病毒防范意识,做好计算机病毒的预防、检测、清除工作,及时升级防病毒系统,定期进行病毒的查杀,发现病毒要及时处理,并做好记录。防止各类针对网络的攻击,保证数据安全。
第十八条 建立互联网信息发布的审核和登记制度,坚持“先审后贴”“谁上网谁负责”的原则,未经批准,任何人员不得将数据信息以任何形式发布到互联网上或对外提供,防止数据泄密。
第十九条 提供电子邮件服务的计算机应具备有害信息和垃圾邮件过滤功能,相应技术参数应符合国家相关标准。
第二十条 在国际互联网上提供WWW、FTP、IDC、邮件、交互式栏目、SP等服务的,应当报当地公安机关公共信息网络安全监察部门备案。
第二十一条 建立政务外网信息的监视、保存和备份制度,要有专人对网站、交互式栏目发布的信息进行监测,发现有害信息备份后立即删除,并报告当地公安机关公共信息安全监察部门。
第二十二条 任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第二十三条 建立计算机信息系统管理员制度。重要的计算机信息应用系统要实行系统管理员双人互备。系统管理员承担系统的运行维护和数据的安全管理工作。
第二十四条 各计算机信息应用系统本着“谁应用谁负责”的原则,由系统管理应用单位制定数据安全管理方案,配备专职系统管理员,并将数据安全管理方案、数据备份策略、管理流程和人员组织情况向数据安全管理小组登记备案。
第二十五条 对数据的各项操作实行日志管理,严格监控操作过程,对发现的数据安全问题,要及时处理和上报。
第二十六条 未经批准,系统管理员不得直接对后台数据库进行数据更改操作,确需后台操作的,必须上报分管领导批准,并事先对数据库进行备份后进行,同时,详细记录操作过程及数据更改情况存档备查。
第二十七条 本规定自发布之日起施行。