信息数据管理制度

河北省劳动和社会保障厅关于印发《计算机信息系统数据安全管理规定》的通知

（冀劳社办[2008]34号）

机关各处室、厅属事业单位：

为进一步加强全厅各类劳动保障计算机信息系统数据安全管理工作，确保计算机信息系统数据的安全，现将《河北省劳动和社会保障厅计算机信息系统数据安全管理规定》印发给你们，请遵照执行。

二ＯＯ八年二月二十九日

附件：

河北省劳动和社会保障厅计算机信息系统数据安全管理规定

第一章总则

第一条为了加强对我厅劳动保障计算机信息系统数据的安全管理，确保网络数据信息的安全，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关规定，结合我厅实际，制定本规定。

第二条加强对劳动保障计算机信息系统数据安全保护工作的目的是：确保劳动和社会保障业务计算机信息系统正常运行，维护数据信息应用工作的正常开展，预防、打击利用或针对劳动保障计算机信息系统数据进行违法犯罪活动的行为，提高我厅劳动保障计算机信息系统数据整体安全水平，净化网络信息环境。

第三条本规定中所指计算机信息系统数据是指各常规工作中所建立和存储在电子设备和计算机内的业务、财务、人事等电子数据。

第四条劳动保障系统内计算机信息系统数据安全保护工作应按照“谁主管、谁负责，预防为主、综合治理，制度防范与技术防范相结合”的原则，逐级建立数据安全管理领导问责制和岗位责任制，加强制度建设，逐步实现数据安全管理的科学化、规范化。

第五条劳动保障计算机信息系统内部数据实行安全等级保护，计算机信息系统数据的建设和存储应符合相应的安全等级标准，使用的安全产品必须具有《计算机信息系统安全专用产品销售许可证》，其等级应与计算机信息系统数据确定的安全等级相适应。第二章组织管理

第六条厅长是全厅计算机信息系统数据安全第一责任人。厅信息化工作领导小组为全厅计算机信息系统安全工作领导机构，全面负责全厅计算机信息系统数据安全管理工作，建立计算机信息系统数据安全管理工作小组（以下简称“数据安全管理小组”）。

第七条数据安全管理小组负责确定本厅计算机信息系统数据安全等级，并组织有关人员制定、评审本厅计算机信息系统数据安全策略、安全标准、系统实施方案、安全工作流程和各项规章制度。

第八条数据安全管理小组依据本规定，定期对厅属各处室及事业单位计算机信息系统数据安全情况进行检查、考核。对于存在计算机信息系统数据安全隐患的单位，协助提出整改方案，限期整改。因不及时整改而发生重大案件和事故的，由该单位的有关责任人承担责任；对违反国家相关法律法规的，由公安机关依法进行处罚，构成犯罪的，由司法机关依法追究刑事责任。

第九条厅属各处室及事业单位要设立专（兼）职计算机信息系统数据安全管理人员。数据安全管理人职责是按照安全管理工作流程和规范，执行各项数据安全管理操作任务，保障本部门各项业务数据的安全。

第十条数据安全管理小组负责组织工作人员的计算机安全教育培训，设立有关计算机安全课程，学习计算机安全管理法律、法规，提高全体工作人员的法律意识。第三章计算机信息系统安全管理

第十一条建立计算机信息系统安全登记备案制度。厅属各处室及事业单位的计算机信息系统上线使用前，要向数据安全管理小组申请安全检查验收与系统备案登记，确定系统安全等级，指定数据安全责任人。

第十二条对计算机信息系统建立定期风险分析和安全评估制度。由公安机关公共信息网络安全监察部门及省信息办等相关部门定期对我厅计算机信息系统进行安全检查和风险评估。对于存在问题，提出相应安全措施整改意见。所有评估检查信息要详细记录，存档备查。

第十三条计算机信息系统必须使用正版软件，并及时进行系统升级或更新补丁；计算机信息系统必须装有防毒杀毒软件，并定期进行病毒检验；与互联网相联的计算机信息系统要有防止非法入侵措施。

第十四条计算机信息系统必须有全面、规范、严格的用户管理策略或办法。重要的计算机信息系统必须有双人互备做为系统管理员，系统管理员必须对计算机信息系统的各种服务器加设口令，严禁采用系统默认超级管理员用户命或口令；由系统管理员对用户实行集中管理，对用户按职能分组管理，设定用户访问权限，严禁跨岗位越权操作；严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计，并留存审计日志，审计日志应进行妥善保存。

第十五条计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段，并具有在要求时间内恢复系统功能以及重要数据的能力。对重要计算机信息系统及设备要有应急处理预案，数据安全管理小组要对应急预案备案登记，并每年定期举行数据安全应急演习。

第十六条计算机信息系统与数据库主机必须建立在正规机房，机房要在场地面积、用电环境、使用环境、消防防雷等方面符合国家有关规定。

第十七条计算机信息系统主机或存储设备发生故障时，要尽量现场维修，系统管理员要在现场监督；确需要送出维修时，注意去掉存储部件或删除数据。

第十八条严格计算机信息系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统，严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。接入计算机信息系统的客户机要满足以下要求：1、装有杀毒防毒软件；

2、与互联网或外网物理隔离；

3、只装指定的业务软件；

4、未经允许，不得接入移动存储设备；

5、除有特殊用途外，应锁定所有业务经办计算机的ＵＳＢ接口，拆除或禁用软驱、光驱。

第十九条各类计算机信息系统的安装、升级、调试和维护由系统管理员负责。未经系统管理员许可，不得随意在计算机信息系统的客户机上安装新软件。第四章互联网安全管理

第二十条坚持“涉密计算机不上互联网，非涉密计算机不处理涉密信息”的原则。涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，也不得与业务内网相联接，必须实行物理隔离。笔记本电脑不允许启用无线网卡，以避免泄密。

第二十一条对重要或涉密数据的存储和传输应进行加密处理。对重要或涉密数据的存储介质，应采取必要的安全保护措施，并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意，涉密计算机不得使用Ｕ盘、移动硬盘、刻录机等相关设备。

第二十二条对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。

第二十三条各业务经办计算机信息系统中的计算机均不得接入国际互联网，不得做与业务处理无关的工作。除有特殊用途外，应锁定所有业务经办计算机的ＵＳＢ接口，拆除或禁用软驱、光驱。

第二十四条需接入互联网的计算机按正常程序申请，操作人员接受网络安全管理培训后，由厅信息中心分配相应的上网权限。

第二十五条杜绝以各种形式违规外联互联网，包括利用办公电话拔号上网、无线上网等，维护厅网络安全防护体系。

第二十六条在办公范围内不允许启用笔记本电脑自带的无线网卡。以避免泄密以及对网络系统造成电磁干扰。