開江縣人力資源和社會保障網絡信息安全管理辦法第一章總則第一條為加強我縣人力資源和社會保障計算機信息系統數據的安全管理，確保網絡數據信息的安全，根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等有關規定，結合我縣實際，制定本辦法。第二條加強對計算機信息系統數據安全保護工作的目的是：確保本系統業務計算機信息系統正常運行，維護數據信息應用工作的正常開展，預防、打擊利用或針對人力資源和社會保障計算機信息系統數據進行違法犯罪活動的行為，提高我縣人力資源和社會保障計算機信息系統數據整體安全水平，凈化網絡信息環境。第三條人力資源和社會保障系統內計算機信息系統數據安全保護工作應按照“誰使用、誰負責，預防為主、綜合治理，制度防范與技術防范相結合”的原則，逐級建立數據安全管理領導問責制和崗位責任制，加強制度建設，逐步實現數據安全管理的科學化、規范化。第二章機構職責和責任第四條局機關、局屬各單位應成立信息安全工作管理小組，為本單位計算機信息系統安全工作領導機構，信息安全突發事件應急工作由管理小組統一領導和協調，遵照“統一領導、各負其責、綜合協調、各司其職的原則協同配合、具體實施，完善應急工作體系和機制。按照“職能管理、分級響應、及時發現、及時報告、及時救治、及時控制”的要求，依法對信息安全突發事件進行防范、監測、預警、報告、響應、指揮和協調、控制，實行責任制和責任追究制。第五條局內各股室、各鄉鎮人社服務所負責人為計算機信息系統數據安全第一責任人，全面負責股室、所計算機信息系統數據安全管理工作。第六條各單位要設立專(兼)職計算機信息系統數據安全管理人員。數據安全管理人員職責是按照安全管理工作流程和規范，執行各項數據安全管理操作任務，定期對本單位及經辦本單位業務的機構計算機信息系統數據安全情況進行檢查，保障信息系統的安全。第七條信息安全工作管理小組負責組織各單位工作人員的計算機安全教育培訓，設立有關計算機安全課程，學習計算機安全管理法律、法規，提高全體工作人員的法律意識。第三章信息系統安全和運行安全管理第八條計算機信息系統必須使用正版軟件，并及時進行系統升級或更新補丁;業務內網計算機信息系統必須裝“360天擎”，并定期進行病毒檢驗;與互聯網相聯的計算機信息系統要有防止非法入侵措施。第九條業務計算機信息系統必須有全面、規范、嚴格的用戶管理策略或辦法，由系統管理員對用戶實行集中管理，對用戶按職能分組管理，設定用戶訪問權限，嚴禁跨崗位越權操作。第十條計算機信息系統的主要硬件設備、軟件、數據等要有完整可靠的備份機制和手段，并具有在要求時間內恢復系統功能以及重要數據的能力。第十一條嚴格業務內網系統客戶機接入管理。只有經過系統管理員批準并經過安全登記備案的計算機才能接入業務內網信息系統，嚴禁未經批準接入外來筆記本電腦、計算機系統或其他配件。接入計算機信息系統的客戶機要滿足以下要求：1、裝有殺毒防毒軟件;2、與互聯網或外網物理隔離;3、除有特殊用途外，應鎖定所有業務經辦計算機的USB接口，拆除或禁用軟驅、光驅，未經允許，不得接入移動存儲設備。第十二條各類計算機信息系統的安裝、升級、調試和維護由系統管理員負責。未經系統管理員許可，不得隨意在計算機信息系統的客戶機上安裝新軟件。第十三條堅持“涉密計算機不上互聯網，非涉密計算機不處理涉密信息”的原則。涉及國家秘密的計算機信息系統不得直接或間接地與國際互聯網或其它公共信息網絡相連接，也不得與業務內網相連接，必須實行物理隔離。筆記本電腦不允許啟用無線網卡，以避免泄密。第十四條對重要或涉密數據的存儲和傳輸應進行加密處理。對重要或涉密數據的存儲介質，應采取必要的安全保護措施，并建立相應的登記管理制度。對保密信息不得遺失、泄露。未經同意，涉密計算機不得使用U盤、移動硬盤、刻錄機等相關設備。第十五條對廢棄的涉密數據要嚴格按照保密要求進行清零覆蓋處理。第十六條各業務經辦計算機信息系統中的計算機均不得接入國際互聯網，不得做與業務處理無關的工作。除有特殊用途外，應鎖定所有業務經辦計算機的USB接口，拆除或禁用軟驅、光驅。業務經辦計算機經允許接入移動存儲設備進行數據交換的，應先將移動存儲設備在非內網的計算機上進行病毒查殺處理，確保移動存儲設備安全后方可接入到業務經辦計算機。第十七條需接入互聯網的計算機按正常程序申請，接入互聯網的計算機應具備必要的防黑客攻擊、防病毒以及過濾有害信息等安全技術措施。通過網絡傳送的程序或信息，必須經過安全檢測，方可使用。各類操作人員必須具有病毒防范意識，做好計算機病毒的預防、檢測、清除工作，及時升級防病毒系統，定期進行病毒的查殺，發現病毒要及時處理，并做好記錄。防止各類針對網絡的攻擊，保證數據安全。第十八條建立互聯網信息發布的審核和登記制度，堅持“先審后貼”“誰上網誰負責”的原則，凡向互聯網的站點提供或發布信息，必須經過領導審查批準，同時做好審核登記記錄。未經允可，任何人員不得將數據信息以任何形式發布到互聯網上或對外提供，防止數據泄密。第十九條任何單位和個人不得利用國際互聯網危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權益，不得從事違法犯罪活動。第二十條兩定機構和各鄉鎮就業和社會保障服務中心經辦本系統內網業務的計算機應遵循本系統網絡安全的相關規定，必須安裝殺毒軟件，嚴禁內網計算機接入互聯網。第四章人員管理和安全情況報告第二十一條涉密人員應有相當強的保密意識，自覺遵守涉密信息不上網的規定，嚴禁涉密信息的有意或無意泄漏。第二十二條操作人員應嚴格遵守軟件的操作規范，離開操作崗位時，必須退出應用軟件操作界面或鎖定計算機，以防他人進行未經授權的操作。第二十三條操作人員必須遵守有關計算機管理的安全保密法律法規，各類應用系統的使用必須實行用戶身份驗證，對自己的帳號負責。操作人員應注意自己用戶名和口令的保密，并定期或不定期修改口令。如出現他人借用或盜用本人帳號引起不良后果的，要按規定追究有關責任人的責任。第二十四條發生重大計算機安全事故，應當立即報告本單位信息安全工作管理小組和專職部門。第二十五條發現計算機違法、犯罪案件，須立即向公安機關公共信息網絡安全監察部門報案。第五章檔案管理第二十六條計算機介質與技術資料等應設專柜存放。對新購和上級單位下發的軟件、資料等要分別記入“介質登記冊”和“技術資料登記冊”。納入管理的資料包括系統軟件、工具軟件、應用軟件、備份數據、技術資料等。其