岳建函〔2018〕290号
局属各单位、机关各科(室):
根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》以及《互联网安全保护技术措施规定》等相关规定,现将《岳阳市住房和城乡建设局计算机信息系统安全管理办法》和《岳阳市住房和城乡建设局信息系统建设和管理办法》印发给你们,请认真遵照执行。
岳阳市住房和城乡建设局
2018年3月15日
岳阳市住房和城乡建设局计算机信息系统
安全管理办法
第一章 总 则
第一条 为了保障住建信息系统的安全和正常运转,保护住建信息资源不受侵犯,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》和《互联网安全保护技术措施规定》的相关规定,结合我局计算机信息系统管理的实际,制定本办法。
第二条 本办法中的计算机信息系统,是指由市住房和城乡建设局和所属各单位投资购买和建设、由市住房和城乡建设局信息服务中心(以下简称信息中心)负责维护和管理的市住建局网络信息系统、办公系统、业务系统以及网络服务器、工作站、网络设备和配套的网络线缆设施等硬件、软件、集成系统。
第三条 信息中心负责全局计算机信息系统安全建设工作及综合管理日常工作,各单位积极配合做好相关工作。
第二章 设备安全管理
第四条 信息中心统一管理计算机网络信息系统的主要设施设备,包括专业化机房、服务器、大型交换机、数字电路专线设备、系统演示设备等。
第五条 信息中心负责统各单位与计算机信息系统连接的计算机、打印机以及网络等设备的统一维护管理, 任何单位和个人不得私自调整网络环境,不得私添加无线设备。
第六条 计算机信息系统需要添加、更改大型设备(不包括添加电脑和打印机),须报市局审批,由信息中心具体落实。
第七条 各单位应妥善维护好计算机信息系统设备,做好设备的防火、防盗、防雷和防破坏工作。
第八条 办公大楼从事施工、建设不得危害计算机网络系统设备的安全。
第九条 计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机网络的安全。机房应当按照下列要求实施管理:
(一)机房室内环境应当保持整齐、清洁;配备监视温度、湿度的仪表或装置,并保证温度:21℃—24℃,湿度:50%—10%;机房的照明度应满足设备正常运行和维护的要求;严禁携带强磁物进入机房。
(二)机房应当有防雷电、防静电措施和灭火装置。要保证机房各项报警系统灵敏完好,灭火装置要安放在指定位置,并定期检查,机房人员应学会正确使用灭火装置,机房内的照明设备和空调设备应有专人负责,定期检修。
(三)机房对容易起火的电器设施要严格管理,每周检查一次是否漏电、接触不良;电源插销要牢固、可靠,避免人身触电;机房内严禁吸烟,严禁使用易燃易爆物品及各种炉具等。
(四)为保证设备的正常运行,不得擅自改动机房内的电源、空调及机柜、服务器、交换机等计算机和网络设备。
(五)使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品,定期升级病毒库,定期检测、清除计算机网络系统中的计算机病毒,并备有检测、清除的记录。及时下载安装官方网站提供的操作系统安全补丁。
(六)未经允许非机房管理人员不得随意进入机房;未经批准不能带外人进入机房参观、演示。
(七)建立机房登记制度。对本地局域网、广域网的运行及时建立档案。机房管理人员要对所发生的故障、处理过程和结果等做好详细的日志,不得对中继、光纤、网线及各种设备进行随意调试。
第三章 软件安全管理
第十条 任何单位和个人未经同意不得擅自拆卸或更改网络设备,安装未经认证和授权的系统或软件。
第十一条 计算机信息系统的子系统开发与并网须报经局领导审批后,方可进行。
第十二条 住建系统综合智慧平台系统具有相对的独立性,除政府部门和银行外,不得与任何内外系统和网站接口。
第十三条 网络内的系统软件、应用软件及信息数据要采取保密措施,实行专人管理,严禁非法转让技术软件和提供业务数据。
第十四条 远程通信传递的程序或数据,必须经过系统验证、检测无病毒后方可使用。
第十五条 有关系统安全事故处理应急预案的制订,由信息中心负责并组织实施。
第四章 数据安全管理
第十六条 信息中心根据数据的保密规定和用途,以及单位审批权限,确定使用人员的操作权限。
第十七条 业务数据的更改必须严谨操作,由业务部门提出,经履行审批程序后,由信息中心专人修改(审批单见附表一)。
第十八条 实行业务数据备份制,备份数据不得更改。
第十九条 所有信息备份数据必须由信息中心指定专人负责保管,编制管理目录。
第五章 系统用户管理
第二十条 住建系统综合智慧平台系统用户权限设置,由使用单位申请,相关业务科室审核,局分管领导批准后,由信息中心设置。
第二十一条 实行局域网与互联网用户物理分离,业务系统用户不得登陆互联网。严禁使用单位计算机玩网络游戏。
第二十二条 各单位的计算机系统口令由信息中心授权各单位自行设置,操作员不得擅自设定和修改口令。
第六章 网络安全维护
第二十三条 任何单位和个人不得利用互联网从事危害网络内部服务器、工作站的活动,不得危害或侵入未授权的服务器和工作站。
第二十四条 系统管理人员应定期对计算机信息系统进行病毒检测,发现病毒立即处理。
第二十五条 在岳阳市住房和城乡建设局政务网上发布的新闻类信息内容必须经过局办公室审批,其它信息的发布均由各相关科室审批,信息中心发布。
第二十六条 网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动。
第二十七条 任何单位和个人的上网行为将纳入监管,不得在网络上传送、录阅危害国家安全的信息(包括多媒体信息)和淫秽、色情资料。
第二十八条 信息系统用户不得以任何方式登陆进入服务器修改、删除数据或恶意攻击服务器和工作站。
第二十九条 为了有效防范网上非法活动,信息中心要落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。统一局域网出口管理、用户管理,采用国家许可的正版防病毒软件、硬件防火墙,及时更新病毒特征库和打好安全补丁。
第三十条 服务器历史记录保持时间不得低于60天。信息中心应不定期地检查服务器日志、记录,及时排除安全隐患。
第七章 安全监督
第三十一条 局办公室负责计算机信息系统安全管理工作的组织协调工作,信息中心负责信息安全保障监督管理的具体工作。
第三十二条 信息中心对计算机信息系统的安全保护工作主要行使下列监督管理职权:
(一)监督、检查、通报各业务部门计算机信息系统安全保护工作情况;
(二)查处危害计算机信息系统安全的行为;
(三)履行计算机信息系统安全保护工作的其他监督职责。
第八章 安全责任
第三十三条 各住建信息系统管理和使用单位为住建信息系统的责任主体单位。各责任主体单位应当对住建信息网络系统安全承担相应责任,对违反以上规定的单位和个人实行通报,涉及违反有关纪律和法律的由相关部门处理。
第三十四条 违反本办法第二十七条、第二十八条的,视情节轻重给予直接责任人和单位领导相应行政处分。造成重大影响和损失并构成犯罪的,依法移送司法机关处理。
第三十五条 违反本办法第五条、第二十六条的,给予行政处分,并在单位内公示;对他人或单位造成经济损失的,由责任人赔偿并关闭其拥有的各类服务帐号。行为恶劣、影响面大、造成重大损失并构成犯罪的,依法移送司法机关处理。
第三十六条 故意传播或制造计算机病毒及其它有害数据,危害岳阳市住房和城乡建设局信息网络系统安全的,按《中华人民共和国网络安全法》和《中华人民共和国计算机信息系统安全保护条例》第二十三条的规定予以处罚。
岳阳市住房和城乡建设局信息系统建设和管理办法
第一章 总 则
第一条 为了保障住建信息的安全和正常运转,保护住建信息资源不受侵犯,加强住建信息交流和利用,建立合理、科学、统一、安全、高效的信息平台,结合我局住建计算机信息管理的实际,制定本办法。
第二条 本办法主要规定了我市住建业务信息系统开发、数据管理、OA办公系统管理、涉密信息管理以及网络安全管理等。
第三条 信息中心负责全局计算机信息系统日常综合管理,各单位积极配合做好相关工作。
第二章 业务系统开发
第四条 业务系统开发遵循项目管理和软件工程的基本原则。项目管理涉及立项管理、项目计划和监控、配置管理、合作开发管理和结项管理。软件工程涉及需求管理、系统设计、系统实现、系统测试、用户接受测试、试运行、系统验收、系统上线和数据迁移。
第五条 业务系统建设的立项,必须由使用单位提出,经与信息中心商定后,填写《信息系统立项审批表》(样本见附表一),报市局确定。业务系统从立项开始,具体项目开发设计人员负责整理用户单位业务需求材料、立项文件和技术方案,由信息中心负责统一建档管理,安排专人建立归档日志,并安排专人保管。
第五条 业务系统开发文档和技术讨论会形成的会议纪要,分阶段由开发人员负责整理,按每周归集,交由信息中心保管,归档管理要求同上。
第六条 业务系统开发过程中产生的测试数据和系统测试报告由开发人员负责整理,并每周归集,交由信息中心统一管理,归档管理要求同上。
第七条 业务系统的日常维护工作,按系统管理要求执行。
第八条 业务系统在使用过程中,用户部门提出新的业务需求,必须与信息中心技术人员进行业务讨论确定,报局分管领导批准后进行开发。
第九条 业务系统技术交流,各技术人员必须根据来访单位的需求,与信息中心分管负责人协商后,并经局分管领导批准后,方可进行业务系统的技术交流。
第十条 业务系统的推广应用,必须有相关主管部门和业务部门的同意意见函,通报信息中心分管负责人,并经系统使用单位和信息中心共同商定后,方可进行业务系统的推广应用。如牵涉到重大业务调整,须报局分管领导同意。
第十一条 业务系统数据是业务系统最宝贵的部分,必须进行重点保护,及时备份。
第十二条 局属单位(科室)之间所需数据统计和业务系统数据报送,必须严格履行批准程序。业务系统统计数据由技术人员生成后,先报信息中心负责人审批,再报分管领导审批,方可报送。报送数据样本和审核单(样本见附表二)必须进行建档保存备查。住建局外部单位需要数据,审核单(样本见附表三)还必须经相关业务部门负责人审定后报分管领导同意,方可报送。
第十三条 业务部门须利用自身业务系统数据,参照上述程序进行。
第十四条 外部单位需与本局业务系统对接,实现数据共享,须经局主要领导同意,信息中心方可实施。
第三章 数据保密与备份管理
第十五条 根据数据的保密规定和用途,机房管理人员应确定使用人员的存取权限、存取方式和审批手续。
第十六条 任何人员未经批准,严禁泄露、外借和转移专业数据信息。
第十七条 机房管理人员应做好数据备份,确保系统遇有故障能快速恢复,备份数据不得更改。
第十八条 业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中保存,保存期限至少两年。
第十九条 备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据交接。备份数据应在指定的数据保管室或指定场所保管。
第二十条 备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
第四章 OA办公系统管理
第二十一条 OA办公系统是一个包括公文管理、会议管理、通告管理、工作管理等内容的自动化办公管理系统。局工作人员都配备了OA系统账户时间。所有人在条件许可的情况下(有办公用计算机上网的条件)可以使用OA系统交流。办公室管理人员上班时间必须打开OA系统,参加自动化办公。
第二十二条 信息中心负责OA办公系统用户的增删和用户权限的设置。各单位办公室管理人员有变动时,要及时通知信息中心修改OA相关信息。
第二十三条 OA办公系统用户权限设置:办公系统权限设置与日常行政管理、工作程序权限一致。
第二十四条 信息效力:通过OA系统发布的公文、通知、短信等各项内容均属有效信息,发布方必须对发布信息负责,受理方务必按行政管理程序落实。
第五章 涉密信息管理
第二十五条 凡被确认为涉密计算机或涉密网络,应加贴“涉密标识”或标明“涉密标记”,严格按保密工作要求管理;凡与政务内网联接的计算机和处理单位内部工作事务的计算机,也应按涉密计算机加强管理,严防秘密信息(含内部工作秘密)泄漏。
第二十六条 处理国家秘密信息或内部工作秘密信息的计算机严禁上国际互联网,如确需上国际互联网的,必须另行配备单独的计算机联系外网,做到内、外网分开使用。上国际互联网的计算机不能操作国家秘密或内部工作秘密信息。
第二十七条 加强对涉密计算机信息系统使用过程中的保密管理。对存储、处理、传递、输出的涉密信息,要有相应密级标识,不能与正文分离;存储国家秘密信息的计算机媒体,应按所存储信息的最高密级标明密级,并按密级的要求进行管理;存储在计算机信息系统内的国家秘密信息,应采取密码加密办法保护;存储过国家秘密信息的计算机媒体,不能降低密级使用,不再使用的媒体应及时销毁;存储过国家秘密信息的计算机的维修,应保证所存储的国家秘密信息不被泄漏;涉密计算机打印输出的涉密文件,应当按相应密级文件进行管理。
第二十八条 加强对涉密计算机安全管理。涉密计算机管理应明确责任人,责任人应认真做好计算机的日常维护保养、定期检测杀毒、及时故障排除,出现问题及时报告,并保存单机资料、备份文件以及整理硬盘等,确保机器正常使用;对重要涉密信息处理场所应有相应的管理制度,未经批准,无关人员不得入内;对涉密计算机信息要定期进行保密技术检查,及时消除各种泄密隐患,确保计算机信息安全保密。
第二十九条 不按规定管理和使用计算机,造成泄密事件的,或引起数据丢失,造成重大安全事故的,将依法依规追究责任。构成犯罪的,移送司法机关处理。