計算機信息系統(tǒng)數(shù)據(jù)安全管理規(guī)定

計算機信息系統(tǒng)數(shù)據(jù)安全管理規(guī)定第一章：總則第一條：為了加強對計算機信息系統(tǒng)數(shù)據(jù)的安全管理，確保網(wǎng)絡(luò)數(shù)據(jù)信息的安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等有關(guān)規(guī)定，結(jié)合實際，制定本規(guī)定。第二條：加強對計算機信息系統(tǒng)數(shù)據(jù)安全保護工作的目的是確保計算機信息系統(tǒng)正常運行，維護數(shù)據(jù)信息應(yīng)用工作的正常開展，預(yù)防、打擊利用或針對計算機信息系統(tǒng)數(shù)據(jù)進行違法犯罪活動的行為，提高計算機信息系統(tǒng)數(shù)據(jù)整體安全水平，凈化網(wǎng)絡(luò)信息環(huán)境。第三條：本規(guī)定中所指計算機信息系統(tǒng)數(shù)據(jù)是指各常規(guī)工作中所建立和存儲在電子設(shè)備和計算機內(nèi)的業(yè)務(wù)、財務(wù)、人事，個人信息等電子數(shù)據(jù)。第四條：計算機信息系統(tǒng)數(shù)據(jù)安全保護工作逐級建立數(shù)據(jù)安全管理領(lǐng)導(dǎo)問責(zé)制和崗位責(zé)任制，加強制度建設(shè)，逐步實現(xiàn)數(shù)據(jù)安全管理的科學(xué)化、規(guī)范化。第五條：計算機信息系統(tǒng)內(nèi)部數(shù)據(jù)實行安全等級保護，計算機信息系統(tǒng)數(shù)據(jù)的建設(shè)和存儲應(yīng)符合相應(yīng)的安全等級標(biāo)。第二章：計算機信息系統(tǒng)安全管理第六條：建立計算機信息系統(tǒng)安全登記備案制度。確定系統(tǒng)安全，數(shù)據(jù)安全。第七條：對計算機信息系統(tǒng)建立定期風(fēng)險分析和安全評估制度。計算機信息系統(tǒng)必須裝有防毒殺毒軟件，并定期進行病毒檢驗；與互聯(lián)網(wǎng)相聯(lián)的計算機信息系統(tǒng)要有防止非法入侵措施。第八條：計算機信息系統(tǒng)必須有全面、規(guī)范、嚴格的用戶管理策略或辦法。計算機信息系統(tǒng)的主要硬件設(shè)備、軟件、數(shù)據(jù)等要有完整可靠的備份機制和手段，并具有在要求時間內(nèi)恢復(fù)系統(tǒng)功能以及重要數(shù)據(jù)的能力。對重要計算機信息系統(tǒng)及設(shè)備要有應(yīng)急處理預(yù)案。第九條：計算機信息系統(tǒng)主機或存儲設(shè)備發(fā)生故障時，要盡量現(xiàn)場維修；確需要送出維修時，注意去掉存儲部件或刪除數(shù)據(jù)。第十條：嚴格計算機信息系統(tǒng)客戶機接入管理。只有經(jīng)過系統(tǒng)管理員批準并經(jīng)過安全登記備案的才能接入計算機信息系統(tǒng)，嚴禁未經(jīng)批準接入外來筆記本電腦、計算機系統(tǒng)或其他配件。接入計算機信息系統(tǒng)。第十一條：各類計算機信息系統(tǒng)的安裝、升級、調(diào)試和維護由系統(tǒng)管理員負責(zé)。第三章：互聯(lián)網(wǎng)安全管理第十二條：堅持“涉密計算機不上互聯(lián)網(wǎng)，非涉密計算機不處理涉密信息”的原則。涉及秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，也不得與業(yè)務(wù)內(nèi)網(wǎng)相聯(lián)接，必須實行物理隔離。筆記本電腦不允許啟用無線網(wǎng)卡，以避免泄密。第十三條：1對重要或涉密數(shù)據(jù)的存儲和傳輸應(yīng)進行加密處理。對重要或涉密數(shù)據(jù)的存儲介質(zhì)，應(yīng)采取必要的安全保護措施，并建立相應(yīng)的登記管理制度。對保密信息不得遺失、泄露。未經(jīng)同意，涉密計算機不得使用U盤、移動硬盤、刻錄機等相關(guān)設(shè)備。第十四條：對廢棄的涉密數(shù)據(jù)要嚴格按照保密要求進行清零覆蓋處理。第十五條：接入互聯(lián)網(wǎng)的計算機應(yīng)具備必要的防黑客攻擊、防病毒以及過濾有害信息等安全技術(shù)措施。對計算機、服務(wù)器賬戶均設(shè)置密碼，各種賬戶和密碼嚴格保密。根據(jù)信息的安全規(guī)定和權(quán)限，確定使用人員的存取、使用權(quán)限。通過網(wǎng)絡(luò)傳送的程序或信息，必須經(jīng)過安全檢測，方可使用。各類操作人員必須具有病毒防范意識，做好計算機病毒的預(yù)防、檢測、清除工作，及時升級防病毒系統(tǒng)，定期進行病毒的查殺，發(fā)現(xiàn)病毒要及時處理，并做好記錄。防止各類針對網(wǎng)絡(luò)的攻擊，保證數(shù)據(jù)安全。第十六條：建立互聯(lián)網(wǎng)信息發(fā)布的審核和登記制度，堅持“先審后貼”“誰上網(wǎng)誰負責(zé)”的原則，凡向互聯(lián)網(wǎng)的站點提供或發(fā)布信息，必須經(jīng)過發(fā)布部門的保密審查批準，并由專職部門負責(zé)統(tǒng)一發(fā)布，同時做好審核登記記錄。未經(jīng)允可，任何人員不得將數(shù)據(jù)信息以任何形式發(fā)布到互聯(lián)網(wǎng)上或?qū)ν馓峁?，防止?shù)據(jù)泄密。第十七條：不得利用互聯(lián)網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動。第四章數(shù)據(jù)維護及備份管理：第十八條：各計算機信息應(yīng)用系統(tǒng)本著'誰應(yīng)用誰負責(zé)”的原則，將數(shù)據(jù)安全管理方案、數(shù)據(jù)備份策略、管理流程和人員組織情況登記備案。第十九條：系統(tǒng)管理員要嚴格遵守數(shù)據(jù)備份策略，及時做好數(shù)據(jù)的備份工作。嚴格數(shù)據(jù)庫管理員口令管理，要定期更換數(shù)據(jù)庫管理員口令。在系統(tǒng)升級或數(shù)據(jù)有較大變動情況時必須備份并長期異地保存；重要數(shù)據(jù)讀入系統(tǒng)后應(yīng)及時備份。第二十條：數(shù)據(jù)備份采用在線存儲與脫機介質(zhì)兩種形式進行雙備份。一方面要將數(shù)據(jù)備份到非本機的存儲設(shè)備上；另一方面?zhèn)浞莸矫摍C介質(zhì)上，脫機備份要實行本地與異地雙存儲。第二十一條：重要數(shù)據(jù)必須定期、完整、真實、準確地備份到不可更改的介質(zhì)上，并要求做到集中和異地雙備份保存。對長期保存的數(shù)據(jù)光盤等備份介質(zhì)，應(yīng)每年進行一次以上檢查，以防止存儲介質(zhì)損壞造成損失。第二十二條：備份數(shù)據(jù)資料保管地點應(yīng)有防火、防潮、防塵、防磁、防盜等安全設(shè)施。廢棄的數(shù)據(jù)信息存儲介質(zhì)要嚴格按照保密要求進行粉碎處理。第二十三條：系統(tǒng)出現(xiàn)故障和遭到破壞時，由系統(tǒng)管理員負責(zé)完成數(shù)據(jù)恢復(fù)工作，系統(tǒng)管理員必須保證備份數(shù)據(jù)能夠及時、準確、完整地恢復(fù)。確因特殊原因不能恢復(fù)的，應(yīng)及時向分管領(lǐng)導(dǎo)匯報，妥善處理。第二十四條：對數(shù)據(jù)的各項操作實行管理，嚴格監(jiān)控操作過程，對發(fā)現(xiàn)的數(shù)據(jù)安全問題，要及時處理和上報。第二十五條：系統(tǒng)管理員不得直接對后臺數(shù)據(jù)庫進行數(shù)據(jù)更改操作，確需后臺操作的，必須上報分管領(lǐng)導(dǎo)批準，并事先對數(shù)據(jù)庫進行備份后進行，同時，詳細記錄操作過程及數(shù)據(jù)更改情況存檔備查。第六章人員管理建立計算機信息系統(tǒng)安全管理人員的錄用、考核制度，不能勝任工作的人員必須及時調(diào)離。涉密人員應(yīng)