您当前的位置:首页> 专栏> 武进区信用专栏> 信用动态> 内容
本办法明确信用信息供需双方共享交换信息的安全保密协议制度,保证信息资源在采集、存储、备份、访问授权、传输、使用等过程中的安全。
第一条为强化武进区公共信用信息平台(下称:信用信息平台)信息安全管理,保障信用信息平台安全和稳定运行,特制订本规范。
第二条信用信息平台安全等级标准须达到中华人民共和国国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)中规定的第三级基本要求。
第三条武进区信用办制定信用信息平台信息安全策略和原则;研究决定信用信息平台信息安全的重大事项;组织和领导信息安全工作。
第四条信用信息中心按照职责开展信息安全管理工作;负责组织制定信用信息平台信息安全方案并组织实施;组织开展信息安全普及教育等工作。
第五条为加强信用信息平台信息安全管理,提高全员信息安全意识,安全管理部门须开展信息安全培训。
第六条培训内容主要包括:《中华人民共和国保守国家秘密法》及其配套法规;《信息系统安全等级保护基本要求》;党中央、国务院、地方政府有关信息安全工作的重要会议精神;安全形势和任务以及安全技术防范措施;安全管理制度,安全知识等。
第七条培训的具体要求
(1)采取中心集中培训方式,每半年至少组织一次,也可结合实际适时开展。培训应有文字记录备查(内容包括:组织部门、负责人、培训方式、日期、培训内容、培训老师、培训人员名单)。
(2)安全管理部门制定安全培训大纲,提供培训内容和组织安排。
第八条系统工作人员初任时须接受安全培训。
第九条设备与介质管理包括设备与介质的购置、使用、维修、储存管理等几个方面。对所有设备与介质均应建立项目齐全、管理严格的购置、移交、使用、维护、维修、报废、销毁等登记制度,并认真做好登记及检查工作,保证设备与介质管理工作正规化。
第十条设备采购原则
(1)原则上采购国产设备。
(2)安全产品必须采购国家安全行政主管部门认可的产品。
(3)防病毒产品必须采购公安机关批准的产品。
(4)采购进口设备、产品,应通过安全技术检查。
第十一条采购责任部门为综合业务处。严格按照上述采购原则,填写《设备/介质采购申请表》,经安全管理部门审查和领导小组批准后方可进行采购。
第十二条信息设备到货后,综合业务处负责接货验收、登记建帐、粘贴标识,填写《设备/介质采购记录表》。
第十三条设备使用部门应填写《设备/介质使用申请表》,经安全管理部门审批同意后,到综合业务处办理领用手续。
第十四条设备的安装须严格按照相关设备的安装要求和操作规范执行。
第十五条设备变更管理。需对信息设备变更(主要包括责任人、设备使用地点变更)时,填写《设备/介质变更申请表》,经安全管理部门审批。
第十六条信用信息平台内注册使用的设备和移动存储介质不得携带外出。因工作需要携带外出的设备和介质,应经本部门和安全管理部门批准。
第十七条设备维修和报废管理
(1)信用信息平台的服务器、外部设备、终端计算机等出现故障需进行维修时,应向相关单位提出维修申请,填写《设备/介质维修申请表》,经批准后由专业技术部门负责维修。
(2)系统设备在维修期间指定有关人员全程旁站陪同,严禁维修人员恢复、读取和复制被 维修设备中的信息。禁止通过远程维护和远程监控的方式进行维修和维护。
(3)存储介质需要外出进行数据恢复的,应经审批同意后,由具有安全及保密信息系统数 据恢复资格的单位进行维修,并由专人负责送取。
(4)应对信息系统设备的所有维修情况进行日志记录,填写《设备维修记录表》,记录内容包括维修对象、故障原因、排除方法、主要维修过程等内容。
(5)信息系统设备需要报废时,应提出申请,填写《设备/介质报废申请表》,经批准后,将所有存储过信息的硬件和固件拆除,交安全管理部门负责销毁。
第十八条严禁将外来的以及未注册、未标识的移动存储介质接入系统。
第十九条加强存储设备的接入管理,所有接入系统的终端计算机的存储设备,均应经过病毒与恶意代码检查。
第二十条软件是系统运行必不可少的组成部分,应保证在信用信息平台中对所有软件的有效管理,保证系统安全运行。
第二十一条软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护管理。
第二十二条软件的采购、安装和测试
(1)信用信息平台所使用的操作系统、应用软件、数据库、安全软件、工具软件必须是正式版本,严禁使用测试版软件。如需采用共享版软件,必须由管理员进行严格测试。
(2)重要的操作系统和主要应用软件必须在安全管理员的监督之下进行安装。
第二十三条软件的登记和保管
(1)软件安装后,原件(盘)应进行登记造册、归档并由专人保管。
(2)软件更新后,软件的新旧版本均应登记造册、归档并由专人保管。
第二十四条软件的使用和维护
(1)系统管理员和安全管理员共同负责维护操作系统、应用软件、数据库、安全软件和工具软件,并对系统运行情况进行记录。
(2)定期对操作系统、应用软件、数据库、安全软件和工具软件进行审核审计,分析与安全有关的事件,修复安全漏洞。
(3)软件更新后,须重新审查系统安全状态,必要时对安全策略进行调整。
(4)对于进入现场的软件维护升级人员,须由专人陪同,严禁自带有存储功能的设备,并严格控制其访问的权限和内容。
第二十五条技术文档是指对信息系统设计研制、开发、运行、维护中所有技术问题的文字描述,它反映了系统的构造原理,表示了系统的实现方法,为系统维护、修改和进一步开发提供了依据,应指定专人管理。
第二十六条技术文档管理人员应根据系统的变化情况及时更新系统文档资料,使之与实际情况保持同步。
第二十七条借阅、复制技术文档要履行相应的手续,包括申请、审批、登记、归档等必要环节,并明确各环节当事人的责任和义务。
第二十八条对重要技术文档应考虑双份以上的备份。
第二十九条对报废的技术文档,经安全管理部门审批后,由管理人员送指定的销毁部门进行销毁。
第三十条为保障信用信息平台的安全运行,需要规范系统运行管理操作。
第三十一条安全管理员应制定文档化的安全策略文件,并根据环境、系统和威胁变化情况及时调整更新。定期对系统内安全设备的安全策略规则进行审核。
第三十二条安全策略尽量精简、全面、层次清晰,力求建立纵深防御系统,将系统风险降到最低。
第三十三条加强系统配置的管理,系统配置变更应经过系统管理员和安全管理员的认可或同意。
第三十四条系统的配置变更必须记录相应的操作日志,日志包括操作时间、执行命令等,由安全审计员审计,生成审计记录,并对变更后对系统所造成的影响进行分析。
第三十五条系统管理员应及时提供系统的变化情况,安全管理员根据系统变化情况进行风险评估,及时调整系统保护策略。
第三十六条操作人员离开系统时,应退出系统或进行系统封锁。
第三十七条未经允许,任何人不得以任何方式对系统服务器、网络设备进行登陆、设置、修改、删除等操作。
第三十八条定期对系统运行情况和用户操作行为进行安全法规、标准的符合性检查。
第三十九条系统管理员随时监控设备运行状况,发现异常情况应立即按照规程进行处理,并及时上报、作详细记录。
第四十条不定期地组织检查计算机日志﹑设备操作日志等。
第四十一条系统“三员”应权限分离,不存在超级管理员。
第四十二条系统管理员、安全管理员、安全审计员均需设置口令密码,口令设置应满足:
(1)口令长度不少于八位。
(2)采用组成复杂、不易猜测的口令,应由大小写英文字母、数字和特殊字符中两者以上的组合。
(3)若采用人工输入口令字方式,应记住自己的口令字,不应把它记载在不保密的媒介物上,严禁将口令字贴在终端计算机上。输入的口令字不应显示在显示终端上。
(4)口令至少每三个月更换一次。
(5)口令的存储和传输必须加密,口令的修改、删除必须有专门授权者执行,并做记录。
第四十三条系统管理员和安全管理员根据申请用户的实际工作情况给出其最小授权权限分配策略和权限范围。
第四十四条系统管理员对系统用户清单进行管理,建立完整的系统用户清单,及时更新并定期报相关部门领导和报安全管理部门备案。
第四十五条系统用户删除时,须经相关部门、安全管理部门审批后,通知安全管理员进行废除权限等处理和备案。
第四十六条安全管理员应每月核查用户清单,发现异常时应及时上报本部门领导并作相应处理。
第四十七条用户身份标识由安全管理部门统一授权并备案。
第四十八条安全管理员应定期(不长于一个月)检查与用户身份标识相关的日志,发现异常情况,应及时向安全管理部门汇报。
第四十九条网络边界设备应配置访问控制策略,明确最小授权权限分配策略,并将所有用户的权限明细文档化。定期(不长于一个月)审查权限列表,发现异常情况,应及时向部门和安全管理部门汇报。
第五十条应用系统应具备细粒度的访问权限分配功能,可按照用户权限分配访问控制权限。
第五十一条应加强系统安全检测,及时发现系统不安全因素。
第五十二条安全管理员应利用安全漏洞扫描工具和入侵检测工具对系统存在的已知安全漏洞和攻击行为进行检查,并编写安全性分析报告,为提高系统安全整体水平提供重要依据。
(1)使用经国家主管部门认证的漏洞扫描工具、入侵检测等工具。
(2)每周至少一次察看入侵检测记录,每月至少进行一次漏洞扫描。
(3)安全管理员对检测结果进行记录,对发现的问题及时进行处理,每月向安全管理部门提交入侵检测和漏洞扫描处理报告。
第五十三条为加强信用信息平台的安全工作,必须防止计算机病毒、恶意代码对系统的侵害。
第五十四条管理要求
(1)安全管理员负责防病毒体系的部署规划和查杀策略,逐步完善病毒防护措施,并对所有的防病毒产品进行有效管理。
(2)安全管理员应及时更新病毒库和恶意代码样本库,间隔不超过七天;每周检查更新日志文件,确保正确更新了病毒库和恶意代码样本库。
(3)在发现计算机病毒疫情时,安全管理员应及时采取有效的措施,对不能解决的情况,要作为安全事件及时向领导报告,对染毒次数、杀毒次数、杀毒结果进行详细说明。
(4)安全管理员应在补丁程序发布 3 个月内更新补丁库,并通过检查日志文件的方式确保补丁成功下发。如出现补丁无法安装的情况,应及时上报主管领导。
(5)安全管理员根据系统审查和系统安全扫描的状况,及时调整所采取的计算机病毒查杀策略,如不能决定的,应及时向安全管理部门报告。
(6)防病毒软件对计算机操作系统和系统文件等进行自动检查和清除,安全管理员每周分析与计算机病毒相关的事件,向安全管理部门提交病毒处理报告。
(7)安全管理员应及时发布计算机病毒疫情的通告,提高系统用户对计算机病毒的防治意识。
第五十五条系统终端要求
(1)信用信息平台中所有的计算机必须安装指定的杀毒软件产品。
(2)系统终端应每周进行至少一次病毒查杀,及时清除病毒,终端用户不得自行关闭杀毒软件的实时监控功能。
(3)系统终端如没有自动升级病毒库版本,终端用户应及时通知系统管理员。
(4)系统终端必须安装安全补丁,终端用户必须接受升级服务,以便自动获取补丁。
(5)严禁在计算机上随意安装软件。如需安装与工作有关的软件,须经安全管理部门审批后才能安装使用。
(6)使用移动存储介质拷贝文件时,须进行病毒的查杀。
(7)如发现系统终端出现如下现象时,应及时通知系统管理员,并保护现场(暂时停止工作以防止病毒的扩散):
① 系统终端瘫痪,程序和数据被破坏,或者网络出现故障等。
② 屏幕显示异常,屏幕显示出不是由正常程序产生的画面或字符串,屏幕显示混乱。
③ 程序装入时间增长, 文件运行速度明显下降。
④ 用户没有访问的设备出现工作信号。
⑤ 磁盘出现莫名其妙的文件和坏块, 卷标发生变化。
⑥ 系统自行引导。
⑦ 丢失数据或程序, 文件字节数发生变化。
⑧ 内存空间、磁盘空间异常减小。
⑨ 异常死机。
⑩ 磁盘访问时间比平时显著增加。
⑪ 系统引导时间增长。
第五十六条数据安全要求
(1)需制定数据库备份恢复策略。应从数据库级别、数据库最大允许中断时间、数据更新速度、数据最大丢失度等方面综合考虑数据备份措施,备份措施应满足系统的应用需求。
(2)关键业务数据库备份措施必须经过测试以验证备份正确、可用,且应有测试相关记录,记录中应包含测试时间、测试人员、测试对象、测试过程、测试结果等相关信息。
(3)关键业务数据库备份介质应有一份独立的副本,防止在异常事故发生时被同时破坏。数据库备份环境应保证备份数据安全,数据库系统与备份环境间应具有快捷安全的传输通道。
(4)对重要系统的数据库服务器等进行备份,并对关键数据库服务器采用热备份等。
(5)备份恢复方案应保证在出现灾难性崩溃的时候,在 12 小时内恢复数据库的使用,数据损失不超过 24 小时。如果应用系统对数据有特殊的要求,应根据应用系统的要求制定特殊的数据库备份恢复计划,以确保数据库中数据的安全。
(6)数据必须每天进行备份,并由专人每天检查备份情况,确保备份成功。对配置信息更改后,需立即对配置信息进行备份。
第五十七条定期地将重要的数据资料备份至其他存储介质(如硬盘、光盘等)上,当系统数据崩溃时能够使用备份数据快速恢复系统,确保系统数据的安全。
第五十八条数据备份方法
(1)文件数据的备份:包括对服务器上的数据文件、日志文件的备份。
(2)数据库的备份:对于数据量较大、实时使用的数据库,使用专用的数据库备份工具备份。
(3)系统的备份与恢复:通过专用软件和技术,实现系统的快速恢复,避免重新安装系统的复杂过程。
第五十九条数据备份周期
(1)对于非常重要的数据,随时修改,随时备份。
(2)对于周期性变化的数据,可在一个变化周期结束后进行备份。
(3)对于系统运行参数,应在系统正式投入运行后,对参数进行记录或备份,并在每次系统修改后再次记录或备份。
(4)对数据库每天增量备份,每周全量备份。
(5)对服务器和安全设备中的安全日志,每月备份一次。
第六十条数据恢复
(1)当系统和数据受到损害时,要及时利用备份数据予以恢复。
(2)结合日志等手段将数据尽可能地恢复到最近的或指定的时点。
(3)备份及恢复工作应做好记录。
第六十一条为了保证信用信息平台安全可靠运行,防止操作错误,预防和发现违规操作,通过计算机信息系统审计,发现问题,保存审计记录和审计日志,调整安全策略,降低安全风险。
第六十二条安全审计管理
(1)安全审计由安全审计员执行。
(2)安全审计内容参见“安全审计员职责”。
第六十三条审计日志管理
(1)审计日志是记录系统安全状态和问题的依据,安全审计员负责备份、保存和调阅审计日志。
(2)对审计的安全事件及时分析和处理,并对处理结果进行记录。
(3)每周查看安全审计记录,并作审查记录。
第六十三四条应加强对信用信息平台紧急事件的响应速度,尽快恢复系统正常运行,将损失降到最低。
第六十五条紧急事件
紧急事件是信用信息平台面临的各种危害系统安全、影响系统运行等的安全事件。
(1)紧急事件范围
① 系统和业务数据遭到破坏、篡改或窃取。
② 当硬件不能正常发挥其部分功能或全部功能时。
③ 当软件不能正常发挥其部分功能或全部功能时。
④ 当软件受到计算机病毒的侵害,局部或全部数据和功能受到损坏,使系统不能工作或工作效率急剧下降。
⑤ 当出现意外停电而又无后备供电措施。
⑥ 当受到自然灾害的破坏,如:地震、水灾、火灾、雷电。
(2)紧急事件的分类及等级划分
① 应根据紧急事件所涉及的范围进行分类,如:泄密事件、网络安全事件、应用安全事件、平台安全事件、操作异常事件等。
② 应根据紧急事件的影响程度划分等级。
一般等级:不涉及窃取信息活动,造成的损失较小的紧急事件为一般等级,如病毒、设备损坏等;
重要等级:不涉及窃取信息活动,造成的损失较大,要求紧急处理的紧急事件为重要等级,如自然灾害、系统受到攻击等;
严重等级:涉及窃取信息的紧急事件为严重等级,如数据遭到窃取等。
(3)事件监测
应根据相关管理规定,结合安全审计等措施对紧急事件进行监测并记录。
第六十六条紧急事件处理
(1)当遇到一般等级的紧急事件时,系统管理员应立即进行处理,并记录;如在 2 个小时内仍然无法解决,应向本部门领导报告。
(2)当遇到重要等级的紧急事件时,系统管理员应立即采取措施,减小损失,同时要立即向主管领导或安全管理部门报告。由安全管理部门负责组织处理。
(3)当遇到严重等级的紧急事件时,应立即停止系统的运行,报安全管理部门和主管领导,并通过口头及书面形式向领导小组如实报告。由领导小组组织处理,迅速对泄密源头、系统隐患、风险等进行排查,确定原因,进行整改。只有在对系统安全进行评估后,系统方能重新运行。同时应对事件类型、发生原因、影响范围、补救措施和最终结果等进行详细记录并备案。
(4)系统管理员和安全管理员应对紧急事件进行分析,通过技术和管理手段查找原因,并及时调整相关安全策略。
第六十七条应急计划
安全管理部门制订应急计划,经领导小组审批,定期组织演习,并针对演习结果进行评估与改进。
(1)应急计划要求:
① 结合实际适时更新应急策略的相关规定。
② 应条理清楚、语言简洁、步骤分明、具有较强的可操作性。
③ 应有明确的负责人与各责任人的职责。
④ 应有利于培训和实施演习。
(2)应急计划内容:
应包括紧急措施、资源备用、恢复过程、演习和应急计划等关键信息。
① 紧急措施:制定对紧急事件的响应程序。
② 资源备用:
软件资源备用:对每一信息资源需要有足够的备份,并将备份存放于攻击和灾害不能涉及的地方。关键数据应采取异地系统备份。
设备备用:在工作现场可以有主板、硬盘等备件,及备用的外部设备。系统中的关键设备和信息安全产品可采用双机热备份。
电源备用:应配置不间断电源,一般不间断电源应可在断电后维持工作半小时以上。
③ 恢复过程:应制定恢复过程计划,并按照计划实施具体恢复工作。系统管理员负责组织实施系统恢复工作;安全审计员审计恢复过程;主管领导现场监督。
④ 演习:应定期进行应急计划的演习,使每个工作人员知晓应急知识和在应急计划中应采取的措施及应负的责任,以利于紧急事故出现时能迅速执行应急计划。
⑤ 应急计划关键信息:应急计划关键信息应张贴在显著和方便的位置,应急计划关键信息包括火警电话、报警电话、应急负责人电话。
规定系统的信息安全要求,以保证信用应用系统访问、获取信用数据过程中的信息安全。在获取和使用各业务部门数据的过程中,需签署数据使用和保密协议,同时应做好用户身份认证工作。信用系统的物理安全、网络安全、主机安全等方面由市大数据中心云平台保障。
第一条 武进区公共信用平台(下称:信用信息平台)工作环境应参照《电子计算机机房设计规范(GB50174-93)》、《计算站场地技术条件(GB2887-89)》和《计算站场地安全要求(GB9361-88)》等标准建设。
第二条 对主机、存储、应用服务器等关键设备设置冗余或并行的电力电缆线路,建立备用供电系统;对关键设备应实施电磁屏蔽;对工作机房,设立门禁系统控制。通过一系列安全保障措施,满足等保三级对物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等的要求。
第三条 信用信息平台基础设施设计与系统运行情况相符的网络拓扑结构图,提供的网络设备的业务处理能力具备冗余空间,满足系统业务高峰期需要。
第四条 提供合理的网络带宽,满足信源单位数据报送时大数据文件报送需求,以及网络发生拥堵时中心数据处理、数据交换和主题库生成等业务处理需求。
第五条 遵循等保三级要求,设计通过防火墙、WEB 防火墙等设备,建立各终端用户与业务服务器之间安全的访问路径,满足对不同用户服务配置不同网段地址和访问控制要求。
第六条 防火墙制定考虑过滤规则,过滤掉非法数据包。对于从内部网流向外部的数据包,在防火墙上也定义过滤规则,以过滤掉非法的数据包。
第七条 网络入侵检测系统执行网络级的安全审计功能,对网络上的安全违例事件进行识别和检测,是网络防火墙等防御手段的合理补充。
第八条 配置漏洞扫描系统负责定期或不定期地对网络、主机、数据库进行安全扫描和检测,及时发现新的安全漏洞并予以补救。
第九条 非法外联监控系统利用先进的监控技术手段,发现内部网计算机非法接入互联网和外来主机接入内部网等行为,及时告警切断非法的连接,从而保障内部网与外界的完全隔离,确保内部机密信息的安全。
第十条 病毒防治系统负责对各类计算机病毒的检测与杀灭,其主要功能包括病毒预防、病毒诊断、病毒杀灭、网络病毒检测。制订日常严格的防病毒制度和出现病毒事件时的应急响应流程,严格控制并阻断计算机病毒的来源,当病毒事件发生时,按照一定的合理的响应程序进行处理。
第十一条 利用主机监控和审计对计算机操作行为进行全面监控,对局域网的计算机硬件进行监控,通过技术手段使各种管理条例落实, 增强用户的安全和保密意识, 保护内部的信息不外泄。
第十二条 主要利用操作系统本身提供的安全机制和性能,通过科学合理的设置来保障主机设备使用安全。
第十三条 对重要服务器和网络设备实行双机热备以避免单点故障。
第十四条 及时检测、发现操作系统存在的安全漏洞并做出正确的处理。
第十五条 利用用户名、密码及动态验证码,结合身份认证系统,进行统一用户身份鉴别和安全控制。
第十六条 通过权限设置、操作审计及管理对用户级的访问权限、数据权限、安全审计等权限进行控制。
第十七条 信用信息平台具有灾备能力保证数据安全。
第十八条 系统数据涉及个人隐私,按等保三级要求,对系统的数据库系统及数据必须进行安全保护,通过数据库审计软件等实现主机和数据库的安全保护,通过等保三级安全技术实现数据库及数据的安全。
第十九条 数据库系统采取了设置应用中间件的策略,保证除系统的应用以外的用户不能直接访问中心数据库。
第二十条 对系统中使用的各类优盘、前置机等数据存储介质实施严格的安全管理, 按照其内容的重要程度实施分级的安全管理和控制,并对关键存储介质的存储和维护过程进行管理,确保介质中存储信息在保存和使用过程中的安全性,达到数据应急恢复与灾难恢复的要求。
第二十一条 数据文件交换时应采用专用存储介质,该存储介质只能在指定的终端上使用。
第二十二条 对各数据库用户,设定合适的用户访问权限,允许命名用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问;建立数据库用户数据库访问控制目录,确定各用户主体对客体的访问权限;自主访问控制应与身份鉴别和数据库审计相结合,粒度为用户级和表级,部分用户达到记录、字段级;所有数据库用户限制授权传播,由数据库管理系统自动检查并限制。
第二十三条 建立统一的数据库安全审计,安全审计配置应与用户标识与鉴别、自主访问控制、标记与强制访问控制等紧密结合;对标记为敏感的用户和标记为敏感的数据表加强审计监控,并及时告警;
第二十四条 数据库安全审计系统提供审计日志、实时报警生成,潜在侵害分析、基于异常检测,基本审计查阅、有限审计查阅和可选审计查阅,安全审计事件选择,以及受保护的审计踪迹存储和审计数据的可用性确保等功能。
第二十五条 数据库安全审计系统能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,保护审计数据严格限制未经授权的用户访问;能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏。
第二十六条 系统平台的安全管理工作包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查,需要建立配套的管理制度。
第二十七条 安全管理制度包括管理制度、制定和发布、评审和修订、人员安全管理、人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。
第二十八条 配套的管理措施包括对关键设备机房制定严格的场地与设备安全管理规章制度,落实专人负责对机房和关键物理设备的安全管理,以及物理安全的应急反应计划,提高关键设备在紧急状况下的生存能力。
第二十九条 通过各种形式对系统的内部工作人员进行安全意识教育和安全策略相关的安全操作的培训,使每个工作人员明确自身的信息安全防范责任并掌握有关安全产品的基本操作技能。
第三十条 系统建设管理包括系统定级、安全方案设计、产品采购、软件开发、工程实施、测试验收、系统交付、系统备案、安全测评、安全服务商选择。按照相应的管理制度,管理工作支撑。
第三十一条 系统运维管理包括环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。除备份与恢复外,其他有管理制度及系统运维管理、安全管理平台提供支撑。
提高武进区信用办处理安全突发事件能力,将突发事件造成的损失降至最小程度。
本预案适用武进区信用办处置对武进区公共信用信息平台及门户网站业务工作(下简称平台)产生重大影响的信息系统安全突发事件,包括:
(1)网络故障严重影响平台业务;
(2)计算机系统(包括主机、服务器、存贮设备,操作系统及数据库,下同)故障严重影响平台业务;
(3)供电系统等外围保障设施故障引起网络或系统的瘫痪,严重影响平台业务;
(4)病毒(包括恶意软件、黑客,下同)攻击引起网络或系统的瘫痪,严重影响平台业务;
(5)利用技术手段造成业务数据被篡改、假冒、泄漏、窃取,严重影响平台业务。
信息系统安全应急工作,应当遵循预防为主、常备不懈的方针,贯彻统一领导、快速反应分级处置、协调配合的原则。
(1)加强预防。增强忧患意识,居安思危,常抓不懈,防患于未然。坚持预防与应急相结合,常态与非常态相结合,做好应对信息系统突发事件的思想准备、预案准备、组织准备以及技术准备等。
(2)统一领导。信息系统突发事件应急工作启动、处置对策、对外联络、队伍调动、物资调配等均由应急指挥部做出决策,各级部门必须坚决服从应急指挥部的指令。
(3)快速反应。建立预警、应急响应和处置快速反应机制,确保各环节的衔接,做好人力、物力、财力储备,增强应急处理能力,保证一旦出现突发事件,能够迅速启动应急处置系统。
(4)分级处置。根据信息系统突发事件发生的影响范围、性质和危害程度,分成三个等级进行防控、处置。发生不同等级突发事件时,启动相应级别的应急指挥系统和处置方案。
(5)协同配合。根据突发事件的性质和影响范围,除向上一级有关单位报告外,还应及时通报有关部门,搞好协调配合,共同做好突发事件的处置工作。
武进区信用办成立平台信息系统安全应急处理工作组,在武进区信用办突发事件应急指挥部领导下开展工作。
负责组织修订平台信息系统安全应急预案,制定完善应急处置方案,建立预警监测、应急处置和响应机制;负责召集应急管理专题会议;负责决定启动和终止应急预案;负责对平台应急资源统一指挥调配,处理信息系统安全突发事件;负责及时向上级报告应急响应情况;负责善后工作和突发事件调查、通报工作。
(1)一级突发事件
平台发生故障,严重影响平台业务,导致业务中断 0.5 小时以上,并预计 1 小时内无法恢复的,即可认定为一级突发事件。
(2)二级突发事件
平台发生故障,严重影响平台部分业务,业务中断 15 分钟以上,并预计 0.5 小时内无法恢复的,即可认定为二级突发事件。
(3)三级突发事件
平台信息系统发生故障,影响某个业务应用,导致该业务中断 0.5 小时以上,并预计 1 小时内无法恢复的,即可认定为三级突发事件。
武进区信用办信用信息管理处平台信息系统安全应急处理工作组根据突发事件的发生范围、性质和影响程度,决定启动信息系统安全应急预案。武进区信用办其他部门启动信息系统安全应急预案,涉及平台的,由平台网站信息系统安全应急处理工作组决定是否启动预案。
(1)报告程序
平台运维人员一旦发现严重的信息系统安全突发事件,须立即向平台信息系统安全应急处理工作组报告,并于 1 小时内以书面形式补报。在发生对平台造成重大影响的信息系统突发事件后,相应的技术人员及时向平台信息系统安全应急处理工作组通报情况。
(2)报告内容
信息系统突发事件发生的时间、地点、过程、状况、原因及影响等。信息系统突发事件发生后已经采取的措施及控制情况等。
平台系统运维人员发现突发事件后,立即通过邮件、电话、短信等方式通知平台安全运维人员。平台安全运维人员核实报告内容,判断事件发生原因,反馈给系统运维人员。同时进行紧急处置,防止事件进一步扩大。系统运维人员汇总事件原因、影响等情况,初步判断事件等级,并及时向平台信息系统安全应急处理工作组报告。平台信息系统安全应急处理工作组在接报后,应立即确定安全事件等级,决定是否启动相关应急处置机制,并将处置的动态过程随时向武进区信联办的领导报告。
应急工作组必须在最短时间内到达突发事件发生现场,采取相应的行动:分析突发事件的起因,判断需要的处理时间,及时上报武进区信用办领导;根据事件性质、级别,采取相关技术应急处置方案;根据需要,及时寻求相关部门和线路运营商、设备厂商、服务提供商的紧急支援;按照事件级别及对业务影响程度,决定是否启动业务应急预案,各个运维人员配合开展应急处置工作;做好处理工作记录,随时向武进区信用办领导报告突发事件的处理进展情况。
突发事件完全解决后,应急处理工作组才能撤离突发事件现场。应急结束后,应急处理工作组应写出分析、处理突发事件的总结报告,上报武进区信用办,并对相关应急处置方案进行完善。
信息系统突发事件处置结束后 5 日内,由平台应急处理工作组撰写《平台安全突发事件情况报告表》。平台应急处理工作组将信息系统突发事件处置的全部记录文件材料整理归档。平台运维人员应根据突发事件暴露出的问题,进行整改,进一步修订完善有关防范措施和应急预案,提出相关工作意见。
信息系统安全应急处理工作组应建立与处置各类信息系统突发事件有关的政府部门、机构、专家、设备供应商等的联系渠道,并经常检查更新通讯录,确保联系畅通。建立处室负责人、应急处理工作组人员名册和联络方式,并保持应急队伍的相对稳定,保证政令畅通,反应迅速。定期组织不同类型的应急演习,以检验、改善和强化应急准备和应急响应的能力。
按照相关法律法规要求,研究制订信用信息平台的信息服务规范,指导系统开发和信息服务。
第一条 明确和规范武进区公共信用平台(下称:信用信息平台)信息服务对象、服务产品、服务过程。
第二条 本规范适用于信用信息平台开展的信用信息服务。
第三条 信息服务对象是指:行政机关、司法机关、行使公共管理职能的组织、公用事业单位等有关机构,以及信用主体(含社会法人、自然人)、信用主体授权的法人(如行业组织和信用服务机构等)。
第四条 信息服务产品主要有:信用信息查询应用、批量信用审查应用、分类统计应用信息、直连查询应用等。主要用途:为市场主体了解自身信用信息状况提供查询;为各法人组织日常监督管理、行政许可、采购招标、评先评优、信贷支持、资格评定、安排和拨付有关补贴资金等工作提供相对主体信用信息参考。
第五条 信息服务方式包括:信息查询、信息订阅、公开发布。
第六条 采用各类信息服务方式获取指定主体信用信息的机构需得到主体授权,法律法规规定的除外。
第七条 披露的查询记录为被查询主体近 12 个月内的各类查询痕迹。
第八条 信息查询
(1)主体查询
① 适用产品:市场主体信用查询
② 现场查询:预约或未预约查询人应携带主体身份证明原件,赴信息中心现场办理查询事宜。已预约查询主体经核对申请信息后领取查询结果打印材料;未预约查询主体需填写申请表,经核对后现场查询并领取查询结果打印材料。
(2)政府机构查询
① 适用产品:企业信用档案查询、重点职业人群信用信息查询、信用信息报告应用。
② 查询条件:被查询主体授权(法律法规规定的除外)的行政机关、司法机关、行使公共管理职能的组织等机构,经市发改委同意,签署合作备忘录。备忘录主要包括服务产品、服务方式、服务用途、授权要求、违规责任和保密义务等内容。
③ 提供方式:协议用户通过登录信用信息平台,查询并下载信息服务产品。
(3)金融、企事业单位及行业组织查询
① 适用产品:信用档案查询、信用信息报告应用、重点职业人群信用信息查询、分类统计信息。
② 查询条件:市场主体授权的金融、企事业单位和行业组织,经过市发改委同意,签署合作协议。协议主要包括服务产品、服务方式、服务用途、授权要求、违规责任和保密义务等内容。
③ 提供方式:协议用户可通过在线查询或专线查询。单笔查询当场反馈查询结果,批量查询 3 个工作日内反馈查询结果;专线查询是指协议用户通过专线访问设立的专项服务进行查询。
(4)查询留痕:用户查询市场主体信用查询报告、重点职业人群信用信息等,均在被查询主体报告中留下查询痕迹。
第九条 信息订阅
信息订阅的主要服务对象为政府机构。
① 适用产品:定制信息
② 订阅条件:被查询主体授权(法律法规规定的除外)的行政机关、司法机关、行使公共管理职能的组织等机构,经市发改委同意,签署合作备忘录。备忘录主要包括服务产品、服务方式、服务用途、授权要求、违规责任和保密义务等内容。
③ 订阅方式:订阅用户填写订阅申请表,填写订阅内容、检索条件及推送周期等,报市发改委批准。
④ 信息生成与推送:市发改委根据申请表,在信用信息平台中配置、生成订阅产品,按约定周期向用户推送。
⑤ 订阅留痕:对于订阅名单涉及指定被查询主体的,在被查询主体报告中留下查询痕迹。
⑥ 使用管理:信息中心在信用信息平台中对订阅结果存档管理,并按月、年对信息订阅情况汇总统计。
第十条 公开发布
对信用信息平台中依法依规可公开的市场主体信用信息,可通过信用门户官方网站渠道公开发布。
第十一条 被查询主体对信息服务内容持有异议的,可在线提出异议申请。
第十二条 信息服务对象不得向无关方披露信息服务内容。除约定用途外,不得他用。
本制度明确信用信息提供方、信用信息使用方、系统管理运维单位、系统建设单位等其他相关部门及人员在系统运行维护、日常管理中的责权利关系,岗位职责等。
第一条 为提高武进区公共信用信息平台(以下简称:信用信息平台)运行维护质量,管理运行维护工作,确保系统安全运行,制定本规范。
第二条 信用信息平台运行维护规范包括组织和岗位、主机设备维护、存储设备维护、网络设备维护、系统软件维护、应用系统维护、巡检、故障处理等内容。
第三条 武进区发改委(以下简称:市发改委)信息中心指定专门的团队作为运维小组,负责信用信息平台的运行维护。
第四条 运维小组负责人由信息中心指定专人担任,全面负责信用信息平台运行维护的各项工作。
第五条 运维小组设置专职系统管理员(可配备多人),其职责包括平台管理、网络管理和应用系统管理三部分。
(1)平台管理。负责主机设备、存储设备和系统软件的配置、日常监控和运行维护,确保系统平台安全、稳定、高效地运行。
(2)网络管理。负责网络设备的配置、日常监控和运行维护,确保网络系统安全、稳定、高效地运行。
(3)应用系统管理。负责信用信息平台中各应用系统的配置、日常监控和运行维护,确保应用系统安全、稳定、高效地运行。
(4)运维服务。负责信用信息平台中各应用系统的运维服务,辅助业务主管部门进行日常工作,负责具体事项办理,解答用户咨询问题等。
第六条 主机设备是指所有已经通过验收进网运行的各服务器、服务器配套设备及维护终端等。主机设备是系统的关键设备,系统管理员负责对主机系统进行日常和例行维护。
第七条 维护人员应严格遵守操作规程,在无明确说明的情况下不准带电插拔;主机与任何外设连接时,必须在关机状态下进行;不可随便拆装主机或随意挪动主机。
第八条 维护人员应关注主机系统运行状态(如设备上各系统的状态指示灯、告警显示及相关系统日志等)、主机系统运行性能指标(如忙时 CPU 占用率、忙时内存占用、忙时内存换页、忙时I/O 吞吐量、主要文件系统占用量、系统双机切换等)、操作系统软件版本及补丁版本、主机系统配置情况及变更情况等。
第九条 日常维护。检查设备之间的连接电缆线是否接触良好,如有松动、老化或有破损等现象,应及时维护和更换。每日至少一次记录主机运行状态和运行性能数据,发现主机系统故障,按照故障处理办法处置。
第十条 例行维护。针对日常维护所记录的信息和数据进行常规分析,形成相应维护分析报表,分析主机系统资源占用情况,并及时清理主要文件系统中的垃圾文件;更新主机系统配置、操作系统软件版本及补丁版本并记录变更情况等。例行维护至少每 3个月一次。
第十一条 维护过程中,出于安全和优化性能目的的操作(比如:更新配置、升级补丁等),由系统管理员制定相关操作方案,经运维小组负责人同意后组织实施,对于影响信用信息平台对外服务的须报市发改委、信息中心批准。系统管理员对操作记录进行归档登记。
第十二条 存储设备是指通过验收入网运行的磁盘阵列、系统硬盘、磁带库、备份一体机、辅助设备等。存储设备是系统的关键设备,系统管理员负责对存储系统进行日常和例行维护。
第十三条 维护人员应严格遵守操作规程,在无明确说明的情况下不准带电插拔板卡、硬盘或接口;存储与任何外设联结时,必须在关机状态下进行;不可随便拆装存储或随意挪动存储。
第十四条 维护人员应关注存储系统运行状态(如设备上各系统的状态指示灯、告警显示及相关系统日志等)、存储系统软件版本及补丁版本、存储系统配置情况及变更情况等。
第十五条 日常维护。检查设备之间的连接电缆线是否接触良好,如有松动、老化或有破损等现象,应及时维护和更换。每日至少一次检查和记录存储运行状态,发现存储系统故障,按照故障处理办法处置。
第十六条 例行维护。针对日常维护所记录的信息和数据进行常规分析,形成相应维护分析报表,定期用磁盘检查工具或存储管理系统软件检查磁盘运行状态、磁盘分区、文件系统、资源占用情况、并进行必要的磁盘清理等工作;定期用备份软件对各种数据文件进行备份,并要进行 数据有效性检查,并及时清理主要文件系统中的垃圾文件;定期更新维护文档中存储系统配置、存储系统软件版本及补丁版本并记录变更情况。例行维护至少每 3 个月一次。
第十七条 在维护过程中,出于安全和优化性能目的的操作(比如:更新配置、升级补丁等),由系统管理员制定相关操作方案,经运维小组负责人同意后组织实施,对于影响信用信息平台对外服务的须报市发改委、信息中心批准。系统管理员对操作记录进行归档登记。
第十八条 网络系统设备是指所有已经通过验收进网运行的路由器、交换机、防火墙、VPN 等设备。网络系统设备是系统的关键设备,系统管理员负责对网络系统设备进行日常和例行维护。
第十九条 维护人员应严格遵守操作规程,在无明确说明的情况下不准带电插拔;不可随便拆装网络设备或随意挪动网络设备。
第二十条 维护人员应关注网络设备运行状态(如设备上各系统的状态指示灯、告警显示及相关系统日志等)、网络设备配置情况及变更情况等。
第二十一条 日常维护。观测网络设备的运行状态是否正常,网络连线是否有松动、脱离接口等情况;监测网络路由通断、传输延时、网络吞吐量、网络流量情况。每日至少一次记录网络运行状态,发现网络设备故障,按照故障处理办法处置。
第二十二条 例行维护。针对日常维护所记录的信息和数据进行常规分析,形成相应维护分析报表,分析网络设备运行情况和网络资源占用情况;更新网络配置并记录变更情况等。例行维护至少每 3 个月一次。
第二十三条 在维护过程中,出于安全和优化性能目的(比如:更新配置、升级补丁等),系统管理员制定相关操作方案,经运维小组负责人同意后组织实施,对于影响信用信息平台对外服务的须报市发改委、信息中心批准。系统管理员对操作记录进行归档登记。
第二十四条 系统软件是指所有已经通过验收进网运行的操作系统、数据库系统、第三方系统管理软件、中间件软件等。系统软件是系统的重要组成部分,系统管理员负责对系统软件系统进行日常和例行维护。
第二十五条 维护人员应严格遵守操作规程,对系统中的所有系统软件都要进行登记造册。对系统软件、系统软件的参数和补丁等要进行备份;对系统软件要按操作手册进行安装、启动和关闭等操作。
第二十六条 维护人员应关注系统运行状态(如告警显示及相关日志等)、系统软件运行性能指标、系统软件版本及补丁版本、系统软件配置情况及变更情况等。
第二十七条 日常维护。每日至少一次检查系统软件运行状态、记录运行性能数据,发现系统软件故障,按照故障处理办法处置。
第二十八条 例行维护。针对日常维护所记录的信息和数据进行常规分析,形成相应的维护分析报表,定期分析系统软件运行情况,并及时清理主要系统中的垃圾文件;定期更新系统软件的配置、系统软件版本及补丁版本并记录变更情况。例行维护至少每3 个月一次。
第二十九条 在维护过程中,出于安全和优化性能目的的操作(比如:更新配置、升级补丁等),由系统管理员制定相关操作方案,经运维小组负责人同意后组织实施,对于影响信用信息平台对外服务的须报市发改委、信息中心批准。系统管理员对操作记录进行归档登记。
第三十条 应用系统是指所有已经通过验收进网运行的除系统软件以外的软件系统。应用系统是系统的核心部分,系统管理员负责对应用系统进行日常和例行维护。
第三十一条 维护人员应严格遵守操作规程,对系统中的所有应用系统软件都要进行登记造册。对应用系统软件、应用系统软件的参数和补丁等要进行备份;对应用系统软件要按操作手册进行安装、启动和关闭等操作。
第三十二条 维护人员应关注应用系统运行状态(如告警显示及相关日志等)、应用系统软件运行性能指标、应用系统软件版本及补丁版本、应用系统软件配置情况及变更情况等。
第三十三条 日常维护。每日至少一次检查应用系统软件运行状态、记录运行性能数据,发现应用系统软件异常,按照故障处理办法处置。
第三十四条 例行维护。针对日常维护所获得的信息和数据进行常规分析,形成相应维护分析报表,定期分析应用系统运行情况,并及时备份清理数据文件、日志文件。例行维护至少每 3 个月一次。
第三十五条 应用系统的变更(包括升级、优化),由系统管理员制定相关操作方案,经运维小组负责人同意后组织实施,对于影响信用信息平台对外服务的须报市发改委、信息中心批准。系统管理员对操作记录进行归档登记。
第三十六条 应用系统变更须经测试通过后才能上线运行,运行中如有异常必须立即回退恢复,分析原因,并立即上报。
第三十七条 运维小组应指定专人对信用信息平台的设备、网络、软件等定期进行巡视检查。
第三十八条 巡检工作包括现场实地巡检和利用软件工具实时巡检。现场实地巡检是指巡检人员进入机房实地查看设备运行情况,利用软件工具实时巡检是指巡检人员通过专用的监控软件对信用信息平台的设备、网络、软件等的运行情况进行检查。
第三十九条 运维小组应建立巡检值班制度,明确各项巡检工作的职责分工,做到定项目、定人、定时。
第四十条 巡检人员每次巡检均要登记《巡检记录表》,记录以下数据:(1)巡检内容(设备编号、名称);(2)巡检频次;(3)正常参考值(状态);(4)实际巡检值(状态);(5)情况说明;(6)巡检人;(7)巡检时间等内容。
第四十一条 巡检人员在巡检过程中发现异常,应记录异常情况并保护好现场,及时报告运维小组,由运维小组进行后续处理。
第四十二条 运维小组指定专人对巡检记录进行汇总归档。
第四十三条 故障等级划分
(1)一级故障。信用信息平台发生故障,已经或将严重影响服务,导致相关业务中断 1 小时以上,并预计 4 小时以内无法恢复的。由运维小组负责人上报市发改委和信息中心,由市发改委和信息中心组织协调解决。
(2)二级故障。故障发生后,影响到信用信息平台的运行效率,速度变慢,但未影响主要服务;且故障发生后预计在 2 小时以内可以恢复的。由运维小组相关工作人员上报运维小组负责人, 由运维小组负责人组织解决。
(3)三级故障。故障发生后,可随时应急处理,不会影响信用信息平台运行,但存在一定隐患。由运维小组相关工作人员单独解决,并详细登记维护情况。
第四十四条 故障发现。运维小组成员在发现故障或接到故障报告后,首先要记录故障发生时间和发现时间,以及发现部门、发现人,对故障的等级进行初步判定,并报告相关人员进行处理。故障记录。
第四十五条 在故障处理中,运维小组相关工作人员应对其过程进行详细记录,其中包括故障处理的负责人,检查的内容及结果,对故障的判断及处理办法,以及故障处理过程中步骤及执行人员。
第四十六条 故障应急处置
(1)运维小组根据故障情况立即进行应急处理,防止事件进一步扩大。同时由运维小组相关工作人员分析该故障的起因,判断需要的处理时间,并根据判断结果按故障级别作上报处理。
(2)根据突发故障的性质、级别,决定启动相应的应急预案。
(3)根据故障可能产生的原因尽早联系系统集成商、线路运营商、设备供应商等单位请求技术支持。
第四十七条 故障处理后的测试。故障处理后,运维小组组织测试,确认故障解决。
第四十八条 故障书面报告
(1)对于一级故障和二级故障,在处理结束后,运维小组应对故障及处理的全过程进行总结,形成书面报告,由运维小组负责人上报市发改委和信息中心。
(2)对于影响较小的三级故障,在维护日志中做完整的说明和记录。
(1)信息采集对信用信息进行采集、规则检查、数据规范化、存储,形成信用信息的活动。
(2)信息来源
本级行政区域内各行政机关具有社会公共管理职能的行政机构、事业单位、社会团体、公共信用信息中心、合法企业。
(3)采集方式
① 约定方式:对信息内容、格式、周期及提供方式进行约定。
② 公开方式:通过各种合法渠道采集已被合法公开的信用信息。
③ 其它方式:通过除①和②以外的其它合法方式采集有关企的信用信息。
(4)采集信息范围包括基本信息、行政许可事项信息、资质信息、行政处罚信息、荣誉信息、相关人群(执业资格人)信息等。
信用中心每月 5 日前(遇法定节假日顺延)完成所有规定归集信息的处理入库和比对关联。处理过程发现批量格式等特殊情况问题,及时联系提供者处理解决。
由部门机接收的数据直接进入系统进行数据处理。
对信息提供部门使用邮件方式提供的信息汇总后,首先将每月汇总信息备份到专用优盘,作为部门提供的原始数据保存备查,标明信息提供部门、提供时间、信息内容、密级、操作人员、非涉密优盘编号、操作时间、审批人。报部门领导批准后,使用非涉密优盘(专用)拷贝到非涉密中间机,进行计算机病毒与恶意代码、间谍软件、木马程序的查杀,从涉密终端导入到业务处理系统进行数据处理。
信用数据对外公示须将数据进行脱敏处理。针对自然人身份证号码等敏感信息进行加密。
根据用户的实际业务操作需求,对服务器操作系统、数据库等建立不同权限级别用户,具有管理功能用户的建立,必须经过申请、批准,才能建立。
(1)服务器和工作机必须启用密码保护措施,工作人员离开时,必须锁定计算机。
(2)加强设备和系统日常备份工作。制定备份策略,对设备、系统、数据库、用户、日志等进行备份,确保当系统瘫痪和数据丢失时,能将系统恢复到原来状态。
(1)信用信息建设管理规定建设企业信息系统应遵循的管理规范。
(2)信用信息运行与维护管理保障信息系统正常运行,规定了运行与维护管理规范。
(3)信用信息人员管理信用信息系统具有较高的安全保密要求。因此必须对信用信息人员进行有效管理。设定人员岗位及分类 、规定岗位职责。
信用信息系统对安全性要求高。对安全管理的基本原则、安全管理组织机构、安全管理措施实施、硬件安全、软件安全、数据库安全、网络安全、应用系统安全、人员管理措施安全与保密进行集中统一规定。
苏公网安备32041202000001号
