第一篇:河北省劳动和社会保障厅计算机信息系统数据安全管理规定
河北省劳动和社会保障厅计算机信息系统数据安全管理规定
第一章 总则
第一条 为了加强对我厅劳动保障计算机信息系统数据的安全管理,确保网络数据信息的安全,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关规定,结合我厅实际,制定本规定。
第二条 加强对劳动保障计算机信息系统数据安全保护工作的目的是:确保劳动和社会保障业务计算机信息系统正常运行,维护数据信息应用工作的正常开展,预防、打击利用或针对劳动保障计算机信息系统数据进行违法犯罪活动的行为,提高我厅劳动保障计算机信息系统数据整体安全水平,净化网络信息环境。
第三条 本规定中所指计算机信息系统数据是指各常规工作中所建立和存储在电子设备和计算机内的业务、财务、人事等电子数据。
第四条 劳动保障系统内计算机信息系统数据安全保护工作应按照“谁主管、谁负责,预防为主、综合治理,制度防范与技术防范相结合”的原则,逐级建立数据安全管理领导问责制和岗位责任制,加强制度建设,逐步实现数据安全管理的科学化、规范化。
第五条 劳动保障计算机信息系统内部数据实行安全等级保护,计算机信息系统数据的建设和存储应符合相应的安全等级标准,使用的安全产品必须具有《计算机信息系统安全专用产品销售许可证》,其等级应与计算机信息系统数据确定的安全等级相适应。第二章组织管理
第六条 厅长是全厅计算机信息系统数据安全第一责任人。厅信息化工作领导小组为全厅计算机信息系统安全工作领导机构,全面负责全厅计算机信息系统数据安全管理工作,建立计算机信息系统数据安全管理工作小组(以下简称“数据安全管理小组”)。
第七条 数据安全管理小组负责确定本厅计算机信息系统数据安全等级,并组织有关人员制定、评审本厅计算机信息系统数据安全策略、安全标准、系统实施方案、安全工作流程和各项规章制度。
第八条 数据安全管理小组依据本规定,定期对厅属各处室及事业单位计算机信息系统数据安全情况进行检查、考核。对于存在计算机信息系统数据安全隐患的单位,协助提出整改方案,限期整改。因不及时整改而发生重大案件和事故的,由该单位的有关责任人承担责任;对违反国家相关法律法规的,由公安机关依法进行处罚,构成犯罪的,由司法机关依法追究刑事责任。
第九条 厅属各处室及事业单位要设立专(兼)职计算机信息系统数据安全管理人员。数据安全管理人职责是按照安全管理工作流程和规范,执行各项数据安全管理操作任务,保障本部门各项业务数据的安全。
第十条 数据安全管理小组负责组织工作人员的计算机安全教育培训,设立有关计算机安全课程,学习计算机安全管理法律、法规,提高全体工作人员的法律意识。第三章计算机信息系统安全管理
第十一条 建立计算机信息系统安全登记备案制度。厅属各处室及事业单位的计算机信息系统上线使用前,要向数据安全管理小组申请安全检查验收与系统备案登记,确定系统安全等级,指定数据安全责任人。
第十二条 对计算机信息系统建立定期风险分析和安全评估制度。由公安机关公共信息网络安全监察部门及省信息办等相关部门定期对我厅计算机信息系统进行安全检查和风险评估。对于存在问题,提出相应安全措施整改意见。所有评估检查信息要详细记录,存档备查。第十三条 计算机信息系统必须使用正版软件,并及时进行系统升级或更新补丁;计算机信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。
第十四条 计算机信息系统必须有全面、规范、严格的用户管理策略或办法。重要的计算机信息系统必须有双人互备做为系统管理员,系统管理员必须对计算机信息系统的各种服务器加设口令,严禁采用系统默认超级管理员用户命或口令;由系统管理员对用户实行集中管理,对用户按职能分组管理,设定用户访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志,审计日志应进行妥善保存。第十五条 计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段,并具有在要求时间内恢复系统功能以及重要数据的能力。对重要计算机信息系统及设备要有应急处理预案,数据安全管理小组要对应急预案备案登记,并每年定期举行数据安全应急演习。
第十六条 计算机信息系统与数据库主机必须建立在正规机房,机房要在场地面积、用电环境、使用环境、消防防雷等方面符合国家有关规定。
第十七条 计算机信息系统主机或存储设备发生故障时,要尽量现场维修,系统管理员要在现场监督;确需要送出维修时,注意去掉存储部件或删除数据。
第十八条 严格计算机信息系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统,严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。接入计算机信息系统的客户机要满足以下要求:
1、装有杀毒防毒软件;
2、与互联网或外网物理隔离;
3、只装指定的业务软件;
4、未经允许,不得接入移动存储设备;
5、除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
第十九条 各类计算机信息系统的安装、升级、调试和维护由系统管理员负责。未经系统管理员许可,不得随意在计算机信息系统的客户机上安装新软件。第四章互联网安全管理第二十条 坚持“涉密计算机不上互联网,非涉密计算机不处理涉密信息”的原则。涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,也不得与业务内网相联接,必须实行物理隔离。笔记本电脑不允许启用无线网卡,以避免泄密。第二十一条 对重要或涉密数据的存储和传输应进行加密处理。对重要或涉密数据的存储介质,应采取必要的安全保护措施,并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意,涉密计算机不得使用U盘、移动硬盘、刻录机等相关设备。
第二十二条 对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。第二十三条 各业务经办计算机信息系统中的计算机均不得接入国际互联网,不得做与业务处理无关的工作。除有特殊用途外,应锁定所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
第二十四条 需接入互联网的计算机按正常程序申请,操作人员接受网络安全管理培训后,由厅信息中心分配相应的上网权限。
第二十五条 杜绝以各种形式违规外联互联网,包括利用办公电话拔号上网、无线上网等,维护厅网络安全防护体系。
第二十六条 在办公范围内不允许启用笔记本电脑自带的无线网卡。以避免泄密以及对网络系统造成电磁干扰。
第二十七条 接入互联网的计算机应具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。对计算机、服务器账户均设置密码,各种账户和密码严格保密。根据信息的安全规定和权限,确定使用人员的存取、使用权限。通过网络传送的程序或信息,必须经过安全检测,方可使用。各类操作人员必须具有病毒防范意识,做好计算机病毒的预防、检测、清除工作,及时升级防病毒系统,定期进行病毒的查杀,发现病毒要及时处理,并做好记录。防止各类针对网络的攻击,保证数据安全。
第二十八条 建立互联网信息发布的审核和登记制度,坚持“先审后贴”“谁上网谁负责”的原则,凡向国际互联网的站点提供或发布信息,必须经过发布部门的保密审查批准,并由专职部门负责统一发布,同时做好审核登记记录。未经允可,任何人员不得将数据信息以任何形式发布到互联网上或对外提供,防止数据泄密。
第二十九条 提供电子邮件服务的计算机应具备有害信息和垃圾邮件过滤功能,相应技术参数应符合国家相关标准。
第三十条 在国际互联网上提供WWW、FTP、IDC、邮件、交互式栏目、SP等服务的,应当报当地公安机关公共信息网络安全监察部门备案。
第三十一条 建立政务外网信息的监视、保存和备份制度,要有专人对网站、交互式栏目发布的信息进行监视,发现有害信息备份后立即删除,并报告当地公安机关公共信息安全监察部门。
第三十二条 任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。第五章数据维护及备份管理
第三十三条 建立计算机信息系统管理员制度。重要的计算机信息应用系统要实行系统管理员双人互备。系统管理员承担系统的运行维护和数据的安全管理工作。
第三十四条 各计算机信息应用系统本着“谁应用谁负责”的原则,由系统管理应用单位制定数据安全管理方案,配备专职系统管理员,并将数据安全管理方案、数据备份策略、管理流程和人员组织情况向厅数据安全管理小组登记备案。
第三十五条 系统管理员要严格遵守数据备份策略,及时做好数据的备份工作。严格数据库管理员口令管理,要定期更换数据库管理员口令。在系统升级或数据有较大变动情况时必
须备份并长期异地保存;系统数据每天应作数据库的增量备份,每周应作数据库的完全备份;各类统计报表、各类外部电子信息数据应每月备份;重要数据读入系统后应及时备份。第三十六条 数据备份采用在线存储与脱机介质两种形式进行双备份。一方面要将数据备份到非本机的存储设备上;另一方面备份到脱机介质上,脱机备份要实行本地与异地双存储。数据备份后要认真填写数据管理日志。
第三十七条 重要数据必须定期、完整、真实、准确地备份到不可更改的介质上,并要求做到集中和异地双备份保存。对长期保存的数据光盘等备份介质,应每年进行一次以上检查,以防止存储介质损坏造成损失。
第三十八条 备份数据资料保管地点应有防火、防潮、防尘、防磁、防盗等安全设施。废弃的数据信息存储介质要严格按照保密要求进行粉碎处理。
第三十九条 系统出现故障和遭到破坏时,由系统管理员负责完成数据恢复工作,系统管理员必须保证备份数据能够及时、准确、完整地恢复。确因特殊原因不能恢复的,应及时向分管领导汇报,妥善处理。数据恢复后要认真填写数据管理日志。
第四十条 对数据的各项操作实行日志管理,严格监控操作过程,对发现的数据安全问题,要及时处理和上报。
第四十一条 未经批准,系统管理员不得直接对后台数据库进行数据更改操作,确需后台操作的,必须上报分管领导批准,并事先对数据库进行备份后进行,同时,详细记录操作过程及数据更改情况存档备查。第六章人员管理
第四十二条 建立计算机信息系统安全管理人员的录用、考核制度,不能胜任工作的人员必须及时调离。涉密人员应有相当强的保密意识,自觉遵守涉密信息不上网的规定,严禁涉密信息的有意或无意泄漏。
第四十三条 计算机管理人员调离时,必须按规定移交全部技术资料和有关数据,设有口令密钥的要及时进行更换。涉及重要业务的人员调离时,应确认对业务不会造成危害后方可调离。
第四十四条 操作人员应严格遵守软件的操作规范,离开操作岗位时,必须退出应用软件操作界面或锁定计算机,以防他人进行未经授权的操作。
第四十五条 操作人员必须遵守有关计算机管理的安全保密法律法规,各类应用系统的使用必须实行用户身份验证,对自己的帐号负责。操作人员应注意自己用户名和口令的保密,并定期或不定期修改口令。如出现他人借用或盗用本人帐号引起不良后果的,要按规定追究有关责任人的责任。
第四十六条 发生重大计算机事故,应当立即报告计算机信息系统数据安全工作领导小组和专职部门。
第四十七条 发现计算机违法、犯罪案件,须立即向公安机关公共信息网络安全监察部门报案。第七章档案管理
第四十八条 计算机介质与技术资料等应设专柜存放。对新购和上级单位下发的软件、资料等要分别记入“介质登记册”和“技术资料登记册”。纳入管理的资料包括系统软件、工具软件、应用软件、备份数据、技术资料等。其中技术资料包括各个主机配置情况、系统参数、网络设备配置参数、网络物理连接图、逻辑连接图、系统备份方案、系统故障应急操作手册等和其它认为有必要纳入管理的各类技术资料;密码包括主机密码、数据库管理员密码、路由器密码、应用软件超级用户密码以及计算机介质等。
第四十九条 本规定自下发之日起执行。
第二篇:河北省劳动和社会保障厅
河北省劳动和社会保障厅
关于2009年调整企业退休人员基本
养老保险金有关问题的处理意见
冀劳社办【2009】19号
各设区市劳动和社会保障局、扩权县(市)人事劳动和社会保障局,省本级养老保险统筹单位:
“河北省劳动和社会保障厅河北省财政厅关于2009年调整企业退休人员基本养老金的通知(冀劳社【2009】3号文件)”已下发各单位,为做好2009年调整企业退休人员基本养老金工作,现对冀劳社【2009】3号文件中的有关规定做进一步说明,并就操作程序提出意见,请在调待工作中与冀劳社【2009】3号文件一并贯彻执行。
一、艰苦边远地区用人单位退休(退职)人员范围
(一)冀劳社【2009】3号文件中“在我省艰苦边远地区的用人单位”是指河北省艰苦边远地区28个县范围内所有用人单位,包括省、市本级养老保险统筹单位驻28个县范围内的用人单位和分支机构。
(二)冀劳社【2009】3号文件中“在我省参保,驻省外艰苦边远地区的用人单位”是指驻地在省外艰苦边远地区并参加我省企业养老保险统筹的用人单位,包括原驻地在省外艰苦边远地区,后由艰苦边远地区整体搬迁出来并参加我省企业基本养老保险统筹的用人单位。
原驻地在省内艰苦边远地区,后由艰苦边远地区整体搬迁出来并参加我省企业基本养老保险统筹的用人单位参照省外整体搬迁用人单位政策执行。
(三)冀劳社【2009】3号文件中“在我省参保,驻省外艰苦边远地区的用人单位退休人员(包括退职人员)或在省外艰苦边远地区连续工作满10年及其以上的退休人员(包括退职人员)”,是指本文第一条第(二)款范围内的用人单位在驻艰苦边远地区工作期间办理退休(退职)的人员或这部分用人单位中曾在驻艰苦边远地区连续工作满10年及其以上的退休(退职)人员。
省、市本级养老保险统筹单位驻28个县范围内的用人单位和分支机构在驻地连续工作满10年及其以上的退休(退职)人员参照本文第一条第(二)款范围内的用人单位中曾在艰苦边远地区连续工作满10年及其以上的退休(退职)人员政策执行。
二、艰苦边远地区退休(退职)人员的认定。省外艰苦边远地区范围与类别依据当地省、直辖市、自治区级人民政府有关文件确认。驻地以单位出具的营业执照、机构证明等相关材料等确认。本人艰苦边远地区工作经历以其人事档案等相关原始资料确认。
三、退休(退职)人员年龄的认定。退休(退职)人员年龄依据劳动保障部门批准的退休审批表记载的出生日期为准。原行业、企业批准的退休(退职)人员以原行业、企业批准的退休(退职)审批表中的记载的出生年月为准。
四、退休军队专业干部身份认定。退休军队转业干部身份依据军队干部转业审批表或复员军人改转业审批表确定。劳动保障部门已经认定过的不再重新认定。
五、审核程序。企业要严格按照冀劳社【2009】3号文件要求填报附表,并按照本意见要求附相关资料报劳动保障部门审批。
第三篇:计算机信息系统保密管理规定
武冈展辉医院计算机信息系统保密管理制度
武冈展辉医院计算机信息系统保密管理制度
为保持医院信息系统正常运行,保护集体数据财富,保障医院和谐发展,遵循《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国保守国家秘密法》等相关国家和省有关法律法规,结合医院实际情况,制订本管理规定。
第一章 总 则
第一条 本管理规定适用于院内所有使用计算机、服务器和相关辅助设备、设施的科室和部门。
第二条 计算机信息系统的保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
第三条 医院保密工作领导小组主管全院计算机信息系统保密管理工作。医院计算机信息系统由专人负责管理相应的信息保密工作,要定期监督、检查保密管理规定的执行情况。
网络管理员对信息系统的管理和操作应严格遵守保密管理规定。
第二章 保密制度
第四条 涉及国家秘密及工作秘密的计算机(含笔记本电脑)和计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。涉密计算机(含笔记本电脑)专人专用,严禁擅自将涉密计算机(含笔记本电脑)带出办公场所。
第五条 接入国际互联网或其他公共信息网络的计算机(含笔记本电脑)不得处理、存储涉密信息。
第六条 上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际联网的站点提供或发布信息,必须经过保密审查批准。
第七条 存储涉及国家秘密和工作秘密的涉密移动存储介质(含移动硬盘、优盘、软盘、光盘等)不得接入或安装在非涉密计算机上,复制和确因工作需要外出携带涉密存储介质的,须经主管领导批准。
第八条 凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,管理员在上网发布前,应当征得提供信息者同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第九条 凡在网上开设电子公告系统、聊天室、网络新闻组的用户,应由相应的保密工作机构审批明确保密要求和责任。任何人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息和工作秘密信息。
第十条 面向社会开放的电子公告系统、聊天室、网络新闻组,开办人或其上级主管部门应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有涉密信息,应及时采取措施,并报告相应的保密工作领导小组办公室。
第十一条 用户使用电子函件进行网上信息交流,应当遵守国家有关保密规定,不得利用电子函件传递、转发或抄送国家秘密信息和医院工作秘密。武冈展辉医院计算机信息系统保密管理制度
第十二条 各接入计算机信息系统(HIS、PACS、LIS等)部门要对医院信息资料安全负责,未经信息部和主管领导许可,严禁外来人员登录医院信息系统查询、打印有关信息资料。
第十三条 连接计算机信息系统的计算机,未经信息部许可,严禁安装、运行非日常工作需要的任何软件;严禁安装任何厂家、任何版本的操作系统以及任何有可能干扰、破坏计算机信息系统保密管理的程序。
第三章 保密监督
第十四条 涉密计算机进行维护检修时,对涉密信息应采取涉密信息转存、删除、异地转移存储等安全保密措施。无法采取上述措施时,单位保密人员和涉密计算机维护人员必须在维护现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。涉密计算机和涉密移动存储介质淘汰、报废的一律送保密工作领导小组办公室统一销毁。
第十五条 处理涉及国家秘密文件和工作秘密文件的数字复印机、多功能一体机一律不得接入电话线,接入电话线的数字复印机、多功能一体机一律不得处理涉及国家秘密和工作秘密的文件。
第十六条 计算机个人工作桌面或开放文件夹不得摆放敏感文件和资料,办公桌禁止摆放敏感介质。
第十七条 保密工作领导小组要定期对计算机信息系统的保密检查,查处各种泄密行为。一旦发现国家秘密或工作秘密泄露或可能泄露情况,每个工作人员都有义务立即向保密工作领导小组办公室报告。对网上涉及国家秘密和工作秘密的信息要严格按照保密要求,及时予以删除。
第四章 附 则
第十八条 本规定自下发之日起施行。
第四篇:计算机信息系统保密管理规定
计算机信息系统保密管理规定
一、人民法院涉密计算机局域网的建设应与保密设施同步规划,做好控制源头的工作,加强技术防范措施。
涉密局域网投入运行前,必须通过当地(地级以上)保密工作部门审批。二、涉密计算机信息系统,应采取系统身份认证,访问控制、数据保护和系统监控管理等技术措施。
三、存储涉密信息文件的计算机要固定使用,设置开机密码口令并由专人使用。
严禁无关人员使用存储涉密信息文件的计算机。四、对存有暂不能公开的案情或诉讼文书以及其他信息文件等内容的计算机,应设置访问权限密码以免泄密。
五、涉密计算机信息系统不得直接或间接接入国际互联网或其他公共信息网络,必须实行物理隔离。
六、涉密计算机信息系统的各种计算机软件及信息,不得公开进行学术交流,不得公开发表。
七、存储涉密信息文件的计算机严禁安装外来游戏和使用来历不明的磁、光盘,以防止计算机感染病毒,造成不必要的损失。
八、涉密计算机信息系统处理的信息应按国家有关规定确定密级和保密期限,并标明相应的密级标识,密极标识不能与正文分离。
九、处理涉密信息文件的专用计算机管理软件,应按所存储信息文件的最高密级标密,并按相应密级文件的管理办法妥善管理。
十、人民法院配备的计算机未经批准一律不得上国际互联网。
确因工作需要上网的,由使用部门提出申请,经院保密委员会会同技术部门研究,报主管院领导审批同意,采取必要的技术防范措施以后方可上网。上网信息实行领导审查批准制度和备案制度。十一、上网信息不准涉及国家秘密、内部事项以及虽不属于国家秘密,而又比较敏感的信息或从长远考虑对保守国家秘密可能造成隐患的信息。
十二、上网计算机不得输录、存储和打印以及接收和传送涉及审判和工作秘密的信息。
上网信息的管理实行“谁上网谁负责”的原则。第五篇:计算机信息系统保密管理规定
计算机信息系统保密管理规定
本规定适用于采集、存储、处理、传递、输出时涉及国家秘密的计算机,以及各种存储介质。
一、严禁涉密计算机连接互联网或其他公共信息网,不得在非涉密计算机尤其是在连接互联网或其他公共信息网的计算机上存储、处理涉密信息和使用涉密移动存储介质。
二、涉密计算机信息系统必须配备防电磁泄漏设备,不得在涉密机算机上使用无线键盘、无线鼠标、无线网卡等无线设备。
三、严禁将涉密计算机、涉密移动存储介质交由无关人员使用和保管,或者在涉密计算机上安装、拷贝来历不明的软件和硬件。
四、严禁非涉密计算机存储、处理涉密信息,不得将淘汰、报废的涉密计算机或涉密移动存储介质作非涉密载体处理。
五、严禁将载有涉密信息的磁介质接入非涉密计算机,不得在涉密与非涉密计算机之间交叉使用移动存储介质,或在未采取措施情况下将互联网上的资料拷贝到涉密计算机上。
六、涉密计算机和使用的涉密存储介质必须登记标识。
七、涉密计算机必须采取数据备份保护、防病毒入侵、保密监控等技术措施。
八、涉密计算机必须按规定设置口令密码,并限时更换。
九、存储、处理涉密计算机信息要有相应的密级标识,密级标识不得与正文分离。
十、维护、检修涉密计算机必须采取严密的安全保密措施,并有计算机安全保密管理员在场,进行监督和记录。
十一、严禁在网站、网页上公开发布未经保密审查的信息。
十二、对违反本规定造成失泄密的当事人要严肃查处。