郑州市关于印发《郑州市劳动和社会保障信息系统安全管理制度》的通知

郑州市关于印发《郑州市劳动和社会保障信息系统安全管理制度》的通知

各县(市)、区人事劳动和社会保障局，局属各单位：

为加强我市劳动和社会保障信息系统安全管理，现印发《郑州市劳动和社会保障信息系统安全管理制度》，请各相关单位高度重视，认真贯彻落实。

二○○八年十一月十一日

郑州市劳动和社会保障信息系统安全管理制度

近年来，随着我市金保工程建设步伐的不断加快和信息系统的应用普及，我市劳动保障信息网络已延伸到各级社会保险经办机构、街道、乡镇、社区、部分行政村以及定点医院和药店，信息系统覆盖业务范围广，涉及众多用人单位和劳动者的相关信息，且信息存储周期长、数据量大，信息系统的安全管理工作极为重要。目前，由于相关管理制度还不够完善和规范，信息系统安全问题日益突出，有些单位的信息系统没有有效的安全防范措施，系统口令管理混乱，重要数据没有备份和加密，存在较为严重的安全隐患。为了维护劳动者和用人单位的合法权益，确保劳动保障信息系统的安全运行，安全、有序地推进我市金保工程建设，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关规定，结合我市实际，现制定郑州市劳动和社会保障信息系统安全管理制度。

一、提高认识，加强领导

全市各级劳动保障部门要高度重视信息系统的安全管理工作，强化数据安全意识，加强对信息系统安全工作的领导。认真贯彻落实国家在信息安全方面的法律、法规和政策规定，加强业务数据的科学管理，采用安全技术，应用安全产品，建立完备的网络管理、数据维护、数据备份等工作机制;按照“谁主管、谁负责，预防为主、综合治理，制度防范与技术防范相结合”的原则，逐级建立信息系统安全管理领导问责制和岗位责任制。

二、建立制度，责任到人

各单位要有专人负责本单位信息系统的安全工作，根据本单位的具体情况建立健全信息系统安全管理制度，包括：人员管理、密码口令、机房安全、设备安全、系统运行、网络通信、数据管理、紧急情况处理流程等，明确责任，将安全管理工作落实到人。要定期检查制度执行情况，加强监督并不断完善规范。

三、堵塞漏洞，全面防范

(一)加强应用系统安全。加强对计算机管理人员和操作人员管理，根据其工作职责的不同，设置使用权限。通过对用户身份认证管理，保证用户的合法性。

信息系统必须有全面、规范、严格的用户管理策略。重要的信息系统必须有双人互备做为系统管理员，系统管理员必须对信息系统中各类设备加设口令，严禁采用系统默认超级管理员用户名或口令;由系统管理员对操作人员账号实行集中管理，对操作人员按职责分组管理，设定用户访问权限，严禁跨岗位越权操作;对信息系统的用户身份、主机身份、事件类型等应进行安全审计，并留存审计日志和妥善保存。

信息系统必须使用正版软件，并及时进行系统升级或更新补丁;信息系统必须装有防毒杀毒软件，并定期进行病毒检验;与互联网相联的信息系统要有防止非法入侵措施。

(二)加强数据安全管理。通过系统权限、数据权限、角色权限的管理，建立数据库系统的权限管理机制。通过安全审计记录，跟踪用户对数据库的操作。根据信息的重要程度和安全要求，采取不同层次的数据备份制度。对通过网络传输的重要信息，应进行数据加密处理。

全市各类信息系统的业务数据要有完整可靠的备份机制和策略，我市金保工程实施前，要求各单位务必于2008年12月底前将业务数据在市劳动和社会保障数据管理中心进行实时备份。各责任单位要具有在规定时间内恢复系统功能和业务数据的能力，对各类信息系统及设备要有应急处理预案，市局信息化工作领导小组要对应急预案进行备案登记，并不定期进行数据安全应急演习。

系统管理人员调离工作岗位时，必须移交全部技术资料和有关数据，设有口令密钥的要及时进行更换，并确认对业务不会造成危害后方可调离。

操作人员应严格遵守软件的操作规范，离开操作岗位时，必须退出应用软件操作界面或锁定计算机，以防他人进行未经授权的操作。操作人员应注意自己用户名和口令的保密，并定期或不定期修改口令，避免出现他人借用或盗用本人帐号引起不良后果。

(三)加强网络平台安全。全市统一的劳动保障市域网络平台已构建了一套安全、高效的网络管理体系，对联入网络的所有机器设备实行准入机制，并进行统一管理和集中的病毒防护。对于目前未纳入统一管理，分散在各级业务经办机构独立运行的局域网要配备有效的防病毒软件，防止网络环境的病毒感染和泛滥。凡在业务内网运行，用于处理业务的计算机要与外网实行物理隔离，一律不得连接公共互联网。建立网络安全扫描和网络实时监控预警系统，对网络攻击进行检测和告警，及时发现网络系统安全漏洞，防止非法攻击对网络平台的损害。

如果想了解相关法规解析和案例可关注佰佰安全网的安全说法频道。让你的生活更安心。