鎮(zhèn)江公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)安全保障規(guī)定試行

1、鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù) 安全保障規(guī)定（試行）第一章 總則第一條 為加強(qiáng)鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)安全管理,特制定本規(guī)定。第二條 本規(guī)定明確了鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)安全保障規(guī)定的基本原則和要求。第三條 本規(guī)定適用于從事鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行維護(hù)機(jī)構(gòu)和業(yè)務(wù)管理人員。第二章 保密教育第四條 保密教育的主要內(nèi)容是中華人民共和國(guó)保守國(guó)家秘密法及其配套法規(guī)；江蘇省和鎮(zhèn)江市為貫徹執(zhí)行保密法而頒發(fā)的地方法規(guī)；黨中央、國(guó)務(wù)院、地方政府有關(guān)保密工作的重要會(huì)議精神；保密形勢(shì)及保密技術(shù)防范措施；保密管理制度，保密知識(shí)等。第五條 保密教育的具體要求：對(duì)從事鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)運(yùn)行維護(hù)

2、機(jī)構(gòu)和業(yè)務(wù)管理的人員進(jìn)行保密法規(guī)、保密知識(shí)、信息安全教育。市信用辦每半年組織一次保密教育。保密教育應(yīng)有文字記錄備查，并保證每人每年度不少于8學(xué)時(shí)。第三章 安全保密人員管理第六條 安全保密崗位。根據(jù)需要，對(duì)鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)的系統(tǒng)運(yùn)行和維護(hù)設(shè)立系統(tǒng)管理員、安全保密管理員。第七條 數(shù)據(jù)保密承諾。通過(guò)市信用辦審批確定的系統(tǒng)管理員、安全保密管理員，必須簽訂信息保密承諾書(shū)。第八條 離崗管理。系統(tǒng)管理員、安全保密管理員辭職、解聘、調(diào)動(dòng)、退休等原因不再?gòu)氖略摴ぷ鞯?，?yīng)在離崗前及時(shí)清退保管使用的數(shù)據(jù)載體、設(shè)備等。第四章 安全保密部位管理第九條 安全保密部位的確定。集中存放、保管鎮(zhèn)江市公共信用信息載體

3、的專門(mén)場(chǎng)所，確定為系統(tǒng)安全保密部位。第十條 保密部位的防護(hù)措施。保密部位須安裝防盜報(bào)警裝置、視頻監(jiān)控系統(tǒng)和IC卡電子門(mén)控系統(tǒng)。 第五章 設(shè)備與介質(zhì)管理第十一條 采購(gòu)管理。嚴(yán)禁采購(gòu)和使用未經(jīng)國(guó)家相關(guān)主管部門(mén)授權(quán)測(cè)評(píng)機(jī)構(gòu)檢測(cè)的安全保密產(chǎn)品。選用國(guó)外的非安全保密產(chǎn)品時(shí)，應(yīng)進(jìn)行安全保密檢測(cè)。第十二條 設(shè)備攜帶外出管理。對(duì)于需要攜帶外出的介質(zhì)，應(yīng)進(jìn)行必要的信息消除處理，并進(jìn)行資料備案，保證介質(zhì)上只存有與本次外出相關(guān)的資料。第六章 系統(tǒng)互聯(lián)管理第十三條 安全互聯(lián)控制。嚴(yán)禁直接或間接連接國(guó)際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)。第七章 軟件安全管理第十四條 軟件管理的范圍。軟件管理的范圍包括對(duì)操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)

4、、安全軟件、工具軟件的采購(gòu)、安裝、使用、更新、維護(hù)管理。第十五條 軟件的采購(gòu)、安裝和測(cè)試。鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)所使用的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)、安全軟件、工具軟件必須是正式版本，嚴(yán)禁使用測(cè)試版軟件。第十六條 軟件的登記和保管。軟件安裝或更新后，原件(盤(pán))應(yīng)進(jìn)行登記造冊(cè)，歸檔并由專人保管。第十七條 軟件的使用和維護(hù)（一）系統(tǒng)管理員和安全保密管理員共同負(fù)責(zé)維護(hù)操作系統(tǒng)、數(shù)據(jù)庫(kù)及安全管理軟件，并對(duì)系統(tǒng)運(yùn)行情況進(jìn)行記錄。（二）定期對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)及其它相關(guān)軟件進(jìn)行審核審計(jì)，分析與安全有關(guān)的事件，修復(fù)安全漏洞。（三）軟件更新后，須重新審查系統(tǒng)安全狀態(tài)，必要時(shí)對(duì)安全策略進(jìn)行調(diào)整。第八章 技

5、術(shù)文檔管理第十八條 技術(shù)文檔應(yīng)根據(jù)其內(nèi)容來(lái)確定保密要求。借閱、復(fù)制技術(shù)文檔要履行相應(yīng)的手續(xù)。第九章 應(yīng)急響應(yīng)處理第十九條 當(dāng)遇到緊急事件時(shí)，應(yīng)按照相關(guān)規(guī)定進(jìn)行緊急事件處理。應(yīng)急計(jì)劃應(yīng)經(jīng)過(guò)市信用辦審批，由專人管理，定期組織演習(xí)，并針對(duì)演習(xí)結(jié)果進(jìn)行評(píng)估與改進(jìn)。第十章 風(fēng)險(xiǎn)評(píng)估第二十條 為保證鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)的長(zhǎng)期安全運(yùn)行，每年應(yīng)根據(jù)系統(tǒng)綜合日志由運(yùn)維部門(mén)組織對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。 第十一章 信息交換管理第二十一條 鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)在進(jìn)行信息交換時(shí)，應(yīng)遵從以下原則：（一）從互聯(lián)網(wǎng)、公共信息網(wǎng)絡(luò)等系統(tǒng)導(dǎo)入信息到鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，需登記并注明信息的名稱、來(lái)

6、源、用途等。 （二）鎮(zhèn)江市公共信用信息基礎(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)中的信息需要對(duì)外輸出時(shí)，一般應(yīng)輸出紙介質(zhì)文件，并記錄打印臺(tái)帳。確因工作需要使用電子文檔輸出時(shí)，需登記并注明輸出信息的名稱、類別、用途等。第十二章 病毒和漏洞防護(hù)第二十二條 病毒和漏洞防護(hù)職責(zé)（一）安全保密管理員負(fù)責(zé)防病毒體系的部署規(guī)劃，逐步完善病毒防護(hù)措施，并對(duì)所有的防病毒產(chǎn)品進(jìn)行有效管理，及時(shí)更新病毒庫(kù)和惡意代碼樣本庫(kù)。（二）系統(tǒng)管理員應(yīng)對(duì)系統(tǒng)所使用的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)、工具軟件、安全軟件等進(jìn)行全面檢查，確保其安全性。第二十三條 病毒和漏洞防護(hù)措施（一）在發(fā)現(xiàn)計(jì)算機(jī)病毒疫情時(shí)，管理人員應(yīng)及時(shí)采取有效的措施，對(duì)不能解決的情況，要作為安

7、全事件及時(shí)向領(lǐng)導(dǎo)報(bào)告，對(duì)染毒次數(shù)，殺毒次數(shù)，殺毒結(jié)果進(jìn)行詳細(xì)說(shuō)明。（二）應(yīng)定期對(duì)計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)及其它重要的軟件進(jìn)行稽查審計(jì)，分析可能與計(jì)算機(jī)病毒相關(guān)的事件，以采取技術(shù)措施切斷計(jì)算機(jī)病毒傳播的途徑。（三）定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和病毒檢測(cè)工作，并填寫(xiě)漏洞掃描報(bào)告、漏洞掃描記錄以及相關(guān)的計(jì)算機(jī)病毒檢測(cè)和清除記錄。（四）根據(jù)系統(tǒng)審查和系統(tǒng)安全掃描的狀況，及時(shí)調(diào)整所采取的計(jì)算機(jī)病毒防治技術(shù)措施。第十三章 數(shù)據(jù)備份與恢復(fù)第二十四條 數(shù)據(jù)備份方法（一）文件數(shù)據(jù)的備份：包括對(duì)服務(wù)器上的數(shù)據(jù)文件、日志文件備份以及用戶端文件的備份（用戶自己對(duì)重要數(shù)據(jù)文件進(jìn)行本地備份）。（二）數(shù)據(jù)庫(kù)的備份：對(duì)于數(shù)據(jù)量較大、

8、實(shí)時(shí)使用的數(shù)據(jù)庫(kù)，使用專用的數(shù)據(jù)庫(kù)備份工具備份。（三）系統(tǒng)的備份與恢復(fù)：通過(guò)專用軟件和技術(shù)，實(shí)現(xiàn)系統(tǒng)的快速恢復(fù)，避免重新安裝系統(tǒng)的復(fù)雜過(guò)程。第二十五條 數(shù)據(jù)備份周期（一）對(duì)于非常重要的數(shù)據(jù)，隨時(shí)修改，隨時(shí)備份。（二）對(duì)于周期性變化的數(shù)據(jù)，可在一個(gè)變化周期結(jié)束后進(jìn)行備份。（三）對(duì)于應(yīng)用軟件程序源代碼，在每次修改時(shí)，要對(duì)修改前的數(shù)據(jù)做好備份，并在本次修改完成后，再次做好備份。（四）對(duì)于系統(tǒng)運(yùn)行參數(shù)，應(yīng)在系統(tǒng)正式投入運(yùn)行后，對(duì)參數(shù)進(jìn)行記錄或備份，并在每次系統(tǒng)修改后再次記錄或備份。第二十六條 數(shù)據(jù)庫(kù)恢復(fù)（一）關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫(kù)備份措施必須經(jīng)過(guò)測(cè)試以驗(yàn)證備份正確、可用，且應(yīng)有測(cè)試相關(guān)記錄，記錄中應(yīng)包含測(cè)試時(shí)

9、間、測(cè)試人員、測(cè)試對(duì)象、測(cè)試過(guò)程、測(cè)試結(jié)果等相關(guān)信息。（二）關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫(kù)備份介質(zhì)應(yīng)在其他建筑物內(nèi)有一份獨(dú)立的副本，防止在異常事故發(fā)生時(shí)被同時(shí)破壞。數(shù)據(jù)庫(kù)備份環(huán)境應(yīng)保證備份數(shù)據(jù)安全，數(shù)據(jù)庫(kù)系統(tǒng)與備份環(huán)境間具有快捷安全的傳輸通道。（三）對(duì)重要系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器等進(jìn)行備份，并對(duì)關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器采用熱備份等。（四）恢復(fù)方案應(yīng)保證在出現(xiàn)災(zāi)難性崩潰的時(shí)候，應(yīng)在12小時(shí)內(nèi)恢復(fù)數(shù)據(jù)庫(kù)的使用，數(shù)據(jù)損失不超過(guò)24小時(shí)，關(guān)鍵數(shù)據(jù)損失不超過(guò)12小時(shí)，如果應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)有特殊的要求，應(yīng)根據(jù)應(yīng)用系統(tǒng)的要求制定特殊的數(shù)據(jù)庫(kù)備份恢復(fù)計(jì)劃，以確保數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全。（五）數(shù)據(jù)必須根據(jù)備份周期進(jìn)行備份，并由專人檢查備份情況，確保備份成功。對(duì)配置信息更改后，需立即對(duì)配置信息進(jìn)行備份。第十四章 終端安全管理第二十七條 終端準(zhǔn)入管理系統(tǒng)內(nèi)使用的所有計(jì)算機(jī)須通過(guò)市信用辦登記備案，嚴(yán)禁將沒(méi)有備案的設(shè)備私自接入信息系統(tǒng)。第二十八條 終端使用管理系統(tǒng)終端用戶應(yīng)設(shè)置屏幕保護(hù)，空閑時(shí)間要小于10分鐘，并在恢復(fù)時(shí)要求密碼保護(hù)。第二十九條 口令管理?？诹钤O(shè)置應(yīng)滿足：（一）口令長(zhǎng)度不少于八位。（二）采用組成復(fù)雜、不易破解的口令，應(yīng)由大小寫(xiě)英文字母、數(shù)字和特殊字符中兩者以上的組合。第十五章