數(shù)據(jù)中心信息安全法規(guī)辦法

數(shù)據(jù)中心信息安全法規(guī)辦法第第頁本文部分內(nèi)容來自互聯(lián)網(wǎng)，不為其真實性及所產(chǎn)生的后果負責，如有異議請聯(lián)系我們及時刪除。數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第1頁。數(shù)據(jù)中心信息安全法規(guī)辦法數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第1頁。為加強數(shù)據(jù)中心的數(shù)據(jù)安全和保密管理，保障數(shù)據(jù)中心的數(shù)據(jù)安全，現(xiàn)依據(jù)國家有關法律法規(guī)和政策，針對當前安全保密管理工作中可能存在的問題和薄弱環(huán)節(jié)，制定本辦法。

一、按照“誰主管誰負責、誰運行誰負責”的原則，各部門在其職責范圍內(nèi)，負責本單位計算機信息系統(tǒng)的安全和保密管理。

二、各單位應當明確一名主要領導負責計算機信息系統(tǒng)安全和保密工作，指定一個工作機構具體負責計算機信息系統(tǒng)安全和保密綜合管理。各部門內(nèi)設機構應當指定一名信息安全保密員。

三、要加強對與互聯(lián)網(wǎng)聯(lián)接的信息網(wǎng)絡的管理，采取有效措施，防止違規(guī)接入，防范外部攻擊，并留存互聯(lián)網(wǎng)訪問日志。

四、計算機的使用管理應當符合下列要求：

1.對計算機及軟件安裝情況進行登記備案，定期核查；

2.設置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第2頁。

3.安裝防病毒等安全防護軟件，并及時進行升級；及時更新操作系統(tǒng)補丁程序；

4.不得安裝、運行、使用與工作無關的軟件；

5.嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息；

6.嚴禁使用含有無線網(wǎng)卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息；

7.嚴禁將涉密計算機帶到與工作無關的場所。

五、移動存儲設備的使用管理應當符合下列要求：

1.實行登記管理；

2.移動存儲設備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用，涉密移動存儲設備不得在非涉密信息系統(tǒng)中使用；

3.移動存儲設備在接入本單位計算機信息系統(tǒng)之前，應當查殺病毒、木馬等惡意代碼；

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第3頁。

4.鼓勵采用密碼技術等對移動存儲設備中的信息進行保護；

5.嚴禁將涉密存儲設備帶到與工作無關的場所。

六、數(shù)據(jù)復制操作管理應當符合下列要求：

1.將互聯(lián)網(wǎng)上的信息復制到處理內(nèi)部信息的系統(tǒng)時，應當采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；

2.嚴格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復制數(shù)據(jù)。確需復制的，應當嚴格按照國家有關保密標準執(zhí)行；

3.不得使用移動存儲設備從涉密計算機向非涉密計算機復制數(shù)據(jù)。確需復制的，應當采取嚴格的保密措施，防止泄密；

4.復制和傳遞涉密電子文檔，應當嚴格按照復制和傳遞同等密級紙質文件的有關規(guī)定辦理。

七、處理內(nèi)部信息的計算機及相關設備在變更用途時，應當使用能夠有效刪除數(shù)據(jù)的工具刪除存儲部件中的內(nèi)部信息。

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第4頁。八、涉密計算機及相關設備不再用于處理涉密信息或不再使用時，應當將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。

九、加強對計算機使用人員的管理，開展經(jīng)常性的保密教育培訓，提高計算機使用人員的安全和保密意識與技能。

十、各單位應當與重點崗位的計算機使用人員簽訂安全保密責任書，明確安全和保密要求與責任。

十一、計算機使用人員離崗離職，有關部門應當即時取消其計算機信息系統(tǒng)訪問授權，收回計算機、移動存儲設備等相關物品。

十二、各單位要加強對本單位計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期開展檢查，發(fā)現(xiàn)問題及時糾正。

十三、定期檢查重點

1.系統(tǒng)安全運行情況。

檢查各個信息系統(tǒng)運行情況。綜合業(yè)務網(wǎng)絡殺毒軟件更新、運行情況；外網(wǎng)辦公用計算機病毒查殺情況；操作系統(tǒng)和軟件使用情況是否數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第5頁。安全；是否存在內(nèi)外網(wǎng)混用情況；終端機是否開啟安全防護措施。

2.安全管理情況。

A.信息安全主管領導、信息安全管理部門、信息安全工作人員履職以及崗位責任情況等。

（1）信息安全主管領導明確及工作落實情況。

是否有領導分工等相關文件，是否明確了信息安全主管領導，檢查信息安全相關工作批示和會議記錄等文件，了解主管領導工作落實情況。

（2）信息安全管理部門指定及工作落實情況。

檢查部門分工文件，是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件，檢查管理部門工作落實情況。

（3）信息安全工作人員配備及工作落實情況。

檢查人員列表、崗位職責分工等文件，是否配備了信息安全工作人數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第6頁。員。

B.日常安全管理制度建立和落實情況。

檢查人員管理、設備管理、運行維護管理情況。

（1）人員管理制度。

檢查人員管理制度文件，是否有崗位信息安全責任，人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。

（2）設備管理制度。

檢查設備管理制度等文件。是否有設備發(fā)放、使用、維修、維護和報廢等相關制度，是否明確了相關管理責任人。硬件設備登記情況，包括PC機，路由器，交換機及其他主要設備。檢查《計算機硬件設備登記簿》。

（3）運行維護管理制度。

檢查是否建立了運行維護管理等相關制度文件，是否包含事故處理記錄、數(shù)據(jù)維護情況等相關內(nèi)容。檢查運維操作手冊和運維相關記錄，數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第7頁。檢查是否有事故處理記錄、數(shù)據(jù)維護記錄、運行維護管理制度落實情況及相關記錄完整性。

3.技術防護情況。

檢查所有接入互聯(lián)網(wǎng)的計算機設備是否安裝了最新的殺毒軟件和病毒防火墻，統(tǒng)計網(wǎng)絡外連的出口個數(shù)，是否每個出口都進行了安全措施。檢查網(wǎng)點路由器、交換機等設備配置是否合理，是否啟用了有效的身份控制、訪問控制功能。

4.應急處理及容災備份情況。

重點檢查應急預案、應急演練和災備措施情況。檢查應急預案制定和修訂情況。檢查應急演練人員對預案的熟悉程度。檢查冗余設備情況。

十四、加強整改落實

各部門要切實做好整改工作，對檢查中發(fā)現(xiàn)的問題，要及時進行研究，采取有效措施加以整改。因條件不具備不能立即整改的，要制定整改計劃、整改方案及整改時間表，并采取臨時防范措施，確保網(wǎng)絡與信息系統(tǒng)安全正常運行。要舉一反三，在同類系統(tǒng)、同類設備中排數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第8頁。查類似問題，切實提高信息系統(tǒng)安全防護水平。

十五、加強風險控制

各部門在開展安全檢查工作時，要明確相關工作紀律并嚴格執(zhí)行。要識別檢查中的安全風險，周密制定應急預案，強化風險控制措施，明確發(fā)生重大安全問題時的處置流程，確保被檢查信息系統(tǒng)的正常運行。

十六、加強保密管理

各單位要高度重視保密工作，指定專人負責，對檢查活動、檢查實施人員以及相關文檔和數(shù)據(jù)進行嚴格管理，確保檢查工作中涉及到的商業(yè)秘密得到有效控制；對檢查人員進行保密培訓，確保檢查工作中獲知的信息不被泄露，檢查數(shù)據(jù)和檢查結果不向外透露。

十七、各單位應當建立健全政府信息保密審查機制，明確審查的程序和責任，并明確一名機關行政負責人分管保密審查工作，指定機構負責保密審查的日常工作。各單位開展保密審查時應履行審查審批手續(xù)。

十八、數(shù)據(jù)中心信息安全保密審查，應當以《保密法》及其實施辦數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第9頁。法等有關法律、法規(guī)的規(guī)定及由中央國家機關和國家保密局制定的《國家秘密及其密級具體范圍的規(guī)定》（以下簡稱《保密范圍》）為依據(jù)。

十九、各單位不得開放涉及國家秘密、商業(yè)秘密、個人隱私的下列政府信息：

1.依照國家保密范圍和定密規(guī)定，明確標識為“秘密”、“機密”、“絕密”的信息；

2.雖未標識，但內(nèi)容涉及國家秘密、商業(yè)秘密、個人隱私的信息；

3.依照規(guī)定需經(jīng)國家和有關主管部門批準開放，而未獲批準的信息。

4.其他開放后可能危及國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的信息。

二十、各單位的業(yè)務機構在政府信息接入數(shù)據(jù)中心時、審簽時標明是否屬于保密事項；在進行保密審查時，負責保密審查工作的機構和人員應當提出“主動公開”、“不予公開”、“依申請開放”等審查意見，并注明其依據(jù)和理由。

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第10頁。二十一、各單位可以在數(shù)據(jù)中心查看本單位的數(shù)據(jù)以及其他單位公開的數(shù)據(jù)；如果要查看需要申請開放的數(shù)據(jù)，需要提出申請，審查通過后即可查看數(shù)據(jù)，審核不通過后不能查看數(shù)據(jù)。數(shù)據(jù)開放的審核及授權由有關主管部門或者同級保密工作部門負責。

二十二、數(shù)據(jù)中心的數(shù)據(jù)由九次方公司保障信息安全。

二十三、不同單位共同形成的政府信息開放給其他單位時，應由主辦的單位負責開放前的保密審查，并以文字形式征得其他機關單位同意后方可予以開放。

二十四、各單位對政府信息是否可以開放不明確時，在征求政府信息制作或者獲取單位保密組織機構的意見后，報有關主管部門或者同級保密工作部門確定。

二十五、已確定為國家秘密但已超過保密期限并擬開放的政府信息，單位應在保密審查確認能夠開放后，按保密規(guī)定辦理解密手續(xù)，再予以開放。

二十六、擬開放的政府信息中含有部分涉密內(nèi)容的，應當按照有關規(guī)定對國家秘密內(nèi)容采取刪除、變更等方式進行非密處理，采取屬于國家秘密的部分不予開放、其余部分開放的方法處理。

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第11頁。

二十七、單位及其工作人員有下列情形之一的，應當追究政府信息開放工作過錯責任：

1.未按照規(guī)定的開放范圍和期限主動提供政府信息，以及不及時更新本單位的政府信息的；

2.對應當提供的政府信息不提供及提供虛假政府信息的；

3.未建立健全保密審查機制，不履行保密審查義務的，或者違反政府信息開放工作程序，開放不應當開放的政府信息的；

4.違反規(guī)定收取費用或者通過其他組織、個人以有償服務方式提供政府信息的；

5.違反政府信息開放有關規(guī)定的其他行為。

違反上述有關規(guī)定的單位，視情況給予責令作出書面檢查、通報批評處理。

二十八、無正當理由，在規(guī)定期限內(nèi)不依法履行保密審查職責，從而影響政府信息發(fā)布的，由監(jiān)察機關、上一級單位責令改正；情節(jié)嚴數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第12頁。重的，對單位直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。

二十九、單位違反有關規(guī)定，開放涉及國家秘密的政府信息，造成泄密事件的，依照有關規(guī)定對單位直接負責保密審查的主管人員和直接責任人給予處分；情節(jié)嚴重構成犯罪的，按照《刑法》、《保密法》及其實施辦法的有關規(guī)定，依法追究刑事責任。

三十、對違反有關規(guī)定的單位直接責任人員、直接負責的主管人員和主要負責人，視情追究政府信息開放工作過錯責任。責任追究方式為：

1.責令改正；

2.誡勉談話；

3.責令作出書面檢查；

4.通報批評；

5.調(diào)離工作崗位。

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第13頁。以上追究方式可以單獨或合并使用；情節(jié)嚴重的，視情給予辭退、責令辭職或免職處理；需要依法給予處分的，依照《單位公務員處分條例》予以處理；構成犯罪的，依法追究刑事責任。

三十一、有關責任人員包括：

1.不依法履行職責，對造成的影響或者后果負直接責任的政府信息開放工作人員；

2.不依法履行職責，對造成的影響或者后果負直接領導責任的主管政府信息開放工作的領導；

3.不依法履行職責，對造成的影響或者后果負全面領導責任的單位主要領導。

三十二、政府信息開放工作過錯責任人有下列情形之一的，應當從重處理：

1.推卸、轉嫁責任的；

2.干擾、妨礙調(diào)查處理，或者不采取補救措施，致使損失或者不良影響發(fā)生或者擴大的；

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第14頁。

3.造成重大經(jīng)濟損失或者嚴重不良社會影響的；

4.一年內(nèi)出現(xiàn)兩次以上應予追究責任的情形的；

5.打擊、報復對信息開放工作進行投訴和申訴的公民、法人或其他組織的；

6.不依法履行政府信息開放義務，被復議機關或審判機關確認違法的；

7.法律、法規(guī)、規(guī)章規(guī)定的其他情形。

三十三、政府信息開放工作過錯責任人有下列情形之一的，可以從輕或者免予處理：

1.問題或過錯發(fā)生后，主動配合調(diào)查處理的；

2.及時改正錯誤的；

3.主動采取措施，有效避免或者挽回損失，或者有效避免社會不良影響發(fā)生或者擴大的；

數(shù)據(jù)中心信息安全法規(guī)辦法全文共15頁，當前為第15頁。

4.法律、法規(guī)、規(guī)章規(guī)定的其他情形。

三十四、單位的政府信息開放工作過錯責任追究，由同級監(jiān)察機關或其上一級單位實施。監(jiān)察機關和上一級單位應加強溝通協(xié)商，及時對違反