|
所属各科室、单位:
现将《平湖市劳动和社会保障局计算机安全管理暂行办法》印发给你们,请认真贯彻执行。
平湖市劳动和社会保障局
二○○八年八月二十六日
平湖市劳动和社会保障局计算机安全管理
暂行办法
劳动保障信息网络系统及数据的安全直接关系到广大参保人员的权益、劳动保障事业的发展与社会和谐稳定,为规范我局劳动保障信息网络系统及数据的管理,确保劳动保障信息网络系统及数据的安全,减少灾难恢复的损失,特制定本办法。
第一条 劳动保障信息网络系统及数据的安全由各单位共同负责,信息中心负责具体实施及日常检查。
第二条 劳动保障信息网络系统硬件控制。
(一)建立硬件设备的定期维护制度及故障处理情况登记制度,规范硬件设备维护和维修工作,保障硬件设备的正常运转。主机设备采用双机热备,信息中心系统管理人员做好日常巡检工作。
(二)加强网络设备管理,重要的通讯设备和通讯线路实行双备份,以保证网络通讯的安全、畅通。
(三)信息中心负责对各入网单位执行网络安全管理规定的监督和检查;各入网单位对网络运行中出现的问题,应及时向信息中心进行报告。
(四)信息中心对各入网单位的网段和IP地址,均按照信息系统IP地址的统一规划进行设置和管理。
(五)各入网单位应建立相应的安全保密管理制度;确保进行业务操作的计算机设备与互联网无任何物理连接,坚决杜绝通过安装网卡、拔插网线等任何方式在信息系统内网和互联网之间进行切换。违反规定的追究相关人员责任,造成严重后果的按有关规定处理,并追究相关单位领导责任。
劳动保障信息网络系统硬件控制按《计算机机房管理制度》、《计算机设备管理制度》执行。
第三条 劳动保障信息网络系统安全控制。
(一)加强数据安全管理,建立数据备份策略,保证数据备份的安全性、可靠性、有效性和及时性,数据备份按《数据备份制度》执行。
(二)加强岗位用户的安全管理,用户权限必须与其岗位职责对应,禁止越权使用。用户离开岗位时,必须退出业务软件界面,一旦发生信息被他人修改,由岗位用户负全责,具体按《信息系统权限审批管理制度》执行。
(三)工作人员调离时,必须移交全部技术资料及有关机密资源的介质,停用其帐号。
(四)系统管理人员不得直接办理具体业务。如前台无法处理或不便处理的,需相关业务经办人严格审核,确认业务的准确性,并对该业务负全责,具体按《信息系统业务及数据处理管理制度》执行。
(五)加强计算机病毒防止管理,各单位应严格控制外来软件和信息的使用,及时更新系统安全设置、病毒库代码、攻击特征码、软件补丁,防止病毒入侵。
第四条 加强对劳动保障门户网站的管理,确保网站安全有效、可靠运行,充分发挥其应用的作用,具体按《平湖市劳动和社会保障局网站管理办法》、《平湖市劳动和社会保障网站管理员工作职责》(平劳社〔2008〕44号)执行。
第五条 发生重大劳动保障信息安全事件,及时按《平湖市劳动和保障信息系统突发事件应急预案》(平劳社〔2008〕98号)处置。
第六条 本办法由局信息化领导小组(金保工程建设领导小组)负责解释。自发布之日起施行。
附:1.计算机机房管理制度
2.计算机设备管理制度
3.数据备份制度
4.信息系统权限审批管理制度
5.信息系统业务及数据处理管理制度
附件1
计算机机房管理制度
为科学、有效管理机房,促进信息系统安全应用、高效运行,特制定本制度。
第一条 交换机、服务器、路由器、电脑及通信设备是信息系统的关键设备,放置在机房内的不得自行配置更换,更不能挪作它用。
第二条 计算机机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经批准严禁进入机房,确需进入的须经批准并填写《机房出入日志表》。
第三条 严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
第四条 计算机管理人员统一管理计算机及相关设备,完整保存主机及相关设备的口令、配置等重要文档。
第五条 制定数据管理制度,对数据实施严格的安全与保密。
第六条 非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改,确需更改或操作机房设备的须经批准。
第七条 机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。
第八条 机房内禁止一切有害、污损交换机、服务器、路由器、电脑以及通信设备的行为。
附件2
计算机设备管理制度
为加强计算机管理,确保计算机系统正常可靠运转,保证各部门日常工作的顺利开展,特制定计算机设备管理制度。
一、本制度所称计算机设备是指各部门个人日常办公使用的计算机设备,包括服务器、网络设备、共享打印机等专有设备。
二、个人日常办公使用的计算设备主要有计算机主机(包括机箱内的各种芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、UPS、外设(键盘、鼠标、音箱)等。
三、计算机设备使用的具体规定
(一)分配到个人或部门使用的设备,科室负责人对设备的安全和完整负有责任。须爱护、珍惜分配给自己使用的计算机设备。
(二)每人原则上只能使用本科室分配的计算机。非必要时,不能将机器交由他人操作(特别是非本单位人员)。未经当事人同意,不能擅自在他人的计算机上进行任何操作。
(三)所有计算机设备,未经授权同意,不得擅自改变位置、拆换任何零件、配件、外设。不论该行为是否已经对设备、网络、数据造成影响,一经发现,将严肃处理。
(四)未经授权同意,个人不得擅自将私有或外来的零件、配件、设备,加入到本单位的办公计算机设备或网络中。不得擅自安装游戏和盗版软件,否则,后果由当事人负责。
(五)如工作实际需要增加或更新设备的,必须向办公室提交申请报告,按更新计划进行。
(六)如果需要将自行购置的计算机设备添加到本单位的计算机设备或网络中,必须预先征得主管人员同意,在确认不影响现有设备、数据、网络安全后才能添加,否则一经发现将严肃处理。
(七)如果需要将系统内的计算机设备搬离办公地点(或借给外单位)使用,必须预先报上级部门批准,并做登记后,在不影响正常办公的前提下方可搬离或借出(必要时将相关数据删除)。
(八)更新计算机设备的途径:一是定期对部分需要升级的机器增加新配件(如增加内存),或更新部分配件;二是使用的设备已经到了淘汰的年份而必须更换新设备。设备更新和旧设备淘汰工作根据计划分批进行。由办公室做好设备的登记管理工作,填写《信息系统设备登记表》。
(九)当设备在使用过程中发生故障或毁坏时,需要将原设备交回办公室,不能自行拆除设备的任何组成部分。否则,后果由当事人承担。
三、违反计算机设备使用的具体规定处理办法。
(一)擅自拆换任何零件、配件、外设者,报单位领导处理。
(二)所有计算机设备,未经授权同意挪动或搬离办公地点(含借给外单位)使用。一经发现,按有关规定处理,后果由当事人负责。
(三)擅自安装游戏和盗版软件者,一经发现,按有关规定处理。
附件3
数据备份制度
一、数据备份的内容
平湖市劳动保障局及下属各单位开展经办业务所需的劳动保障全部业务(统计)数据、财务数据和系统数据;与银行、地税交换的业务数据及劳动保障资源数据库;省、市联网交换数据库。
二、备份方式和频率
1、每天进行以用户为单位的逻辑备份,逻辑备份数据保留2天,逻辑备份过期数据自动清除。每周将最新完整逻辑备份数据刻录光盘。
2、每天由VERITRAS专业数据备份系统进行物理备份,存贮方式为IBM FAST600磁盘阵列存贮,每天一次每周一循环。
3、每天由VERITRAS专业数据备份系统通过专用光纤进行异地备份,配备平湖社保专用备份服务器,每天一次每周一循环。
三、储存介质和保管方式
备份光盘由档案管理人员负责归档登记和查询登记,并实行定期盘点。存放中心档案室,并做好交接手续。保存周期暂定两年。超过规定时间的备份光盘,由档案管理领导小组按档案管理办法监督销毁。
四、备份策略和恢复策略
根据上级要求将积极争取财政支持启动异地容灾系统建设,为确保信息系统现阶段的数据安全,备份策略和恢复策略如下:
(一)备份策略
为了数据的安全性和可恢复性,采用2种备份方式进行备份即物理备份和逻辑备份,备份策略分别如下:
1.物理备份策略
是否执行物理备份(Y/N) Y
预设备份窗口(起始时间,结束时间) 22:00-08:00
(每天非业务操作时间)
数据库运行模式(归档/非归档) 归档
备份方法1(热备份/冷备份) 热备模式
备份方法组合(归档模式)(全备,全备+归档日志,全备+增量(或者差份) 全备+归档日志
备份频率(多长间隔,如果不同时间执行不同的备份请详细描述) 每天一次
备份数据量(GB) 20G
备份保存数量和天数(数量/天数) 1份/7天
归档日志的清理方法 备份完成后自动删除
备份软件备份模式(SAN/直连/网络) 网络
备份冗余和存放介质(内置磁盘,磁盘阵列(NAS),磁带,磁带库) NAS
保留的全备份数量 最近7份
是否备份归档日志(Y/N) Y
过期备份清理方法 直接覆盖
是否检查物理备份的成功失败(Y/N) Y 人工检查
是否检查物理备份的备份时间(Y/N) Y 人工检查
2.逻辑备份策略
是否执行逻辑备份(Y/N) Y
预算备份窗口(起始时间,结束时间) 01:20-04:20
实际备份花费时间(起始时间,结束时间) 01:20-03:30
备份方法组合(全备,用户,表格,表格+结构,用户+结构) 用户
备份频率(多长间隔,如果不同时间执行不同的备份请详细描述) 每日
备份文件是否压缩(Y/N) y
备份保存数量和天数(数量/天数) 4
过期备份的清理方法(手工/自动) 自动
统一备份文件命名规则(Y/N) Y
备份冗余和存放介质(内置磁盘,磁盘阵列(NAS),磁带,磁带库) 内置硬盘、并上传到文件服务器
自动化备份(Y/N) Y
备份脚本目录和文件 siisbackup.bat
执行备份OS用户和DB用户 Oracle/siis
备份集合的独立性(是否依据应用的备份)(Y/N) Y
日常备份成功失败监控(Y/N) Y人工监控
日常备份备份时间监控(Y/N) Y人工监控
(二)恢复策略
1.恢复策略的要求
最大允许宕机时间(小时) 4
最大允许丢失数据时间量(分) 4个工作小时
快速恢复和数据丢失重要性衡量(二选一) 数据丢失重要
首选恢复方案(物理备份系统/逻辑备份系统) 物理回复
预定全业务恢复时间(小时) 3.5小时
业务运营恢复计划(Y/N) Y
业务运营恢复过程步骤和细则(Y/N) Y(业务运行恢复系统检查点)
2.物理备份系统恢复策略
物理备份系统实现目标 恢复到灾难发生前那一刻的数据
预定关键业务恢复时间 3.5小时(注意业务恢复,非数据库恢复)
预定故障诊断时间(小时) 1
预定全备份恢复时间(restore)(小时) 2
预计归档日志恢复时间(restore)(小时) 0.5
预定归档日志应用时间(recover)(小时) 0.5
预定业务系统恢复时间(小时) 0.5
分步骤恢复方案的实现(Y/N) Y
关键业务恢复实现时间(小时) 3.5
重要业务恢复实现时间(小时) 5
一般业务恢复实现时间(小时) 8
全业务恢复实现时间(小时) 8
存在数据库自动化恢复脚本(Y/N) Y
存在业务系统恢复规则和程序(Y/N) ——
3.逻辑备份系统恢复策略
逻辑备份系统实现目标(依重要性排序) 最快速度的恢复到上一次(半天前)
备份的时刻,保证数据的安全有效性
预定故障诊断时间(小时) 0.5
预定数据库创建时间(小时) 1
预计全备份恢复时间(小时) 1
预定完全业务恢复时间(小时) 6(包括重新安装系统)
分步骤恢复方案的实现(Y/N) Y
关键业务恢复实现时间(小时) 2-6
全业务恢复实现时间(小时) 2-6
存在数据库自动化恢复脚本(Y/N) Y
存在业务系统恢复规则和程序(Y/N) Y
掌握自动化数据库恢复(人数) 1
掌握业务系统恢复规则和程序(人数) 1
是否执行备份校验(Y/N) Y
是否执行恢复测试(Y/N) Y
是否做过恢复优化的配置(Y/N) Y
拥有数据库恢复经验(人数) 1
列出启用逻辑备份系统的场合(一一列出) 1.数据库逻辑错误,比如表、库、用户数据误删除等。
2.数据系统崩溃。
3.操作系统崩溃。
4.主机系统崩溃。
拥有预定场合的恢复经验(Y/N) Y
启用容灾备份步骤和细则(Y/N) Y
可以利用的数据库恢复外部资源(列出)
外部资源利用的可靠性(时间,质量) 响应迅速,技术可靠
五、应急系统预案建设
由于各种原因导致社会保障系统数据库出现异常,无法正常工作的情况下,应启动劳动保障信息系统应急预案,保证数据库系统在预计的时间内恢复正常,把劳动保障系统的业务暂停时间减少到最短,把社会影响减少到最小。应急系统的建设目标是力争在4小时(甚至更短)内恢复劳动保障数据库系统正常运行。
六、日常监督与检查
数据备份的日常工作由信息中心系统管理员负责,数据备份文件应定期进行恢复测试,以确保所备份的数据能够及时、准确、完整地恢复,数据备份相关工作纳入岗位目标职责考核,并接受内控稽核管理。
附件4
信息系统权限审批管理制度
为加强信息系统权限管理,降低数据被非法访问,修改、丢失等风险,严格按照如下操作规程办理权限变更手续。
一、业务人员岗位权限
(一)业务人员岗位调整或者岗位职能调整,由科室负责人填写《信息系统权限审批单》,经分管主任审核,主任审批后,交由系统管理员办理权限撤销或者授予手续。
(二)因单位完成临时性工作事项,需要临时开放信息系统操作权限的,由该项工作的主要负责人填写《信息系统权限审批单》,经主任审批后,在规定的时间内,由系统管理员授予相应的操作权限,并在完成该项工作结束后,立即办理撤销权限。
二、系统管理员权限
(一)系统管理员按照有关要求,管理其他业务岗位的权限。并负责对《信息系统权限审批单》归档。
(二)系统管理员不得直接办理具体业务。如前台无法处理或不便处理的,需按《信息系统业务修改及数据处理管理制度》执行。
(三)系统管理员严禁泄漏超级用户密码和其他用户密码。不得向无关人员泄漏运行平台系统各相关密码,如主机密码、数据库密码等,并按规定定时修改。
违反上述规定的按相关制度处理。
附件5
信息系统业务修改及数据处理管理制度
信息系统业务及数据处理应由信息系统前台业务系统办理,如前台无法处理或不便处理的,按照以下办法执行。
一、业务模块需要修改的由相关科室填写《信息系统业务及数据修改审批单》提出申请,并经业务分管领导和信息中心分管领导审批同意,简单的由信息管理人员操作,复杂的报信息系统维护商负责修改,业务修改由相关科室负责确认业务修改的准确性,审批表由信息部门存档备案并长期保管。
二、对由于误操作、程序错误导致只有通过直接修改数据库才能恢复正常业务的,有关业务科室应书面说明原因,提供详细的错误基础数据清单和正确的基础数据,填写《信息系统业务及数据修改审批单》提出申请,并经业务分管领导和信息中心分管领导审批同意,单笔数据由信息管理人员操作、相关业务科室负责正确性检查,批量数据处理须由信息系统维护商技术人员、信息管理人员双方共同操作、相关业务科室负责正确性检查,操作前必须做好测试工作,并填写《信息系统数据修改备查表》,《信息系统业务及数据修改审批单》,《信息系统数据修改备查表》由信息部门存档备案并长期保管。
违反上述规定的按相关制度处理。引起严重后果的追究相关责任人员责任。
主题词:信息化 安全 办法 通知
平湖市劳动和社会保障局办公室 2008年8月27日印发 共印15份
|