1、总则
1.1、 目的
为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密管理制度。
1.2 、 范围
安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,业务数据资料,信息系统库资料。
1.3、 职责
XXXXX单位工作人员必须严格执行国家的有关规定和单位里的有关制度,认真管理档案、业务数据资料和数据库系统。注:如有涉密信息请各部门自行妥善管理。
2、管理细则
- XXXXX单位的所有工作人员必须严格遵守单位里的规章制度和XXXXX单位的有关规定,认真做好档案、业务数据资料、数据库系统的管理和维护工作。
- 未经单位领导和网络安全与信息化管理部门负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、管理服务器及控制机房的其他设备。
- 未经单位领导和XXXXX单位负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
- 档案资料安全保密管理,遵循市政府下发的保密资料规定,标注为密件或内部文件的资料一律保密处理。
- 业务数据资料、信息系统库资料,除参照执行市政府下发的保密资料规定外,还应遵循:
a)资料建档和资料派发要履行交接手续。
b)原始数据、中间数据、成果数据等,应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠;要对数据进行校验,注意作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照"基础地理信息系统建库技术规范" 要求作业。
c)定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库系统的正常运行。
d)未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
e)除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。
f)业务数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
g)严格遵守XXXXX单位工作流程,不得做任何违反工作流程的操作。
h)定期对数据库的信息数据进行备份,要求每增加或更新批次,数据备份一次,包括异地热机备份和刻盘备份两种方式;每月定期刻盘两套,异地保存。
- 软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好,建库技术标准规范、应用服务体系完善。
- XXXXX单位办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
- 权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
- 权限管理从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和管理服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。
a)安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料;
b)设定内容中,完全控制是指对VPN虚拟专网中服务器(包括系统服务器、镜像服务器、应用服务器和管理服务器)、终端(包括工作终端和用户终端)有绝对控制权,包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等;
c)高级管理员为最高权限人,设定权限为完全控制,即拥有对所有用户名及密钥管理,查看系统运行日志,拥有对服务器、终端的所有权限管理,即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;系统管理员权限包括对工作终端用户名及密钥管理,拥有对服务器(不包括控制服务器)和终端所有权限管理,即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权;中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权; 一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权;特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。
- 管理服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;信息系统库运行情况记录;各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
- 强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。