第一章 总 则
第一条 为保证营口市住房公积金管理中心(以下简称“公积金中心”)信息系统安全、高效、平稳运行,提高公积金中心信息系统安全管理的科学化、规范化水平,保障公积金中心业务和日常管理工作的正常开展,特制定本办法。
第二条 本办法中的信息系统,是指与公积金中心应用系统运行相关的硬件设备与软件系统,包括主机系统、网络系统、应用系统。
第三条 本办法适用范围:公积金中心各部门。
第四条 信息科为公积金中心信息系统安全管理的主要职能部门,全面负责公积金中心信息系统安全管理工作。
第五条 公积金中心信息系统安全管理工作实行逐级管理模式,实行谁主管谁负责、预防为主、人员防范和技术防范相结合的原则。各部门设立信息系统管理员,报信息科备案,负责本部门信息系统管理。信息系统管理员一般由本部门副职兼任。
第六条 信息系统安全管理工作是公积金中心信息化建设的基础性工作,涉及公积金中心各个部门。公积金中心各部门应积极配合信息科做好信息系统安全管理工作。
第二章 主机系统安全管理
第七条 本办法中的主机系统是指公积金中心机房主机设备及系统软件、灾备系统主机设备及系统软件、各业务部门前台客户端主机终端设备、自助查询机设备等。
第八条 信息科负责公积金中心机房内主机系统及灾备系统主机系统的安全管理。灾备系统的主机系统由实际所在地的工作人员协助信息科进行日常的安全管理,并做好运维日志。
第九条 信息科工作人员每日需对主机系统运转情况进行定时巡检。对巡检中发现的问题,工作人员应及时报告,并认真记录管理日志。
第十条 信息科工作人员要及时解决主机系统运行故障,并协调配合主机系统运行维护厂商进行定期巡检及自检,做到故障隐患早发现、早解决,保证主机系统健康平稳运行。
第十一条 信息科工作人员要严格遵守操作规程,严谨违规操作。特别是在日间生产运营时段,严禁对正常运行的主机系统进行日常维护操作。
第十二条 主机系统中的操作系统、中间件系统、数据库系统的管理用户及密码要严格保密,并定期更换。
第十三条 公积金中心各部门负责本机构的终端设备、网络设备、自助查询机、打印设备、扫描设备等的日常检查和维护。遇有设备故障,各部门无法解决时,报请公积金中心信息科协助解决或进行维修。
第三章 网络系统安全管理
第十四条 本办法中的网络系统是指用于公积金中心内网及外网的路由器、交换机、防火墙、网闸等网络设备及系统软件。
第十五条 公积金中心内网与外网必须严格实行物理或技术隔离,确保网络接入安全。
第十六条 信息科工作人员要对网络系统做好每日值班巡检、定期自检工作,同时配合运维厂商做好网络系统的巡检工作,并做好日志记录。对巡检中出现的安全隐患问题要及时提出解决方案。遇有重大故障时,应报请公积金中心领导审定解决。
第十七条 网络系统管理人员要严格遵守操作规程,特别是在日间生产运营时段,严禁对正常运行的核心网络设备进行日常维护操作。
第十八条 网络设备操作系统密码应严格保密,并定期进行更换。
第十九条 遇有公积金中心网络通讯中断或网络设备发生损坏时,信息科网络管理人员要快速解决,尽快恢复网络通讯系统的正常运行,确保公积金业务的正常开展。
第二十条 各部门信息系统管理员要做好网络通讯的日常管理工作,定期查看交换机、路由器、防火墙等设备的工作状态,认真记录运维日志。遇有设备故障,及时通知信息科网络管理人员进行处理。
第二十一条 各部门的计算机中必须安装防病毒软件及内网公积金中心安全代理软件,各部门信息系统管理员应对本部门的计算机定期进行病毒查杀。遇到不能杀除的病毒,应立即通知信息科网络管理人员进行后续处理,防止病毒扩散。
第二十二条 各部门使用外来存储介质时,需进行病毒检测通过后方可正常使用。
第二十三条 对因计算机病毒引起的系统瘫痪、程序和数据严重破坏等重大事故,信息科应及时向公积金中心领导报告,必要时应向公安机关和相关部门报告,并保护好现场。
第二十四条 任何人员不得利用公积金中心办公网制作、复制、查阅、传播与本职工作无关的信息;不得私自留存、拷贝、传播涉密文件;不得从事封建迷信、黄色淫秽、赌博等违法犯罪活动。
第四章 应用系统安全管理
第二十五条 本办法中的应用系统是指公积金中心的核心业务及管理系统、外围业务系统(包括公积金公积金中心网站、短信系统、自助查询机系统、网上办事大厅、绩效考核系统、稽核系统、行政执法系统、OA系统、联名卡系统等)。
第二十六条 要充分利用主机系统及系统软件提供的安全机制,实现应用系统的安全保护。
第二十七条 各应用系统对各级用户及其权限的设定应严格管理,用户权限分配应坚持最小化原则。
第二十八条 各级用户密码应严格保密,并定期进行更换。各部门遇有人员调离时,部门负责人应及时上报信息科重新调整、分配人员权限,将调离人员的应用系统用户上收,并更换密码,以防他人盗用。
第二十九条 各部门工作人员每日登录系统前需检查业务系统的工作状态,如有简单故障,应由本部门信息系统管理员对故障产生的原因初步分析并解决。若无法解决需及时通知信息科解决。
第三十条 应用系统操作人员需对前台终端设备、业务系统进行正确操作,严格按照公积金中心的系统权限设定和相关操作规程进行相关的业务操作。
第三十一条 在工作期间内暂时离岗,操作柜员应将其柜员账号从业务系统正常退出,以防止他人进行恶意操作。在营业结束时,必须严格按照公积金中心业务系统操作轧帐签退。
第三十二条 信息科应根据需要定期或不定期组织技术人员对应用系统安全情况进行检查,遇有问题时,及时采取有效措施予以解决。
第三十三条 应用系统需求变更管理,按照公积金中心制定的需求变更流程执行。
第五章 数据安全管理
第三十四条 信息科负责公积金中心核心业务及管理系统、外围业务系统的数据安全管理,其他部门的应用系统数据安全由其本部门负责。
第三十五条 信息科每日必须对核心业务及管理系统、外围业务系统进行数据备份。日间发生的公积金业务数据每日备份至灾备系统。对备份数据及灾备数据应定期检查其有效性及准确性,遇有问题及时处理,保证业务数据的安全有效。
第三十六条 公积金中心其他住房资金业务系统、财务核算系统、办公自动化系统等应用系统的数据备份、刻录、存档工作,由其他所属部门负责。
第三十七条 特殊营业日(公积金年度结息日、会计年度结转日等)的数据备份或在系统重大修改前的数据备份应在本系统运行期间长期留存,以供备查。
第三十八条 废弃数据及废弃介质的处理
(一) 业务数据存储介质在遭到机械原因损坏,或由于使用寿命已到,存储能力不稳定,造成不可恢复的故障时,经相关技术人员确定并报请公积金中心领导审批后,视为废弃数据及废弃介质,并进行备案登记处理。
(二) 废弃介质中仍有可能包含重要数据,本着安全保密的原则,必须妥善处置,应采取安全焚毁或消磁手段进行废弃处理,不能随意丢弃。
第三十九条 严格遵守数据信息保密原则,任何人不得向外单位及个人泄露公积金业务系统中的相关数据信息。特殊情况需提供数据的,需相关部门承办,经公积金中心领导审批后,由信息科或相关业务部门进行数据导出,并由信息科进行备案登记管理。
第四十条 在应用系统运行过程中,如确属系统业务数据问题需要对原始数据进行修改的,经应用系统管理人员及业务人员确认后,业务部门填写《业务数据办理事项审批表》,并报请公积金中心领导审批,由信息科负责修改并进行备案登记管理。
第六章 技术档案管理
第四十一条 技术档案是指公积金中心信息系统建设过程中涉及到的系统实施方案、设计方案、开发文档、系统集成方案等一系列重要技术档案。
第四十二条 技术档案的收集
(一) 公积金中心下发的信息系统建设相关文件;
(二) 各应用系统方案的论证、设计、实施过程、程序编码等技术文档;
(三) 信息系统建设项目工作总结。
(四) 信息系统建设项目合同签订文本及相关协议;
(五) 与信息系统建设相关的各项工作请示、报告;
(六) 重要会议内容及记录等。
第四十三条 技术档案的管理
(一)技术档案是公积金中心信息化建设的宝贵财富,为使档案得以安全保管,必须确定专人负责管理,专柜存放电子文档及对应的纸质文档,切实做好技术档案的管理工作。
(二)信息系统建设项目完成以后,应及时收集与项目建设有关的技术文档,避免遗漏,并按档案管理要求进行整理,立卷。
(三)建立技术档案的保管登记制度,编制技术档案目录,并定期移交公积金中心档案室集中统一保管。
第七章 机房安全管理
第四十四条 公积金中心机房及操作间的安全管理工作,包括设备运行安全、消防安全、水电安全等。安全管理工作要由专人负责管理,并实行日常巡视制度。信息科负责公积金中心机房的安全管理工作。
第四十五条 为保障公积金中心机房及设备间安全,严禁在机房及设备间内堆放易燃易爆物品、严禁从事危害安全的各种活动。
第四十六条 信息科应安排专人对机房及操作间进行巡视,每日需对机房温度、湿度、UPS、漏水检测、消防等进行检查,并做好日志记录工作。当遇有问题时,及时处理解决。
第四十七条 信息科要组织人员对机房及设备间进行消防系统、防雷系统、新风系统、机房环境系统等进行安全监测,及时排除安全隐患。
第四十八条 严格机房和设备间门禁管理,门禁用户账号及密码仅限机房管理人员本人使用,严禁转借他人使用。
第四十九条 进入机房和设备间时,必须更换鞋套,以保持机房内环境卫生。
第五十条 信息科要做好机房及设备间的运行环境管理工作,定期除尘,定期检查网络设备、UPS等的运行状况,认真记录工作日志。如遇有无法解决的技术问题,立即通知运维厂商或供应商解决。
第五十一条 外来人员的管理
(一) 外来人员进入机房或设备间,须经公积金中心领导或信息科负责人批准后,由信息科工作人员带领方可进入,信息科工作人员应向外来人员说明注意事项并进行出入登记。
(二) 外来人员在机房或设备间内应遵守公积金中心的各项安全运行管理制度,不得从事危害安全的各种活动。
(三) 外来人员进入机房或设备间后,应听从机房工作人员安排,未经允许,不能随意触碰重要设备,以保证设备运行安全。
(四) 未经允许,外来人员不得在机房及设备间内从事拍照、录像等活动。
(五) 外部人员进入机房或设备间时,信息科工作人员需全程跟随,不得让外来人员单独留在机房或设备间内,且不得长时间逗留。
(六) 其他部门及运维厂商运维人员进入公积金中心机房进行运维操作时,需向信息科提出申请并填制工作单,同时进行登记备案。
第八章 附 则
第五十二条 本办法由信息科负责解释。
第五十三条 公积金中心各相关部门在信息系统安全工作中,要严格按照本办法执行。如本办法与国家相关政策法规不符的,应以国家相关政策规定为准。
第五十四条 本办法自印发之日起执行。
营口市住房公积金管理中心