数据中心信息安全法规办法标准版本
文件编号:RHD-QB-K9969 (管理制度范本系列)
编辑:XXXXXX
查核:XXXXXX
时间:XXXXXX
数据中心信息安全法规办法标准版本
数据中心信息安全法规办法标准版
本
操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。
为加强数据中心的数据安全和保密管理,保障数据中心的数据安全,现依据国家有关法律法规和政策,针对当前安全保密管理工作中可能存在的问题和薄弱环节,制定本办法。
一、按照“谁主管谁负责、谁运行谁负责”的原则,各部门在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
二、各单位应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设
机构应当指定一名信息安全保密员。
三、要加强对与互联网联接的信息网络的管理,采取有效措施,防止违规接入,防范外部攻击,并留存互联网访问日志。
四、计算机的使用管理应当符合下列要求:
1. 对计算机及软件安装情况进行登记备案,定期核查;
2. 设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
3. 安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;
4. 不得安装、运行、使用与工作无关的软件;
5. 严禁同一计算机既上互联网又处理涉密信息;
6. 严禁使用含有无线网卡、无线鼠标、无线键
盘等具有无线互联功能的设备处理涉密信息;
7. 严禁将涉密计算机带到与工作无关的场所。
五、移动存储设备的使用管理应当符合下列要求:
1. 实行登记管理;
2. 移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;
3. 移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;
4. 鼓励采用密码技术等对移动存储设备中的信息进行保护;
5. 严禁将涉密存储设备带到与工作无关的场所。
六、数据复制操作管理应当符合下列要求:
1. 将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
2. 严格限制从互联网向涉密信息系统复制数据。确需复制的,应当严格按照国家有关保密标准执行;
3. 不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的,应当采取严格的保密措施,防止泄密;
4. 复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
七、处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息。
八、涉密计算机及相关设备不再用于处理涉密
信息或不再使用时,应当将涉密信息存储部件拆除或及时销毁。涉密信息存储部件的销毁必须按照涉密载体销毁要求进行。
九、加强对计算机使用人员的管理,开展经常性的保密教育培训,提高计算机使用人员的安全和保密意识与技能。
十、各单位应当与重点岗位的计算机使用人员签订安全保密责任书,明确安全和保密要求与责任。
十一、计算机使用人员离岗离职,有关部门应当即时取消其计算机信息系统访问授权,收回计算机、移动存储设备等相关物品。
十二、各单位要加强对本单位计算机信息系统安全和保密管理情况的监督,定期开展检查,发现问题及时纠正。
十三、定期检查重点
1. 系统安全运行情况。
检查各个信息系统运行情况。综合业务网络杀毒软件更新、运行情况;外网办公用计算机病毒查杀情况;操作系统和软件使用情况是否安全;是否存在内外网混用情况;终端机是否开启安全防护措施。
2. 安全管理情况。
A. 信息安全主管领导、信息安全管理部门、信息安全工作人员履职以及岗位责任情况等。
(1)信息安全主管领导明确及工作落实情况。
是否有领导分工等相关文件,是否明确了信息安全主管领导,检查信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。
(2)信息安全管理部门指定及工作落实情况。
检查部门分工文件,是否指定了信息安全管理部门。是否制定了工作计划、工作方案、管理规章制
度、监督检查记录等文件,检查管理部门工作落实情况。
(3)信息安全工作人员配备及工作落实情况。
检查人员列表、岗位职责分工等文件,是否配备了信息安全工作人员。
B. 日常安全管理制度建立和落实情况。
检查人员管理、设备管理、运行维护管理情况。
(1)人员管理制度。
检查人员管理制度文件,是否有岗位信息安全责任,人员离岗离职管理、外部人员来访管理等制度。检查人员离岗离职管理落实情况。
(2)设备管理制度。
检查设备管理制度等文件。是否有设备发放、使用、维修、维护和报废等相关制度,是否明确了相关管理责任人。硬件设备登记情况,包括PC机,路由
器,交换机及其他主要设备。检查《计算机硬件设备登记簿》。
(3)运行维护管理制度。
检查是否建立了运行维护管理等相关制度文件,是否包含事故处理记录、数据维护情况等相关内容。检查运维操作手册和运维相关记录,检查是否有事故处理记录、数据维护记录、运行维护管理制度落实情况及相关记录完整性。 3. 技术防护情况。
检查所有接入互联网的计算机设备是否安装了最新的杀毒软件和病毒防火墙,统计网络外连的出口个数,是否每个出口都进行了安全措施。检查网点路由器、交换机等设备配置是否合理,是否启用了有效的身份控制、访问控制功能。
4. 应急处理及容灾备份情况。
重点检查应急预案、应急演练和灾备措施情况。
检查应急预案制定和修订情况。检查应急演练人员对预案的熟悉程度。检查冗余设备情况。
十四、加强整改落实
各部门要切实做好整改工作,对检查中发现的问题,要及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划、整改方案及整改时间表,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。
十五、加强风险控制
各部门在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运
行。
十六、加强保密管理
各单位要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向外透露。
十七、各单位应当建立健全政府信息保密审查机制,明确审查的程序和责任,并明确一名机关行政负责人分管保密审查工作,指定机构负责保密审查的日常工作。各单位开展保密审查时应履行审查审批手续。
十八、数据中心信息安全保密审查,应当以《保密法》及其实施办法等有关法律、法规的规定及
由中央国家机关和国家保密局制定的《国家秘密及其密级具体范围的规定》(以下简称《保密范围》)为依据。
十九、各单位不得开放涉及国家秘密、商业秘密、个人隐私的下列政府信息:
1. 依照国家保密范围和定密规定,明确标识为“秘密”、“机密”、“绝密”的信息;
2. 虽未标识,但内容涉及国家秘密、商业秘密、个人隐私的信息;
3. 依照规定需经国家和有关主管部门批准开放,而未获批准的信息。
4. 其他开放后可能危及国家安全、公共安全、经济安全和社会稳定的信息。
二十、各单位的业务机构在政府信息接入数据中心时、审签时标明是否属于保密事项;在进行保密
审查时,负责保密审查工作的机构和人员应当提出“主动公开”、“不予公开”、“依申请开放”等审查意见,并注明其依据和理由。
二十一、各单位可以在数据中心查看本单位的数据以及其他单位公开的数据;如果要查看需要申请开放的数据,需要提出申请,审查通过后即可查看数据,审核不通过后不能查看数据。数据开放的审核及授权由有关主管部门或者同级保密工作部门负责。
二十二、数据中心的数据由九次方公司保障信息安全。
二十三、不同单位共同形成的政府信息开放给其他单位时,应由主办的单位负责开放前的保密审查,并以文字形式征得其他机关单位同意后方可予以开放。
二十四、各单位对政府信息是否可以开放不明
确时,在征求政府信息制作或者获取单位保密组织机构的意见后,报有关主管部门或者同级保密工作部门确定。
二十五、已确定为国家秘密但已超过保密期限并拟开放的政府信息,单位应在保密审查确认能够开放后,按保密规定办理解密手续,再予以开放。
二十六、拟开放的政府信息中含有部分涉密内容的,应当按照有关规定对国家秘密内容采取删除、变更等方式进行非密处理,采取属于国家秘密的部分不予开放、其余部分开放的方法处理。
二十七、单位及其工作人员有下列情形之一的,应当追究政府信息开放工作过错责任:
1. 未按照规定的开放范围和期限主动提供政府信息,以及不及时更新本单位的政府信息的;
2. 对应当提供的政府信息不提供及提供虚假政
府信息的;
3. 未建立健全保密审查机制,不履行保密审查义务的,或者违反政府信息开放工作程序,开放不应当开放的政府信息的;
4. 违反规定收取费用或者通过其他组织、个人以有偿服务方式提供政府信息的;
5. 违反政府信息开放有关规定的其他行为。
违反上述有关规定的单位,视情况给予责令作出书面检查、通报批评处理。
二十八、无正当理由,在规定期限内不依法履行保密审查职责,从而影响政府信息发布的,由监察机关、上一级单位责令改正;情节严重的,对单位直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
二十九、单位违反有关规定,开放涉及国家秘