湖州市数字档案馆信息安全管理制度

2018-07-31 湖州市档案局

为保障湖州市数字档案馆各信息系统、各业务数据的安全,规范各项操作和管理流程,防范由于设备故障和人为操作导致的各类安全隐患,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统保密暂行规定》等有关要求,特制定本制度。

第一章  总  则

第一条  信息安全管理应当以安全第一、综合防范、预防为主、持续改进为工作方针,为数字档案馆稳定运行提供可靠的安全保障。

第二条  信息安全应当包括但不限于:确保系统及数据的完整性、可用性、机密性,不遭受破坏、更改及泄漏;确保信息系统连续、可靠、正常运行,提供及时、持续和高质量地服务并不断改进;确保信息安全管理体系建设和运行能满足信息系统日常安全管理的需要,并覆盖各个安全管理层面。

第二章 账户管理

第三条  本制度所指账户是指湖州市数字档案馆中需授权登录的所有硬件和软件的用户名账号。其中,硬件包括服务器、存储设备、交换机、安全设备等;软件包括操作系统、档案业务系统(主要包括:馆藏系统、馆室一体化系统、共享平台、浙江档案服务网)以及各类其他应用软件。

第四条  账户管理由信息技术管理处负责,并明确专人承办开户、销户、授权等工作,严格执行申报、审批、报备制度。

第五条  超级管理员账户只能有一个,且必须由信息技术管理处掌握,不得随意借用。

第六条  根据工作需要,严格设定各账户操作权限,不得设定超越工作职权范围以外的权限,不得设定等于甚至超越超级管理员权限的账户。

第七条  档案业务系统个人账号开户/权限变更/销户由个人向所在处室提出申请,填写《湖州市档案馆业务系统用户权限新增/更改/注销申请审批单》,递交分管领导审批同意后,将审批单提交给信息技术管理处进行账户处理。

第八条  档案业务系统单位账号开户/权限变更/销户由单位填写《湖州市档案馆业务系统用户权限新增/更改/注销申请审批单》,递交信息技术管理处,待信息技术管理处报请分管领导审批同意后进行账户处理。

第九条  硬件、操作系统账户由信息技术管理处负责使用和维护。

第十条  遇工作需要开设的临时账户,在工作完成后要及时删除临时账户。

第十一条  系统用户发生部门调动、权责调整以及离岗离职等情况时,应主动提出账号变更、停用或删除等申请,信息技术管理处应及时做好变更处置。

第三章 密码(密钥)管理

第十二条  密码(密钥)管理包括数字档案馆各业务系统、数据库账户以及维持各系统运行的服务器、存储设备、网络设备、安全设备等的账户密码。

第十三条  档案业务系统个人账户/单位账户初始密码由信息技术管理处依据开户申请,在账户配置时一并设定。

第十四条  档案业务系统新用户进入系统后应及时更换初始密码,并注意密码安全强度。账户密码由使用者个人/单位自行保管,定期更换,不得以任何途径对他人泄露。

第十五条  服务器、存储设备、网络设备、安全设备以及业务系统管理员账户密码由信息技术管理处统一管理,每十五天更换一次,密码长度不少于8位,且必须包含大写字母、小写字母、特殊符号和数字,及时做好更改记录。

第十六条  加强重要系统密码文件管理,每半月检查一次密码文件。

第四章 风险评估

第十七条  应当通过自查或邀请专业机构,定期或不定期对数字档案馆运行进行风险评估,评估内容包括人员控制、设备管理、操作流程、系统业务、数据管控等多方面,发现风险隐患及时处置。

第十八条  在对人员控制风险进行评估时,应将数字档案馆人员按照局馆人员、维护人员及外来人员进行分类,根据不同人员的性质、特点以及权责,梳理出相应的风险点。其中:外来人员不得接触局馆业务数据及核心设备;维护人员应在数字档案馆软硬件管理员的监督下进行维护升级操作。局馆人员不得接触自身权限以外的数据及设备。

第十九条  在对设备管理风险进行评估时,应将中心机房、档案库房、数字化加工场所、各业务处室以及存放重要设备、重要档案数据的场所等一并纳入评估范围。

第二十条  在对操作流程风险进行评估时,应将各类流程,如设备巡检流程、数据移交进馆流程等纳入评估范围,梳理流程中各环节存在的风险点,并及时做好风险防范。

第二十一条  在对业务系统风险进行评估时,要加强对业务系统稳定性、操作合规性和功能可用性、易用性等方面的风险评估。

第二十二条  在对数据管控风险进行评估时,要加强对数据真实性、有效性、完整性、安全性的检测力度。

第二十三条  针对风险评估结果要及时开展防范和补救措施,制定计划开展整改工作。

第二十四条  根据实际情况,及时对馆内重要业务系统开展信息安全等级保护测评和备案工作。

第五章 灾难恢复

第二十五条  本制度中的灾难恢复是指在数字档案馆体系中,当发生自然灾害、人为操作失误或破坏软硬件系统造成的局馆正常工作中断时,通过执行相应的风险预案,采取修复故障、恢复数据、重启系统等措施,使数字档案馆恢复正常运行状态的过程。

第二十六条  灾难发生后,要及时启动风险应急预案,遏制受灾范围的进一步扩大,对灾难事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估。

第二十七条  应对照受灾恢复重建方案,认真组织实施。尤其是要及时统计受损档案与数据的数量,核实受损程度,并根据具体情况,快速进行档案抢救修复和备份数据恢复等操作。

第二十八条  在日常运维过程中,应妥善保管数字档案馆软硬件系统的安装盘、驱动盘、配置手册、使用手册等,保管记录好设备台帐、配置清单等,确保在发生自然灾害和软硬件系统故障时,能够尽快恢复数字档案馆系统的正常运作。

第六章 应急处置

第二十九条  本制度中的应急处置是指发生突发状况发生时,为避免更大的损失或为使业务先行恢复而实施的一系列临时应急措施。

第三十条  为提高应急处置能力,应确保备件库里的常用备件如普通计算机用硬盘、磁盘阵列用硬盘、内存条、网线、跳线、光纤线等的充足可用。

第三十一条  应建立突发事件应急处置领导小组,负责本单位的应急处置工作。

第三十二条  突发事件发生时,应急处置领导小组要按照职能分工,迅速核实与评估受损情况,及时向上级报告,并通知相关职能部门。单位和个人对突发事件不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。

第三十三条  接到重大灾情预警,在上级部门的统一领导下,按照有关救灾部门的要求,及时做好重要档案的转移工作。