财政局信息安全管理制度

xxx财政局信息安全管理制度为了认真贯彻执行国务院《中华人民共和国计算机信息系统安全保护条例》、《财政部办公厅关于加强财政信息系统安全和保密管理工作的通知》等文件精神，切实保障财政“一体化信息系统”的信息安全，结合我局计算机安全管理实际，特制定本制度。第一章总则第一条安全工作的指导方针是：“预防为主，安全第一，严格管理，杜绝隐患”。第二条维护财政专网运行，保证财政“一体化信息系统”安全。第三条安全管理基本准则：（一）计算机安全工作制度体系的重点是规范使用财政专网内部人员行为和健全内部制约机制，根据不断变化的情况，及时对计算机安全制度进行补充和完善，逐步形成完整的、科学的计算机安全工作制度体系。（二）设置计算机系统管理员一名，其岗位职责是对财政局办公范围内的计算机系统安全负责，参与对计算机系统安全策略、计划和事件处理程序的制定，协助计算机安全建设和运维方案的制定，负责系统运行安全细则的制定及组织实施，严格一体化系统内用户权限管理，记录系统安全事项。及时解除系统故障，严禁擅自改变系统功能，严禁安装与系统无关的其它程序，发现漏洞及时记录并修复。计算机系统管理员不得从事财务核算工作及各项资金的拨付工作。（三）财政局内其他人员的安全职责是及时报告系统各种异常事件，严格执行系统操作规程和运行安全管理制度，并承担相应岗位安全责任。（四）要自觉加强计算机安全教育，宣传计算机犯罪的危害，提高计算机安全防范意识和法纪观念，自觉维护计算机系统安全。第二章网络、设备管理制度第四条各个预算单位和银行的网络，在接入财政专网前，必须经过财政局的授权。未经授权，任何单位和个人不得以任何方式接入财政专网。第五条所有接入财政专网的计算机，都必须在计算机系统管理员处登记，采取有效技术手段，进行管理控制。第六条坚持涉密计算机及系统，不得接入因特网，和因特网必须进行物理隔断。第七条凡接入因特网的计算机及系统不得涉密，即不得存储、处理、传递国家机密和工作机密。第八条涉密计算机要配备必要的保密措施，尽量采用成熟的、经有关部门认可的综合技术防范手段。第九条涉密计算机严禁以任何方式同时接入内网和因特网，包括双网卡、移动上网卡和无线上网设备等。第十条笔记本电脑、移动硬盘及U盘、光盘等储存介质，因工作原因经常带出，不得存储涉密数据及信息。如确需存储涉密信息，原则上需经领导同意并记录。第十一条重要网络设备包括数据库服务器、应用服务器、存储、主路由器、主交换机、防火墙等应放在财政局信息中心机房内，未经许可，其他人员不得对网络设备进行任何操作。第十二条财政局信息中心机房内服务器的启动和关闭要严格按规定顺序进行。对服务器、交换机、路由器等关键设备或对操作系统、数据库等核心数据进行操作时，须书面记录操作原因、过程和结果。第十三条制定网络设备故障维修规程并严格执行，重大故障应记录日志，进行应急处理并立即报告领导。第十四条除系统管理员或局领导指定同意的硬件维护的人员外，其他同志不得随意拆卸所使用的微机或相关的电脑设备。第十五条财政局工作人员所属电脑及配套设备的使用和保养责任，在平时工作中应做好清洁、保养和安全工作，确保设备始终处于整洁和良好的状态。第十六条因工作需要增加、维修或报废电脑及相关设备，须报领导同意。第十七条财政局内所有办公电脑必须有病毒防范措施，进行资料备份使用U盘或移动硬盘等前，必须确保所使用的U盘或移动硬盘等无病毒。第十八条任何人未经本人同意，不得擅自使用他人的电脑及相关设备。第十九条在互联网上发布与财政工作相关的信息需经领导同意并记录备案。第三章密码管理制度第二十条后台服务器操作系统密码、数据库管理密码由系统管理员掌管，按要求及时更换。第二十一条各岗位工作人员密码由本人掌握，原则上每月更新一次，系统管理员有责任提醒其注意定期更换密码。第二十二条工作区域禁止无关人员入内，他人在进入系统输入密码时，严禁在旁围观。工作人员输入密码时，应有自我保护意识。第二十三条所有办公电脑必须设置操作系统密码，重要文件还要单独设置密码。财政“一体化信息”系统必须设置密码，原则上不要过于简单，并且各个系统密码不要一致。第二十四条较长时间离开电脑，应设置屏幕保护密码或休眠模式等进行键盘锁定，长时间离开电脑和下班时，应关闭系统并切断电源。第二十五条系统管理人员调离岗位，局领导须指定专人接替并对密码立即修改或用户删除。对于其他调离人员使用的登录口令及其所了解的其他密码，应及时更换。第二十六条以上密码严禁泄密，并要求定期修改，一经泄密，一切后果自负。第四章数据安全管理制度第二十七条凡调离本系统或更换工作岗位的计算机技术人员和计算机应用人员，其保存的软件资料一律交清，方可办理调离手续。第二十八条存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责;第二十九条计算机数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。第三十条数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。第三十一条非局技术人员对本局的设备、系统等进行维修、维护时，必须由本局相关技术人员现场全程监督。计算机设备送外维修，须经局领导批准。送修前，需将设备存储介质内应用软件和数据等信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。第三十五条系统管理员应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。xxxx财政局