为加强国家统计局启东调查队（以下简称启东队）信息系统管理工作，保障启东队信息系统安全稳定运行，特制定本办法。

　　一、管理范围

　　启东队信息系统包括基于统计信息网（以下简称内网）的信息系统和基于互联网运行的信息系统，信息系统内的各类应用、设备、基础设施、安全保障和技术管理人员等均属本办法管理范围。

　　二、管理部门及其职责

　　启东队信息系统由综合科统一管理，并负责制定信息系统管理策略，包括人员管理、系统建设管理、机房管理、网络管理、系统管理防范和处置安全风险等。

　　三、人员管理

　　（一）权责分设管理。

启东队信息系统管理人员实行管理员、操作员和审计员权责分设制度。管理员，负责信息系统用户管理、授权等操作，对重要操作建立操作规程，制订操作和运维手册。包括信息系统安全管理和维保方案编制，机房巡查方案编制，核心设备安全防护策略等管理方案编制及实施等。操作员，负责信息系统操作实施，机房环境(包括空调、消防、报警、防鼠、防雷)管理等。审计员，负责对系统操作员进行监督审计。

　　（二）在岗人员信息安全管理。

　　1.根据信息技术岗位安全职责，在岗的涉密人员需签订《保密承诺书》。对信息系统管理信息和信息系统承载的内部信息，未经批准不得对外提供或泄露。

　　2.启东队机关各科室要加强对在岗人员的管理，提高在岗人员的安全意识；综合科定期进行信息安全检查，确保信息安全规定有效执行。在检查中发现有违规行为的，综合科上报启东队信息安全领导小组研究处理，情节特别严重的违规行为，在队内部进行通报。

　　3.综合科组织对系统的信息安全基础知识、网络安全教育等知识培训，对信息系统相关人员进行岗位技能、信息系统操作规程等能力培训，对培训情况和结果进行记录并归档保存。

（三）离岗人员管理。

1.启东队信息系统相关人员离岗时应办理工作交接，对已投入运行的信息系统管理资料、台账等和正在实施的项目建设资料等进行完整移交，并交接其使用和负责管理的有关设备资产。

　　2.涉密人员离岗时应根据其签订的《保密承诺书》履行离职后仍需担负的安全责任和义务，对违反安全责任和义务所引发的后果承担责任，泄露敏感秘密的，按照信息安全保密有关规定和相关协议追究其法律责任。

　　3.综合科管理员应在相关人员离岗后依照个人权限清单和信息安全管理要求，修改或删除相关人员的有关信息和信息系统的访问权限。

　　（四）外来人员安全管理。

　　1.接待外部人员来访时，综合科应对其提出信息安全要求，确保来访人员遵守信息安全规定。

　　2.外来人员为启东队信息系统实施的技术支持服务操作由综合科统一管理，其中服务器和数据库操作必须经批准。需要使用信息系统账号等管理信息的，应按照要求由综合科管理人员开通临时账号或提供中间访问协助，不得泄露正式账号密码，实现对操作行为的全程可控。技术服务结束后，管理员应及时关闭相关信息系统临时账号或中止中间访问协助。

　　四、系统建设安全管理

　　（一）设备选型。

　　1.启东队在建设信息系统时，应按照政府采购和信息安全的有关规定，原则上采用我国自主开发研制的信息安全技术和设备。同时，要预先对产品进行选型测试，确定产品的候选范围，审核供应商的资质。

　　2.采用密码技术的安全专用产品须具备国家密码管理部门的审批文件，严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的密码设备。

　　（二）采购安装。

　　1.启东队信息系统所使用的操作系统、应用软件、数据库、安全软件、工具软件应满足正版软件和知识产权保护的相关要求。

　　2.系统部署后应经过软硬件基础测试并进行系统试运行，期间不得加载任何正式数据。试运行合格，经综合科负责人批准，系统才能正式上线运行。

　　五、网络安全管理

　　实行“三员分权”管理，由综合科指定的管理员、操作员和审计员负责。

　　（一）网络安全规划。

　　在网络系统规划、升级、改造建设过程中，综合科应组织相关人员对网络建设方案进行评审，满足网络安全管理要求。

　　（二）网络接入控制。

　　1.操作员负责网络接入工作。启东队机关各科室业务应用和工作人员办公终端、外来人员临时使用终端设备等需要使用启东队网络的，应书面申请，科室负责人审核，综合科负责人批准后，操作员实施并记录台账，定期检查清理接入情况。

　　2.操作员负责网络边界安全防护，在网络边界处采取安全措施，并对违规行为进行检查和阻断。

　　3.操作员建立和改变与外部系统的连接均应须综合科负责人批准或授权。

　　4.管理员负责管理网络拓扑，负责VLAN、安全域划分，安全域划分应根据应用类别和重要程度实现应用系统分类部署。操作员在安全域边界配置并启用严格的访问控制策略。访问控制策略设置应遵循“默认禁止”和“最小授权”原则。

　　（三）网络安全审计。

　　审计员负责管理网络关键部位审计设备，管理网络设备日志，每日监控、记录与网络安全相关的操作与活动，定期分析记录并报告。原则上日志保存时间应不少于6个月。

　　（四）网络设备管理。

　　1.操作员应将网络设备编号、名称、用途、IP、负责人等信息以标签方式张贴或固定在网络设备前面板明显位置，未经许可，任何人不得撕毁、篡改。操作员应对上、下联设备连接线缆、网络端口进行详细标识。

　　2.网络设备及相关配套软硬件的申请采购按照启东队固定资产采购办法执行，验收由启东队综合科负责。设备完成验收后，操作员按照管理员拓扑管理要求，组织设备上架和网络接入。

　　3.操作员负责网络配置定期备份工作，做好备份记录。

　　4.操作员负责网络设备系统软件的更新工作，更新前应对现有版本文件进行整体备份。

　　5.操作员原则上应定期（每半年）对网络设备口令进行更新。

　　（五）网络安全检查。

　　1.管理员负责制定详细的网络检查项目，操作员负责网络系统运行的日常检查工作，将检查结果进行记录。

　　2.操作员应定期对网络设备配置进行检查和评估，确保网络配置与安全策略保持一致，并对检查结果进行记录。

　　3.操作员应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。

　　（六）网络访问控制。

　　1.管理员应制定网络访问控制策略，并做好相应备案记录。

　　2.访问控制策略内容包括：根据业务、管理需要，对不同的科室接入进行划分；明确各科室只能访问被允许访问的网络和网络服务；规定各科室访问网络和网络服务使用的方法。

　　七、系统安全管理

　　（一）系统维护管理。

　　启东队的系统维护管理主要由综合科指定的管理员、操作员和审计员负责。

　　1.工作人员须定期进行岗位专业知识技能和信息安全培训，能正确执行本岗位管理工作。

　　2.操作员应依据操作手册对系统进行维护，详细记录保存操作日志。重要的操作、运行维护、参数的设置和修改，须经科室负责人批准，严禁进行未经授权的操作。审计员负责运维安全审计系统监控并记录用户的日常操作，设置系统日志的保存时间。

　　3.审计员应定期对运行日志和审计数据进行分析，以便及时发现异常行为。定期对使用中的信息安全管理情况进行检查和报告。

　　4.操作员应对系统中运行的软件版本进行严格控制，建立管理记录。对系统软件版本升级、补丁更新、安全加固等活动组织评审和测试，防止因上述变更影响到应用系统的正常运行。

5.操作员要定期对系统进行漏洞扫描，对发现的安全漏洞及时进行修补。在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。

6.所有接入内网和互联网的服务器必须统一安装服务器专用版杀毒软件。操作员应及时更新病毒库，并定期全盘查杀病毒。

7.操作员设置操作系统口令应满足复杂度要求（8位以上，字母、数字和特殊字符两者以上组合，不易被猜测）并定期修改口令。严禁使用操作系统默认用户名。

8.管理员要加强对测试服务器的管理。管理员在分配初始口令时不得使用简单易猜测的口令，业务使用人员应修改服务器的初始口令并满足口令复杂度要求。

9.操作员应根据应用的需求，仅开放需要的服务端口；应细化到具体服务器IP地址和服务端口，一般禁止对本网络区域外的IP开放3389、445、135、137、139等端口。除工作需要外，禁止开放远程管理端口。不得利用服务器资源进行与业务无关的操作。

　　（二）系统备份管理。

　　启东队的系统备份管理主要由综合科指定的管理员、操作员和审计员负责。

　　1.管理员应制定系统备份策略，包括系统配置备份和设备备份，并做好相应备案记录。

　　2.操作员应使用备份存储、备份软件、数据库备份工具等方式每天进行系统数据备份，并做好系统配置及设备备份的保存与管理。

　　3.操作员要做好检查工作，定期对备份进行恢复测试，保证备份安全有效。

　 （三）用户行为管理。

　　1.启东队机关工作人员在使用信息系统时要自觉遵守国家有关法律、行政法规，严格执行国家信息系统安全规定；不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动；不得制作、查阅、复制和传播有害信息；不得下载、安装、传播和使用盗版软件。严禁在工作时间从事与工作无关的网络活动和行为。

　　2.综合科统一管理、分配用户计算机的网络IP地址，使用者不得冒用他人IP地址上网。未经允许不得擅自使用网络资源；未经允许不得擅自对信息网络功能进行删除、修改或者增加；未经允许不得擅自对信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。不得从事危害信息网络安全的活动；不得在网络上散发恶意信息，冒用他人名义发布信息，侵犯他人隐私；不得从事其他侵犯网络和他人合法权益的活动。

　　3.切实做好统计工作网络、数据生产专网、政务外网和政务内网等网络使用的安全管理工作，上述网络严格按照规定要求进行物理隔离和逻辑隔离。物理隔离网络中的涉网用户终端及设备禁止在其他网络中交叉使用，一经发现操作员将采取断网措施。

4.所有接入内网的计算机必须安装国家统计局客户端安全管理软件，实行实名制准入制度，严禁非受控计算机接入内网。

5.每台接入内网和互联网信息系统的计算机必须统一安装由综合科指定的防毒软件并及时升级。

6.用户计算机操作系统口令应满足复杂度要求（8位以上，字母、数字和特殊字符两者以上组合，不易被猜测）。

7.工作人员应对本人负责的重要信息定期进行检查，并使用备份系统、光盘刻录等方式进行数据备份。严禁未经批准的外来人员使用内网，严禁泄露计算机口令和涉密数据，启东队机关各科室负责人负责定期维护本科室的信息系统设备。

　　8.工作人员应确保信息设备使用环境良好，严禁在附近放置液体、堆放杂物或放置易燃、易爆物品。下班前必须关闭计算机、打印机等电子设备并切断电源。

　　八、恶意代码防范

　　（一）系统防范。

　　1.综合科要定期组织培训，提高防范恶意代码意识和安全技能。

　　2.系统防范管理主要由综合科指定的操作员负责。操作员应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，定期检查网络内服务器的杀毒软件运行状态并进行记录，对防毒软件系统上截获的危险恶意代码或恶意代码进行及时分析处理。

　　（二）用户防范。

　　1.每台接入内网或互联网的服务器和计算机，必须安装由综合科指定的防毒软件并及时升级，不得自行卸载停用杀毒软件，不得安装非指定的防杀恶意代码软件。

　　2.工作人员不得收集、研究、编制、复制、传播计算机病毒、木马或恶意程序等。

　　3.工作人员应定期对计算机进行查毒、杀毒工作。使用他人光盘、U盘、移动硬盘前必须先进行病毒扫描，确认安全后方可使用。经远程通信接收的程序、数据包、电子邮件等，须经过检测确认无病毒后方可使用；对外报送的电子数据资料，应确认无病毒后方可发送，防止病毒传播扩散。发现计算机病毒或恶意程序，要及时使用杀毒软件进行查杀，并向综合科报告。

　　4.禁止私自扩展、加装网络设备和私自跳接计算机联网的信息点。

　　（三）恶意代码的查杀与处理。

　　综合科应管理和指导日常恶意代码查杀工作。发生大规模恶意代码事件时，按照应急管理办法执行。　　

　　九、本办法由启东队综合科解释。