前言:中文期刊网精心挑选了数据安全管理细则范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
数据安全管理细则范文1
1信息安全管理系统现状
信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。
信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。
2信息安全管理系统标准
科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。
2.1ISO/IEC27000系列标准
1995年,英国标准协会(BSI)了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。
2.2信息安全等级保护
1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则]是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外,信息安全等级保护的系列标准里还包括(〈GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。
3信息安全管理系统的模型设计
根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:
第一层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。
第二层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。
第三层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。
最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。
上述新型信息安全管理系统模型主要体现出以下六点创新之处:
(1)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。
(2)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。
(3)该新安全管理系统增加并促进了拓补管理功能的发挥。
(4)该信息安全管理系统模型提供了统一的知识库管理,能够对日志、资产库、异常日志以及资产弱点库和资产风险库等部分进行更有效的数据存储与管理。
数据安全管理细则范文2
一、抓检查整改,加大安全管理力度
(1)突出了计算机安全管理。计算机的应用提高了工作效率,同时也给安全保卫工作带来新的课题。为强化计算机安全管理,我联社根据市办要求切实制定了计算机安全管理办法和计算机集中购置管理办法等,落实了管理责任,使计算机购置、安装、操作、使用、保养、业务备份管理等逐步走向规范化。同时,加大检查落实力度,对全辖计算机安全管理组织检查活动x次,对计算机系统用户和口令保护、数据安全、网络安全、硬件安装、病毒防范等方面进行了地毯式排查整改,确保了全辖计算机管理安全无事故。
(2)强化了检查整改。为促进安全保卫工作制度化、规范化,落实检查效果。年初,我们根据x办指示制定了安全保卫检查实施办法和违规违纪处罚实施细则,采取常规性检查与突击性抽查、白天查与晚上查、下乡随时查与重大节日专题查相结合的办法,时刻注意掌握辖内安全保卫工作动态,整改隐患,堵塞漏洞,防患于未然。今年来,我们采取听、查、问、试等方法,采取百分制形式,查制度看落实、查管理看漏洞、查设施看隐患、查思想看认识等方式将安全保卫工作纳入到每季综合考核工作目标,实行按季考核、按年兑现的工作新举措。
(3)严格五项管理。一是严格了押运安全管理。严格落实守、押安全制度,严格押运操作规程,确保了营业网点封包安全准时接送无差错,实现了押运无事故。二是严格了营业、守库、值班安全管理。各分社普遍建立了11项安全工作基本制度,制定了“四防”应急处置预案,并能做到制度上墙,内容入心,操作熟练。三是严格了枪弹管理。普遍落实了枪弹管理安全责任制,严格实行枪弹分管等“十严”规范化管理制度,领用、交接手续严密,登记齐全,责任明确,并做到部门每周检查和领导按月检查监督,保管实行定人定责擦洗保养制度,保持性能良好,全年未出现任何违规持枪或滥用现象,确保了枪弹管理安全。四是严格了联防管理。各网点与四邻的机关单位或居民户、地方政府及公安派出所都建立了联防关系,签订联防协议,并加强了与联防户的联谊,使之能招之即来。五是严格了信息档案管理。
(4)加强物防建设。我们牢固树立“花钱保平安”的思想,贯彻从安全出发、从实际出发的原则, 制定科学合理的安全设施建设计划,区别轻重缓急,分步实施,加大资金投入力度。今年来,在经费紧张的情况下,先后投入资金1.3万元,不断改进和加强安全设施建设,提高物防和技防水平,提高了安全系数。一是加强了金库房安全设施建设。新置联社中心库房大保险柜x台,完善联社营业部守库房设备。新置排气扇一台、双层铁床x架,加固库房门x只。二是加强了押运安全设施建设 。
数据安全管理细则范文3
关键词:安全防护;数字校园;信息资源;防护体系
中图分类号:TP393 文献标识码:B 文章编号:1673-8454(2012)21-0024-02
学校网络安全与信息资源保密工作的重点:一是确保交换、服务、存储、备份设备正常运行;二是确保网上信息资源不被破坏或窃取;三是严格防止计算机或存储介质在校园网与互联网间混用,导致泄密;四是杜绝不符合校园网接入要求的终端或不合法用户入网。为有效防范各种攻击破坏行为,确保网络及信息资源安全,构建数字校园网络安全防护系统。
一、建设目标与原则
建设“数字校园安全防护系统”的目标和原则包括:构建整体防御体系;注重安全性能平衡;立足终端控制;着眼主动防范攻击;发挥原有设备作用;强化制度规定落实。
二、建设内容与功能
1.防范来自外网的病毒及入侵行为
(1)防火墙
学院校园网与全军军事训练综合信息网相连,为防止来自外网的端口扫描、蠕虫等安全威胁,购置具有军队认证资质、性能优良、拥有自主知识产权的天融信NGFW4000(TG-470C)型防火墙,该设备最大并发连接数160万,每秒新建连接数6万,实现以下功能:采用在线模式部署、在优先保证业务持续的基础上提供全面的防护、基于状态的链路检测,可以识别并阻断非法报文、防统计型报文等攻击行为;可以根据数据包的来源和数据包的特征进行阻断设置;支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;具有完善的日志收集、传输、存储、分析、报告等解决方案。
配置位置:全军网入口处。
(2)防毒墙
为防止来自外网的病毒传播,利用已有的天融信TOPSEC防病毒网关,串接在内网到全军网的出口处,过滤拦截双向的病毒传播。
配置位置:防火墙串行后端。
(3)入侵防御系统
为防止外网对校园网网络、服务、存储、终端设备和内部信息资源的破坏与窃取,及时发现、处理和防御各种入侵行为,购置1台H3C IPS T200E入侵防御设备,配合相应软件构建内网入侵防御系统。该系统在跟踪数据流状态的基础上,对报文进行3层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。
配置位置:防毒墙或防火墙串行后端。
2.防范非法与不安全用户接入内网
(1)身份认证(用户入网实名制)
为防止外来终端随意接入校园网,利用已有的H3C Cams认证系统,在客户端安装H3C认证软件,实现用户名、密码、IP地址、MAC地址绑定后的统一认证,实现数字校园网络接入的实名制。
配置位置:安装在1台服务器上,接入核心交换机。
(2)端点准入系统(EAD)
为有效解决用户不及时升级病毒库、不打操作系统补丁、携带众多安全漏洞上网、运行恶意程序、试用黑客程序等问题,购置1套H3C端点准入防御系统。该系统能够在身份认证(实名制)的基础上,支持终端安全的准入控制,实现下线、隔离、提醒、监控等多种控制方式,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防终端补丁、防病毒、ARP攻击、异常流量、黑白软件安装和运行等因素可能带来的安全威胁,从端点接入上保证每一个接入网络的终端的安全,从而保证网络和信息安全。
配置位置:安装在1台工控机上,接入核心交换机。
(3)访问控制(ACL)
利用核心交换机的VLAN TAG划分及访问控制列表功能,对各VLAN之间的访问进行控制,杜绝非法的VLAN互访,从而通过设置只允许特定用户访问的VLAN,形成重要信息隔离区,以保证重要主机、系统和信息的安全,防止越权访问网络和使用资源。
配置位置:核心交换机。
3.用户终端安全防护
(1)防病毒感染
强制用户安装瑞星杀毒软件网络版或军事综合信息网防病毒系统,实时自动更新病毒库,有效防范病毒及木马。网管通过EAD端点准入防御系统,自动检测上网终端病毒库更新情况,遇有病毒库没有更新的终端,只允许其与杀毒软件服务器连接,不能访问网络上的其它任何设备或信息。
配置位置:安装于用户上网终端。
(2)防入侵攻击
网管利用网络提供各类个人防火墙软件,用户安装这些软件,以增强入网终端防攻击及部分木马的能力。
配置位置:安装于用户上网终端。
(3)防系统漏洞
用户利用网管已经构建的Windows UPDATA服务器(Windows补丁更新系统),及时更新系统漏洞补丁,杜绝因Windows操作系统漏洞带来的安全隐患。网管通过EAD端点准入防御系统,自动检测上网终端操作系统补丁安装情况,遇有没有安装补丁的终端,只允许其与Windows UPDATA服务器连接。
配置位置:用户上网终端与服务器连接自动更新。
4.网站及应用系统安全防护
(1)网站安全
网站安全是网络安全的重要组成部分,除了利用IPS系统防范蠕虫、病毒、木马、DoS/DDoS、后门等攻击,还要防止黑客向网站进行各类注入及跨站攻击,为此必须在网站建设初期做好安全防范,主要做好代码过滤、脚本防范、数据库防护、服务器安全配置等。
配置位置:网站建设代码及各服务器。
(2)应用系统安全
校园网运行的各类应用系统,必须使用校园“一卡通”统一安全认证机制,配合VLAN的ACL功能,在系统中设计权限控制功能,以保护应用系统及数据安全。
配置位置:应用系统程序权限管理系统。
5.军训网网络值勤综合管理系统
根据上级《关于配发军事训练信息网网络值勤综合管理系统的通知》精神,构建该系统运行环境。
6.安全管理制度规定
对网络及信息资源的安全管理是保证网络安全运行的基础,在采用上述网络安全技术措施的同时,建立一套数字校园安全管理与使用的制度章法体系,并采取切实有效的措施保证制度的落实与执行。包括:数字校园网安全管理实施细则;数字校园网使用管理规定;网管机房管理规定;数字校园网应急响应预案;教学训练信息资源使用规定。
数据安全管理细则范文4
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
数据安全管理细则范文5
一、基本原则
(一)统一领导,分级负责。县第七次全国人口普查领导小组办公室统一领导、组织协调县第七次全国人口普查风险防控工作。各乡级人口普查机构负责本地的风险防控工作。
(二)预防为主,防控结合。增强预警分析,强化预研预判,做好应急演练。高度重视风险预防和处置工作,做好风险防控的各项准备,必要时提前启动预案,防患于未然。
(三)规范流程,加强管理。规范工作流程,严肃工作纪律,将风险防控工作纳入规范化、制度化、程序化轨道,提高对突发事件全过程的综合管理和紧急处置能力。
二、风险的主要种类
(一)统计造假弄虚作假风险。主要表现为统计对象未如实提供统计数据,普查人员未入户调查,以及普查机构虚报不实数据,存在人为干扰数据报送等,造成统计数据虚报或瞒报。
(二)方案执行风险。主要表现为人口普查机构或普查人员执行《第七次全国人口普查方案》不统一、不规范、不完整,影响普查内容的完整性、准确性。
(三)工作进度风险。主要表现为由于公共卫生、自然灾害、事故灾难和社会安全事件等,导致全县普查工作进度无法正常推进。
(四)舆论导向风险。主要表现为出现不利于普查组织实施、结果等工作顺利开展的社会舆论,导致普查对象不配合普查工作,社会公众对普查结果存在质疑等情况。
(五)数据保密风险。主要表现为因管理不善或人为事故,造成涉及国家秘密或普查对象商业秘密、个人信息的个体资料或汇总资料丢失、泄露。
三、各环节主要风险的预防和应对措施
对于人口普查工作中可能出现的各种风险事件,全县各级人口普查机构要认真梳理,制定预案,明确分工,严格流程,积极应对,妥善处置。
(一)严格执行普查方案。
1、坚持普查方案的统一性。普查方案是组织实施普查工作的总纲和基础,是对普查各项工作的规范。各级不得对普查方案进行更改。
2、保证执行方案的规范性。认真学习、熟练掌握普查方案和实施细则规定,在工作中严格落实执行,确保普查工作规范统一。
(二)做好普查现场登记。
1、对于采取普查员入户方式进行登记的户,必须由普查员入户采集数据并向申报人逐一核实普查项目,决不允许不入户而编造数据;必须由普查员独立、亲自、及时报送数据,绝不允许任何人代替普查员报送数据。入户登记要做到不漏一户、不漏一人,全部入户。
2、对于采取互联网自主填报方式登记的户,普查员必须根据摸底情况把控登记质量。如果自主填报情况与摸底情况有差异,普查员应当上门核实,不应出现漏人等情况。
(三)确保数据采集进度。
在公共卫生、自然灾害、事故灾难和社会安全事件等情况发生,影响到本地的普查数据采集进度时,需及时报告上一级人口普查办公室,并提出解决方案,批准后认真抓好落实,确保全县数据采集工作按时完成。
(四)做好数据审核验收。
1、按照《第七次全国人口普查方案》及有关实施细则中数据检查、审核与验收的规定,随报(传)随审,分级审核。发现错误及时更改。
2、针对普查登记数据中存在的逻辑问题和通过比对部门行政记录资料发现的人口漏报问题进行重新核查并上报。重点进行重名重身份号码审核,核实乡镇街道间重复登记的户或人,确认其信息是否匹配,剔除重复登记的数据。
3、根据普查方案要求,对普查摸底、登记复查、编码等环节进行抽查与质量验收。验收不合格的必须返工,直至达到规定的质量验收标准。对实际登记情况差异或变动较大的乡镇街道,要组织核查组进行实地调查后方能验收。
(五)确保数据处理安全可靠。
1、加强对原始资料数据的安全管理,建立数据备份、复制、对外提供审批流程和授权机制,防范数据被擅自复制、留存或对外提供。
2、加强对部门资料的管理。对获取的部门资料要专人负责管理,严格资料使用管理,防止部门资料丢失、泄露。
3、对于登录数据采集管理平台的计算机,必须安装正规软件,每日查杀病毒。发现染毒计算机,切断染毒计算机的网络连接,停止一切工作操作,保护现场。同时,立即启动病毒应急处理流程,升级防病毒软件并进行全面杀毒,在最短时间内恢复计算机的正常运行,并在确认没有病毒和安全漏洞后恢复计算机网络连接。数据采集电子设备,在使用期间,要进行杀毒,不得下载不安全软件,确保数据安全。
4、加强数据处理相关人员安全管理。加强数据采集平台账号管理,根据工作需要,合理分配数据处理人员权限。数据采集平台操作人员须经安全培训,离岗、离职时应及时取消其账号和权限等。对于中途退出调查的普查指导员和普查员,要及时注销已分配的普查小区,并及时更换新的普查指导员和普查员。
(六)规范普查数据。
1、依据《统计工作国家秘密范围的规定》(国统字〔2018〕76号),对拟的数据提早明确密级、保密期限和知悉人员范围,并报保密部门备案。数据前,要认真分析研究数据可能产生的社会影响,制定针对性强的舆情问题清单及预案,按规定提前公布数据时间,做好数据的解读和说明工作。
2、在全县人口普查主要数据之前,各乡镇、街道不得提前本地人口普查数据;各级人口普查机构人口普查公报,应当经上一级人口普查机构核准。
3、不得公开、对外提供涉及国家秘密和单个普查对象的数据。
4、事先加强普查数据匹配性的审核评估,组织公报数据解读,集中解答媒体关注的热点、难点和疑点问题。
(七)确保普查数据资料管理安全。
1、加强对普查数据资料使用的安全管理,对外提供普查资料,公布普查数据,应以上级人口普查机构审核认定的普查资料为准。
2、实行普查数据库或资料交接制度,如遇机构或人员调整,必须对所建立的普查数据库或数据资料办理交接手续,确保普查数据库和资料的连续与完整。
3、各级普查机构应严格按照相关规定进行数据导出。
(八)强化普查宣传动员。
1、按照《国家统计系统重大统计新闻舆论事件应急预案(试行)》,有效应对舆情。由县第七次全国人口普查领导小组办公室宣传组牵头,制定重大舆情应对方案,联合相关单位共同开展舆情监测和研判工作。
2、发生普查相关重大舆情突发事件时,要及时报告上级第七次全国人口普查领导小组办公室和当地政府,迅速起草应答口径,按程序审批后,采用适当形式和渠道传播,必要时联系相关部门控制负面舆情和不实报道传播蔓延。
3、对失实报道,应及时与有关媒体和当事人联系沟通,责成其立即采取措施减少不良影响;对媒体曝光的普查数据造假问题,组织核查组赴有关乡镇、街道调查核实情况;对普查对象不配合登记问题,强化依法普查宣传,提升普查对象对普查工作认知度和配合度;对电子采集设备登记、互联网自主填报等过程中可能遇到的突发问题,通过媒体及时通报事故后续处理情况。
4、加强系统舆情管理的联动性,各地应建立舆情监测、研判和应对工作机制,并做好与上级第七次全国人口普查领导小组办公室的衔接,统一开展舆论引导、应对工作。
(九)依法查处违法违纪行为。
1、通过举报电话、举报信件、举报电子邮件、领导批示、媒体反映、业务部门移交等多种渠道,及时掌握人口普查违法线索。
2、认真做好人口普查违法举报的登记、受理和报告,及时组织普查数据的核查及执法检查工作。
3、对人口普查违法责任单位和个人,特别是干预人口普查数据的领导干部,依法依纪依规严肃追究法律责任。加强与纪检监察机关的合作,确保责任追究到位。
4、通过失信人员公示等渠道,对干预普查、拒绝接受普查、提供不真实普查数据,情节严重、性质恶劣的案件,以及对省、市人口普查工作懈怠轻慢、经检查仍屡查屡犯的地方,坚决予以公开通报。
5、妥善处理群体性违法案件。对于大规模不配合普查事件,当地人口普查办公室要充分发挥行政动员能力,开展针对性的宣传动员,并迅速依法开展执法检查。必要时,要充分发挥相关部门的职能作用。对典型案件进行曝光,起到查处一案、警示一片的作用。
(十)严格执行保密规定。
1、对普查中接触、处理或知悉国家秘密的人员纳入人员管理,对人员进行资格审查、保密教育,签订保密承诺书。同时,做好数据处理场地中包括印有数据的废纸在内的各类介质保管工作,对数据处理场地的废纸必须经碎纸机粉碎。
2、加强普查法律法规教育,提高保密意识。对于重大失泄密事件,按照《国家统计系统统计信息重大失泄密事件应急处置预案(试行)》的规定,依法依纪迅速处置。
3、依法被判处徒刑的人员,由当地公安机关和监狱进行普查,填写指定格式的电子普查表,并移交所在地县级普查办公室。县级人口普查办公室指派专人接收,并负责安全保密。
4、对于部门资料中含有内容的资料,要按相关密级文件的交换方式提供,严禁使用非专用的移动存储设备拷贝数据。
5、未经允许,严禁非数据处理人员进行数据处理操作。
6、有关保密单位的数据处理、销毁等其他事项,参照《国家统计局办公室关于保密单位名录管理及统计数据采集报送处理办法的通知》(国统办字〔2014〕23号)执行。
四、组织领导
县人口普查办公室成立预防风险办公室,办公室主任、副主任分别由县人口普查小组领导小组副组长担任,成员由办公室各内设工作组组长和有关成员担任。预防风险办公室负责制定预防风险方案,接收突发事件风险报告,组织实施风险应对工作,协调全县人口普查系统预防风险工作。
预防风险办公室实行工作组组长负责制。各工作组职责分工参照《县第七次全国人口普查领导小组及办公室工作规则》。
各级人口普查机构要根据本地的特点和实际情况,组建相应的预防风险办公室,根据本地可能发生的各种风险制定预案,负责接收县人口普查办公室下达的工作指令。各级人口普查机构预防风险办公室要及时上报本地的预防风险情况,明确职责与分工,提出切实可行的应对措施。
五、工作制度
县人口普查领导小组办公室预防风险办公室建立联络员值班制度、报告制度。
(一)联络员值班制度。
在普查工作期间,县人口普查办公室各工作组要明确各个工作项目预防风险工作的联络员或负责人,公布其电话、邮箱等联系方式。要确保相关人员在岗和值班电话24小时畅通。值班人员负责接收风险事件的情况汇报,由预防风险办公室统一处置风险事件。遇到特殊问题、不能判定或需要上级协调的问题,应及时请示、汇报,不得延误。
对于地方或部门报告的问题,属于本工作组职责范围的,要负责解决;涉及其他工作组的,要与其他工作组协调解决后,将意见反馈地方或部门;属于其他工作组的工作事项,要完整、准确填写值班记录,及时转交其他工作组处理;对于暂时无法解决的问题,要判断是否会引发系统风险,并及时上报。
(二)报告制度。
各级人口普查机构要建立本级风险预案,并确定各项工作联系人。一旦出现突发性事件或工作风险,各级人口普查办公室有关人员必须立即向本级人口普查办公室领导汇报。各级普查机构预防风险办公室要及时向上一级普查机构报告。报告应包括时间、地点、原因、事件详情、损失情况、影响范围、发展趋势、处置措施等内容。在接到上级指令前,应在职权范围内进行相应的应急处置。
县人口普查办公室预防风险办公室要立即对接报情况进行研判,根据突发事件的特点和可能造成的危害,决定是否启动工作预案。对特别重大的突发事件,要在启动应急预案的同时,及时向市第七次人口普查领导小组办公室、县政府报告和向有关部门通报。
数据安全管理细则范文6
近几年来,在领导高度重视下,我们加大了信息科技建设的推进力度,大大缩小了与同业科技差距:建成了现代化、高标准的信息系统数据中心,初步形成同城生产和灾备两中心模式;全面开展网络改造,将广域网三级架构改为二级架构,各营业网点配置2条专线,分别直接上联生产中心和同城灾备中心,实现了业务网与互联网专网进行物理隔离,增强了网络系统的稳定性和安全性;建设完善了网上银行、银行卡系统、资金债券系统、信贷系统等应用系统,形成了结构清晰、业务功能基本满足业务发展和经营管理需要的应用系统体系。相对于信息化建设发展水平的快速提高,我行的信息科技风险管理水平略显滞后,也与监管当局的要求存在一定的差距。开发测试体系建设需进一步完善,代码质量管理、Bug管理、开发过程管理、测试管理需进一步加强;系统运行管理有待改进,生产系统监控和流程管理自动化管理手段不足,逻辑访问控制有待加强;业务连续性管理及应急体制建设有待加强,应制订全行性的业务连续性规划及应急演练方案,并定期更新,切实发挥相关部门职能,按要求组织开展应急预案的演练,提高应急演练的有效性和覆盖面。李秀生:北京农商银行的信息科技风险管理制度体系涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性。信息科技风险管理进展为了提升信息科技风险管理水平,北京农商银行根据监管要求,结合信息科技建设实际情况,不断完善科技风险管理治理架构,初步建立了科技风险防控体系,有效预防和消除了科技风险事件的发生,确保了生产安全稳定运行和信息安全。
1.完善信息科技风险治理结构,明确信息科技风险“三道防线”的职责。成立了信息科技管理委员会,除了审议信息科技战略规划、推动信息科技建设的职能外,着重加强审议信息科技风险管理、信息安全策略、信息安全重大事项和信息安全评估报告等科技风险管理职能,强化了科技风险管理体系建设中高层的推动作用;设置了首席信息官,直接参与跟信息科技运用有关的业务发展决策,确保信息科技各项工作的有效开展和落实;形成了由信息科技部门、风险管理部门及审计部门组成的信息科技风险“三道防线”。
2.持续建立健全信息科技风险管理制度体系。对现有信息科技制度体系进行了整体评估,重新梳理确定信息科技制度体系架构,建立包括制度、实施细则及技术规范(标准)三层架构的制度体系。同时规范对现有制度的管理,形成了《信息科技制度汇编》,涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度,每年进行一次评估和修订,并在全行范围内印发执行,确保制度的科学性、合理性和可操作性,有效指导信息化建设和风险管理工作的开展。
3.事前、事中、事后管理并重,提升信息科技风险管理水平。一是强化风险防控意识,防范于未然。持续对全体科技员工进行风险意识教育,树立对风险防控的高度敏感性和责任心,积极向员工传导遵守法律法规和实施内部控制的重要性,培养员工的诚信和道德,规范员工职业行为,从源头上控制、减少潜在风险的发生。二是健全内控机制,规范事中管理。科学合理设置科技岗位,明确每个岗位的职责、权限,建立了逐级授权和审批机制,并制定相应控制措施;规范岗位操作流程,重要操作如版本迁移、数据修改等实行双人制,一人操作,一人复核,防止出现控制真空,产生风险;同时重视利用技术手段来强化风险管理,如批量作业自动化系统、系统和网络监控系统监控系统的建成有效地提升了系统运维风险管理水平。三是加强信息科技风险的识别和检查,持续督促、跟踪整改,深入挖掘信息科技运行及管理存在的问题和潜在风险,制订整改措施并积极整改。建立内部定期专项检查机制,根据每年年初制订检查计划,进行检查,详细记录检查结果,建立风险整改台账,定期对整改情况进行监督及跟踪。除加强上述自查工作之外,还积极配合监管当局开展各项检查,积极借助外部的力量帮助发现问题,查找隐患,从而提升科技风险防范能力。
4.加强信息安全体系建设,强化信息安全管理。完成了信息安全体系规划,建立科学合理的信息安全体系框架,制定较为完善的信息安全策略;通过实施网络边界控制、内网与互联网隔离、全面病毒防护、桌面系统监控、数据分级与使用保护等系列安全项目,建设形成覆盖数据安全、网络安全、系统安全和应用安全的综合信息安全体系,确保生产系统安全和客户信息安全,防范科技风险。未来的工作重点通过以上科技风险管理工作的开展,有效消除和防范了科技运行及科技管理中的风险隐患,近几年我行未发生信息科技风险事件,科技风险管理水平和防控能力得到显著提升。针对目前科技风险管理中存在的薄弱环节,未来信息科技风险管理的工作重点将体现在以下几个方面。
1.进一步完善信息科技风险治理结构,持续推进科技风险“三道防线”建设。进一步明确信息科技风险治理结构中各级主体的工作职责,充分发挥各级主体的职能作用,形成职责明确、结构合理的信息科技风险管理架构;特别是加强风险管理部门对信息科技风险的管控,形成一个职责明确、功能互补、相互监督、相互制约、共同发展的信息科技风险防范的有机整体。
2.加强软件开发质量管理体系建设,强化开发过程中风险的管理。建成基于我行现在的CMMI3级的软件研发规范体系,通过CMMI3级验收,全面推广体系的应用,整个体系涵盖了软件的需求、设计、开发、测试等各环节,有效规范了整个开发过程的管理;落实需求归口管理机制,推行重大项目需求评审机制,进行重要系统组织级方案评审,提高项目计划管理和风险管理水平;全面推行软件配置管理,提高软件版本管理水平;强化外包管理,规范外包人员工作量评估,加强外包人员工作环境管理。
3.进一步推进运维体系建设。加强对生产变更的风险评估,严格变更过程管理,严控变更风险;确保事件分级制度的落地执行,形成有效的事件升级和响应机制;进一步加强对问题的快速解决,并逐步深化问题的后续管理,从多维度进行生产问题分析,提高生产管理水平;充分发挥系统监控、网络监控工具的作用,完成应用监控建设,全面了解系统运行状态,及时定位故障;全面提高运维管理水平及风险防控能力。
