湖北省公共资源交易中心.docVIP

湖北省公共资源交易中心 信息系统安全管理办法（试行） 第一章 总则 为保证湖北省公共资源交易中心（以下简称中心）信息系统安全可靠运行，保护信息系统免受侵害，根据《中华人民共和国计算机信息系统安全保护条例》、《电子招标投标办法》（国家发改委等八部委第20号令）、《信息安全等级保护管理办法》等法规规章、技术规范的规定，结合中心实际，制定本办法。 本办法适用于中心信息系统安全的管理。中心信息系统安全包括：公共资源电子交易平台、药械集中采购服务平台、公共资源拍卖交易平台等应用系统的系统安全以及中心网络机房安全、数据安全等。 中心及相关工作人员在信息系统的开发建设、管理使用过程中，应当按照国家相关法律法规和本办法的规定和要求，提高安全意识，履行相关职责，采取有效措施，防范安全风险。 第二章 组织保障 中心成立信息系统安全管理工作小组（以下简称工作小组），负责中心的信息系统安全管理工作。工作小组由中心主任，相关处室负责人，系统安全员，网络机房安全员，数据安全员等组成，中心主任担任组长。 工作小组组长全面负责中心信息系统安全管理工作。相关处室负责人协助组长完成各项工作。系统安全员、网络机房安全员、数据安全员分别负责系统安全、网络机房安全、数据安全的管理。 工作小组每年至少安排一次信息系统软硬件安全防护演练，委托安全等保评测机构对系统安全进行测评，分析演练中存在的安全漏洞，并给予应对策略。定期组织数据恢复演练，提高系统管理人员的数据恢复熟练度，减少恢复时间。 工作小组应每月召开信息系统安全管理例会，总结前阶段安全管理工作，制定下阶段工作计划。组织开展信息系统安全培训。对相关处室和人员进行信息系统安全考核。 中心工作人员应当使用正版操作系统及杀毒软件，确保计算机安全运行。不得泄漏本单位或本人的用户名、口令，以及其他涉及计算机网络安全的信息，不得将本单位或本人的数字证书交给其他单位或人员使用。 中心信息系统安全管理所需资金应当列入中心当年财政预算。 第三章 系统安全管理 系统安全员应当采取有效措施，保障系统稳定、可靠运行。 系统安全员根据系统运行要求配置系统基础数据和系统访问策略，建立系统管理员账户。 系统安全员应当及时做好系统服务的启停、系统补丁更新、系统升级、系统日志分析等工作。 系统安全员按照工作小组的决定分配系统操作权限，加强系统操作权限管理，及时取消离岗离职人员系统操作权限。 系统安全员按照系统安全审计要求（见附件）定期对系统进行安全审计。 系统安全员负责制定系统重大升级方案，经工作小组审核通过后实施。 第四章 网络机房安全管理 网络机房安全员应当采取有效措施，保障网络安全通畅，机房设施稳定运行。 网络机房安全员应当做好网络和机房设备设施的监控、维护，以及服务器的操作系统补丁更新、杀毒软件升级及各种防火墙补丁更新、网络中间件的管理和安装等工作。 网络机房安全员合理划分网段重要网段应当与其它网段隔离。 网络机房安全员应当加强对设备及安全设备的拓扑结构、IP地址、服务器密码等必威体育官网网址信息的管理。 网络机房安全员采取SSH等安全加密方式远程登录网络设备及安全设备，加强网络访问安全管理。U盘、光盘等移动介质在机房使用时必须先行查杀病毒。 涉及网络、公用软件重要参数更改的，须报经工作小组审核通过后实施。 网络机房安全员按照网络安全审计要求（见附件）定期对网络进行安全审计，并填报审计结果表。 第五章 数据安全管理 数据安全员应当采取有效措施，保障中心数据安全、完整、可靠。 数据安全员应做好数据库用户设定和权限分配、数据备份、数据分级、数据加密、数据库补丁更新等工作。 数据安全员应当加强数据库口令的必威体育官网网址管理。 数据安全员按照数据库安全审计要求（见附件）定期对数据库进行安全审计。 第六章 附 则 违反本办法相关规定，造成危害的，追究相关人员责任。 中心可以根据工作实际制定操作细则。 各市（州）公共资源交易中心可参照执行。 附件：《信息审计表》 附件 信息审计表 1. 网络安全审计对象包括对网络结构、网络设备安全以及网络行为的审计，审计数据来自人工收集和技术手段收集等。网络架构主要是对链路、结构以及网络配置方面的审计。网络设备安全审计主要设备层面安全配置审计。网络行为审计内容重点是对网络中发生的安全事件、网络异常行为的审计。 审计对象 审计内容 具体审计项 审计频率 审计方式 网络架构安全 网络的划分 网络间通讯的流程和控制 网络链路的备份 网络安全的设计 网络服务 查看网络物理连接图； 查看网络逻辑连接图（IP分配）； 使用网络侦测工具进行IP（网络服务）扫描； 查看网络安全设计和实施方案 ； 测试备份网络链路 ； 测试网络路由情况 ； 测试网络负载情况 。 每季一次 人工审计 网络设备安全 防火