各縣（市、區(qū)）統(tǒng)計局、臺州灣新區(qū)統(tǒng)計局，市局各處室（中心）：

　　為保障臺州市統(tǒng)計局數(shù)據(jù)安全，確保統(tǒng)計數(shù)據(jù)安全，現(xiàn)將《臺州市統(tǒng)計局數(shù)據(jù)安全規(guī)章制度》印發(fā)給你們，請認真遵照執(zhí)行。

　　臺州市統(tǒng)計局

　　2022年12月16日

臺州市統(tǒng)計局數(shù)據(jù)安全規(guī)章制度

　　第一章 總則

　　第一條 為規(guī)范臺州市數(shù)據(jù)備份及管理工作，合理存儲歷史數(shù)據(jù)及保證數(shù)據(jù)的安全性，防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)丟失，保障局正常的數(shù)據(jù)和技術(shù)資料的儲備，根據(jù)《中華人共和國數(shù)據(jù)安全法》和浙江省統(tǒng)計局數(shù)據(jù)安全制度要求，結(jié)合本市實際，特制定本制度。

　　第二條　本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　第三條　各地區(qū)、各處室（中心）對本地區(qū)、本處室（中心）工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責。

　　第二章 數(shù)據(jù)備份

　　第四條 各處室（中心）應(yīng)根據(jù)各種數(shù)據(jù)的重要性及其容量，確定備份方式、備份周期和保留周期，制定確保數(shù)據(jù)安全、有效的備份策略以及恢復預案。具體備份和恢復可由相關(guān)處室（中心）負責實施。

　　第五條 對計算機和設(shè)備進行軟件安裝、系統(tǒng)升級改造或更改配置時，應(yīng)進行信息數(shù)據(jù)和設(shè)備參數(shù)的完全備份。應(yīng)用系統(tǒng)更新后，應(yīng)實現(xiàn)數(shù)據(jù)的遷移或轉(zhuǎn)換，確保歷史數(shù)據(jù)的完整性，確認無誤后，并對新系統(tǒng)及其數(shù)據(jù)進行完全備份。

　　第六條 數(shù)據(jù)備份的介質(zhì)選擇要滿足各系統(tǒng)的備份策略和數(shù)據(jù)備份及保存的要求，包括安全可靠性、方便性和服務(wù)質(zhì)量。各處室（中心）可將數(shù)據(jù)備份到指定的服務(wù)器或刻錄成光盤存檔等，通過網(wǎng)絡(luò)硬盤、磁介質(zhì)、郵箱管理等方式更好地保證數(shù)據(jù)安全性、正確性和有效性。

　　第七條 數(shù)據(jù)備份系統(tǒng)須由指定管理人來建立、修改和管理系統(tǒng)授權(quán)表及授權(quán)口令，相關(guān)處室（中心）進行數(shù)據(jù)備份修改時，應(yīng)及時做好修改記錄并告之管理人。管理人如出現(xiàn)離任、調(diào)職等情況，應(yīng)在其交接之后，可由新任管理人將原系統(tǒng)管理人的權(quán)限、賬戶密碼等進行重新設(shè)置。

　　第八條 數(shù)據(jù)備份與管理的責任處室（中心）要加強對備份介質(zhì)的管理，對需要歸檔的及時歸檔處理，確保正確使用介質(zhì)并合理處理廢棄介質(zhì)，需處置保密廢棄的介質(zhì)應(yīng)提交管理人統(tǒng)一給保密局處理。備份介質(zhì)應(yīng)該放在適于保存的安全環(huán)境，如防盜、防潮、防鼠害，防蟲咬，避免高溫高壓；磁性介質(zhì)遠離磁性、輻射性等。對介質(zhì)要有嚴格的存取控制，對有備份數(shù)據(jù)的介質(zhì)要進行定期檢查，確認所備份數(shù)據(jù)的完整性、正確性和有效性。

　　第九條 當由于出現(xiàn)故障而導致系統(tǒng)或數(shù)據(jù)確實損壞并無法搶救時，需審核恢復預案，估算可能的損失。具體操作如下：

　　1.恢復計劃和方案通過相關(guān)處室（中心）同意后才能對系統(tǒng)進行故障操作，恢復操作不應(yīng)影響對故障原因的追查和故障的處理；

　　2.恢復操作前所有相關(guān)信息系統(tǒng)的系統(tǒng)管理員應(yīng)同時到場，先備份現(xiàn)場系統(tǒng)、數(shù)據(jù)和環(huán)境，再按照恢復方案的要求進行恢復；

　　3.系統(tǒng)恢復后，應(yīng)由相關(guān)信息系統(tǒng)的系統(tǒng)管理員進行測試，同時再進行一次備份，恢復的情況應(yīng)報告相關(guān)處室（中心）；

　　4.對于重要的信息數(shù)據(jù)，每年應(yīng)至少進行一次備份數(shù)據(jù)的恢復演練，并做出可靠性評估。

　　第十條 數(shù)據(jù)安全管理部門應(yīng)加強對數(shù)據(jù)備份和管理工作的考核力度，建立相應(yīng)的管理制度。如因未嚴格遵守規(guī)定而造成備份系統(tǒng)發(fā)生故障，或數(shù)據(jù)丟失、泄露，或?qū)е滦畔⑾到y(tǒng)無法正常運行的，數(shù)據(jù)安全管理部門應(yīng)評估造成的損失，明確事故原因和責任人，按信息安全懲戒管理相關(guān)規(guī)定進行處理，并將處理情況和防范措施反映在數(shù)據(jù)備份報告中。需要時填寫《信息安全事件報告單》。

　　第十一條 相關(guān)處室（中心）應(yīng)認真做好數(shù)據(jù)備份的文檔工作，完整地記錄備份系統(tǒng)的配置和備份數(shù)據(jù)源的相關(guān)信息。做好備份工作的運行日志和維護日志工作，建立備份文件檔案及檔案庫，詳細記錄備份數(shù)據(jù)的信息。同時要做好數(shù)據(jù)備份的文卷管理，所有備份應(yīng)有明確標識，包括卷名、備份時間、運行環(huán)境、備份人等。

　　第三章 系統(tǒng)管理

　　第十二條 由單位決定由誰來負責修改系統(tǒng)管理策略，在什么地方可以修改；由誰來負責授予其它工作人員訪問和使用系統(tǒng)的權(quán)力，誰擁有超級用戶的特權(quán)，同時規(guī)范系統(tǒng)管理員的權(quán)力和責任。

　　第十三條 由單位決定工作人員是否可以擁有對自己的計算機的超級用戶權(quán)限；系統(tǒng)管理員要保證系統(tǒng)的可用性，秘密信息僅能被合法的授權(quán)用戶訪問，不被未授權(quán)用戶修改。

　　第四章 用戶訪問控制

　　第十四條 所有的用戶都要經(jīng)過授權(quán)，用戶有在自己的環(huán)境里設(shè)置對象特權(quán)的權(quán)力。

　　第十五條 禁止用戶刪除在共享目錄下其它用戶的文件。

　　第十六條 可以通過制定的策略控制用戶對于系統(tǒng)中所有對象的訪問，用戶不能檢查授予其它用戶的訪問控制權(quán)限。

　　第五章 帳號及密碼管理

　　第十七條 用戶名和密碼的組合定義了系統(tǒng)中用戶的身份，采取安全的密碼策略是防止非法訪問系統(tǒng)最重要的手段?；驹瓌t：用最少的時間、最小的權(quán)限來完成其工作。

　　第十八條 系統(tǒng)管理用戶組的成員要由系統(tǒng)管理部門來授權(quán)。

　　第十九條 不能設(shè)置多人共用的帳號，當一個工作人員離開崗位后，其帳號要及時刪除，及時清理僵尸帳號，如果一個用戶帳號（超級用戶除外）在較段的時間內(nèi)連續(xù)登錄失敗（比如說一小時內(nèi)有20次），暫時禁止此帳號，并通知用戶。

　　第二十條 用戶名和組的結(jié)構(gòu)應(yīng)該在整個單位內(nèi)部是統(tǒng)一的（字母和數(shù)字組成）。

　　第二十一條 不要使用guest用戶，如果要用，應(yīng)該有很強的安全限制；用戶和組要由系統(tǒng)管理員進行管理，不能由用戶自己管理。

　　第二十二條 每個用戶在系統(tǒng)中應(yīng)該只有一個帳號，用名稱或數(shù)字進行標識，用戶名和密碼不能在同個通信平臺中傳輸。

　　第二十三條 計算機15分鐘空閑后系統(tǒng)應(yīng)該加鎖，并由密碼保護。

　　第二十四條 用戶應(yīng)用程序及其系統(tǒng)配置只能由用戶本人可寫，而且不能被他人讀取，對于用戶違反安全策略的選擇要及時通知。

　　第二十五條 當用戶登錄后要顯示上一次成功和失敗登錄的時間和地點，并設(shè)置用戶帳號過期時間；用戶登錄輸入錯誤用戶名或密碼時，系統(tǒng)應(yīng)該顯示相同的提示信息，系統(tǒng)不能提供合法帳號的信息。

　　第二十六條 如果用戶輸入了錯誤的用戶名/密碼，要等待1秒鐘后再次提示登錄；如果第二次失敗，就等待2秒鐘；下一次就等待3秒鐘。這樣可以防止攻擊者采用自動登錄程序。

　　第二十七條 密碼要用易于記憶、易于輸入的數(shù)字、大寫字母、小寫字母、標點符號混合起來；要易于記憶（不用寫下來），不能選擇親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼等，也不能選擇字典上現(xiàn)有的詞匯，如：一串相同的數(shù)字或字母；明顯的鍵盤頒序列；所有上面情況的逆序或前后加一個數(shù)字等，指定密碼的最短和最長有效期、最短長度。

　　第二十八條 不得使用缺設(shè)置的密碼，不得將密碼告訴別人，如果系統(tǒng)的密碼泄漏了，立即更改，不要共享超級用戶的口令。

　　第二十九條 所有系統(tǒng)集成商在施工期間設(shè)立的缺密碼在系統(tǒng)投入使用之前都要刪除。一個用戶不能（從密碼文件中）讀取其它用戶的（加密）密碼，除了系統(tǒng)管理員外，一般用戶不能改變其它用戶的口令。

　　第三十條 在要求較高的情況下可以使用強度更高的認證機制。

　　第六章 安全確認和審計規(guī)范

　　第三十一條 要對系統(tǒng)定期做審計，系統(tǒng)管理員負責新服務(wù)器的安裝與設(shè)置，然后要由負責安全的工作人員按照規(guī)范對其進行審計。如果由于系統(tǒng)等方面的原因，無法達到所要求的規(guī)范，必須在審計報告中明確指出。

　　第三十二條 要保護用戶審計的日志和程序，只有負責安全的工作人員才能訪問。

　　第三十三條 日志中不能包含密碼，系統(tǒng)管理員的行為（如UNIX中的su）要做日志；失敗的用戶登錄要做日志，并給出提示；重要的事件要進行自動報警；能基于一個主體或客體做審計；審計日志中的記錄至少要包含用戶名（或其id）,日期和時間，登錄地點，事件描述。

　　第三十四條 除了在本地保存以外，日志還要傳輸?shù)桨踩娜罩痉?wù)器上，日志服務(wù)器不提供其它服務(wù)；不將日志保存于共享的文件系統(tǒng)中。

　　第七章 人員管理

　　第三十五條 禁止與朋友、親戚共享帳號和密碼， 禁止對系統(tǒng)中的密碼文件運行密碼檢查工具，禁止運行網(wǎng)絡(luò)監(jiān)聽工具，禁止攻擊別人的帳號，禁止影響系統(tǒng)中的服務(wù)，禁止濫用系統(tǒng)資源，禁止濫用電子郵件，禁止未經(jīng)許可而檢查別人的文件，禁止隨意下載、安裝、使用未經(jīng)檢查過的軟件。

　　第三十六條  工作人員因何種原因離崗離職，應(yīng)即時取消其計算機信息系統(tǒng)訪問授權(quán)。離崗離職人員仍對其在任職期間接觸、知悉的屬于我單位或者雖屬于第三方但由本單位承諾或負有保密義務(wù)的商業(yè)秘密和工作秘密信息，承擔如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù)，直至該秘密信息成為公開信息。

　　第三十七條  離崗離職人員因職務(wù)上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體，均歸單位所有，而無論這些秘密信息有無商業(yè)上的價值。

　　第三十八條  離崗離職人員應(yīng)在離崗離職時，應(yīng)及時返還屬于單位的財物，包括記載著單位秘密信息的一切載體。若記錄著秘密信息的載體是由離崗離職人員自備的，則視為離崗離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給本單位，單位應(yīng)當在離崗離職人員返還這些載體時，給予離崗離職人員相當于載體本身價值的經(jīng)濟補償；但秘密信息可以從載體上消除或復制出來時，可以將秘密信息復制到本單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消除，此種情況下離崗離職人員無須將載體返還，單位也無須給予離崗離職人員經(jīng)濟補償。

　　第三十九條  離崗離職人員離崗離職時，應(yīng)將工作時使用的電腦、U盤等其他一切存儲設(shè)備中與工作相關(guān)或與單位有利益關(guān)系的信息、文件等內(nèi)容交接給負責人，不得在離崗離職后以任何形式帶走相關(guān)信息。

　　第四十條　本制度自印發(fā)之日起施行，解釋權(quán)歸局數(shù)據(jù)中心。