各縣（市、區(qū)）統(tǒng)計(jì)局、臺州灣新區(qū)統(tǒng)計(jì)局，市局各處室（中心）：

　　為保障臺州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全，確保統(tǒng)計(jì)數(shù)據(jù)安全，現(xiàn)將《臺州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全規(guī)章制度》印發(fā)給你們，請認(rèn)真遵照執(zhí)行。

　　臺州市統(tǒng)計(jì)局

　　2022年12月16日

臺州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全規(guī)章制度

　　第一章 總則

　　第一條 為規(guī)范臺州市數(shù)據(jù)備份及管理工作，合理存儲歷史數(shù)據(jù)及保證數(shù)據(jù)的安全性，防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)丟失，保障局正常的數(shù)據(jù)和技術(shù)資料的儲備，根據(jù)《中華人共和國數(shù)據(jù)安全法》和浙江省統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全制度要求，結(jié)合本市實(shí)際，特制定本制度。

　　第二條　本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　第三條　各地區(qū)、各處室（中心）對本地區(qū)、本處室（中心）工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)。

　　第二章 數(shù)據(jù)備份

　　第四條 各處室（中心）應(yīng)根據(jù)各種數(shù)據(jù)的重要性及其容量，確定備份方式、備份周期和保留周期，制定確保數(shù)據(jù)安全、有效的備份策略以及恢復(fù)預(yù)案。具體備份和恢復(fù)可由相關(guān)處室（中心）負(fù)責(zé)實(shí)施。

　　第五條 對計(jì)算機(jī)和設(shè)備進(jìn)行軟件安裝、系統(tǒng)升級改造或更改配置時，應(yīng)進(jìn)行信息數(shù)據(jù)和設(shè)備參數(shù)的完全備份。應(yīng)用系統(tǒng)更新后，應(yīng)實(shí)現(xiàn)數(shù)據(jù)的遷移或轉(zhuǎn)換，確保歷史數(shù)據(jù)的完整性，確認(rèn)無誤后，并對新系統(tǒng)及其數(shù)據(jù)進(jìn)行完全備份。

　　第六條 數(shù)據(jù)備份的介質(zhì)選擇要滿足各系統(tǒng)的備份策略和數(shù)據(jù)備份及保存的要求，包括安全可靠性、方便性和服務(wù)質(zhì)量。各處室（中心）可將數(shù)據(jù)備份到指定的服務(wù)器或刻錄成光盤存檔等，通過網(wǎng)絡(luò)硬盤、磁介質(zhì)、郵箱管理等方式更好地保證數(shù)據(jù)安全性、正確性和有效性。

　　第七條 數(shù)據(jù)備份系統(tǒng)須由指定管理人來建立、修改和管理系統(tǒng)授權(quán)表及授權(quán)口令，相關(guān)處室（中心）進(jìn)行數(shù)據(jù)備份修改時，應(yīng)及時做好修改記錄并告之管理人。管理人如出現(xiàn)離任、調(diào)職等情況，應(yīng)在其交接之后，可由新任管理人將原系統(tǒng)管理人的權(quán)限、賬戶密碼等進(jìn)行重新設(shè)置。

　　第八條 數(shù)據(jù)備份與管理的責(zé)任處室（中心）要加強(qiáng)對備份介質(zhì)的管理，對需要?dú)w檔的及時歸檔處理，確保正確使用介質(zhì)并合理處理廢棄介質(zhì)，需處置保密廢棄的介質(zhì)應(yīng)提交管理人統(tǒng)一給保密局處理。備份介質(zhì)應(yīng)該放在適于保存的安全環(huán)境，如防盜、防潮、防鼠害，防蟲咬，避免高溫高壓；磁性介質(zhì)遠(yuǎn)離磁性、輻射性等。對介質(zhì)要有嚴(yán)格的存取控制，對有備份數(shù)據(jù)的介質(zhì)要進(jìn)行定期檢查，確認(rèn)所備份數(shù)據(jù)的完整性、正確性和有效性。

　　第九條 當(dāng)由于出現(xiàn)故障而導(dǎo)致系統(tǒng)或數(shù)據(jù)確實(shí)損壞并無法搶救時，需審核恢復(fù)預(yù)案，估算可能的損失。具體操作如下：

　　1.恢復(fù)計(jì)劃和方案通過相關(guān)處室（中心）同意后才能對系統(tǒng)進(jìn)行故障操作，恢復(fù)操作不應(yīng)影響對故障原因的追查和故障的處理；

　　2.恢復(fù)操作前所有相關(guān)信息系統(tǒng)的系統(tǒng)管理員應(yīng)同時到場，先備份現(xiàn)場系統(tǒng)、數(shù)據(jù)和環(huán)境，再按照恢復(fù)方案的要求進(jìn)行恢復(fù)；

　　3.系統(tǒng)恢復(fù)后，應(yīng)由相關(guān)信息系統(tǒng)的系統(tǒng)管理員進(jìn)行測試，同時再進(jìn)行一次備份，恢復(fù)的情況應(yīng)報(bào)告相關(guān)處室（中心）；

　　4.對于重要的信息數(shù)據(jù)，每年應(yīng)至少進(jìn)行一次備份數(shù)據(jù)的恢復(fù)演練，并做出可靠性評估。

　　第十條 數(shù)據(jù)安全管理部門應(yīng)加強(qiáng)對數(shù)據(jù)備份和管理工作的考核力度，建立相應(yīng)的管理制度。如因未嚴(yán)格遵守規(guī)定而造成備份系統(tǒng)發(fā)生故障，或數(shù)據(jù)丟失、泄露，或?qū)е滦畔⑾到y(tǒng)無法正常運(yùn)行的，數(shù)據(jù)安全管理部門應(yīng)評估造成的損失，明確事故原因和責(zé)任人，按信息安全懲戒管理相關(guān)規(guī)定進(jìn)行處理，并將處理情況和防范措施反映在數(shù)據(jù)備份報(bào)告中。需要時填寫《信息安全事件報(bào)告單》。

　　第十一條 相關(guān)處室（中心）應(yīng)認(rèn)真做好數(shù)據(jù)備份的文檔工作，完整地記錄備份系統(tǒng)的配置和備份數(shù)據(jù)源的相關(guān)信息。做好備份工作的運(yùn)行日志和維護(hù)日志工作，建立備份文件檔案及檔案庫，詳細(xì)記錄備份數(shù)據(jù)的信息。同時要做好數(shù)據(jù)備份的文卷管理，所有備份應(yīng)有明確標(biāo)識，包括卷名、備份時間、運(yùn)行環(huán)境、備份人等。

　　第三章 系統(tǒng)管理

　　第十二條 由單位決定由誰來負(fù)責(zé)修改系統(tǒng)管理策略，在什么地方可以修改；由誰來負(fù)責(zé)授予其它工作人員訪問和使用系統(tǒng)的權(quán)力，誰擁有超級用戶的特權(quán)，同時規(guī)范系統(tǒng)管理員的權(quán)力和責(zé)任。

　　第十三條 由單位決定工作人員是否可以擁有對自己的計(jì)算機(jī)的超級用戶權(quán)限；系統(tǒng)管理員要保證系統(tǒng)的可用性，秘密信息僅能被合法的授權(quán)用戶訪問，不被未授權(quán)用戶修改。

　　第四章 用戶訪問控制

　　第十四條 所有的用戶都要經(jīng)過授權(quán)，用戶有在自己的環(huán)境里設(shè)置對象特權(quán)的權(quán)力。

　　第十五條 禁止用戶刪除在共享目錄下其它用戶的文件。

　　第十六條 可以通過制定的策略控制用戶對于系統(tǒng)中所有對象的訪問，用戶不能檢查授予其它用戶的訪問控制權(quán)限。

　　第五章 帳號及密碼管理

　　第十七條 用戶名和密碼的組合定義了系統(tǒng)中用戶的身份，采取安全的密碼策略是防止非法訪問系統(tǒng)最重要的手段?；驹瓌t：用最少的時間、最小的權(quán)限來完成其工作。

　　第十八條 系統(tǒng)管理用戶組的成員要由系統(tǒng)管理部門來授權(quán)。

　　第十九條 不能設(shè)置多人共用的帳號，當(dāng)一個工作人員離開崗位后，其帳號要及時刪除，及時清理僵尸帳號，如果一個用戶帳號（超級用戶除外）在較段的時間內(nèi)連續(xù)登錄失?。ū热缯f一小時內(nèi)有20次），暫時禁止此帳號，并通知用戶。

　　第二十條 用戶名和組的結(jié)構(gòu)應(yīng)該在整個單位內(nèi)部是統(tǒng)一的（字母和數(shù)字組成）。

　　第二十一條 不要使用guest用戶，如果要用，應(yīng)該有很強(qiáng)的安全限制；用戶和組要由系統(tǒng)管理員進(jìn)行管理，不能由用戶自己管理。

　　第二十二條 每個用戶在系統(tǒng)中應(yīng)該只有一個帳號，用名稱或數(shù)字進(jìn)行標(biāo)識，用戶名和密碼不能在同個通信平臺中傳輸。

　　第二十三條 計(jì)算機(jī)15分鐘空閑后系統(tǒng)應(yīng)該加鎖，并由密碼保護(hù)。

　　第二十四條 用戶應(yīng)用程序及其系統(tǒng)配置只能由用戶本人可寫，而且不能被他人讀取，對于用戶違反安全策略的選擇要及時通知。

　　第二十五條 當(dāng)用戶登錄后要顯示上一次成功和失敗登錄的時間和地點(diǎn)，并設(shè)置用戶帳號過期時間；用戶登錄輸入錯誤用戶名或密碼時，系統(tǒng)應(yīng)該顯示相同的提示信息，系統(tǒng)不能提供合法帳號的信息。

　　第二十六條 如果用戶輸入了錯誤的用戶名/密碼，要等待1秒鐘后再次提示登錄；如果第二次失敗，就等待2秒鐘；下一次就等待3秒鐘。這樣可以防止攻擊者采用自動登錄程序。

　　第二十七條 密碼要用易于記憶、易于輸入的數(shù)字、大寫字母、小寫字母、標(biāo)點(diǎn)符號混合起來；要易于記憶（不用寫下來），不能選擇親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼等，也不能選擇字典上現(xiàn)有的詞匯，如：一串相同的數(shù)字或字母；明顯的鍵盤頒序列；所有上面情況的逆序或前后加一個數(shù)字等，指定密碼的最短和最長有效期、最短長度。

　　第二十八條 不得使用缺設(shè)置的密碼，不得將密碼告訴別人，如果系統(tǒng)的密碼泄漏了，立即更改，不要共享超級用戶的口令。

　　第二十九條 所有系統(tǒng)集成商在施工期間設(shè)立的缺密碼在系統(tǒng)投入使用之前都要刪除。一個用戶不能（從密碼文件中）讀取其它用戶的（加密）密碼，除了系統(tǒng)管理員外，一般用戶不能改變其它用戶的口令。

　　第三十條 在要求較高的情況下可以使用強(qiáng)度更高的認(rèn)證機(jī)制。

　　第六章 安全確認(rèn)和審計(jì)規(guī)范

　　第三十一條 要對系統(tǒng)定期做審計(jì)，系統(tǒng)管理員負(fù)責(zé)新服務(wù)器的安裝與設(shè)置，然后要由負(fù)責(zé)安全的工作人員按照規(guī)范對其進(jìn)行審計(jì)。如果由于系統(tǒng)等方面的原因，無法達(dá)到所要求的規(guī)范，必須在審計(jì)報(bào)告中明確指出。

　　第三十二條 要保護(hù)用戶審計(jì)的日志和程序，只有負(fù)責(zé)安全的工作人員才能訪問。

　　第三十三條 日志中不能包含密碼，系統(tǒng)管理員的行為（如UNIX中的su）要做日志；失敗的用戶登錄要做日志，并給出提示；重要的事件要進(jìn)行自動報(bào)警；能基于一個主體或客體做審計(jì)；審計(jì)日志中的記錄至少要包含用戶名（或其id）,日期和時間，登錄地點(diǎn)，事件描述。

　　第三十四條 除了在本地保存以外，日志還要傳輸?shù)桨踩娜罩痉?wù)器上，日志服務(wù)器不提供其它服務(wù)；不將日志保存于共享的文件系統(tǒng)中。

　　第七章 人員管理

　　第三十五條 禁止與朋友、親戚共享帳號和密碼， 禁止對系統(tǒng)中的密碼文件運(yùn)行密碼檢查工具，禁止運(yùn)行網(wǎng)絡(luò)監(jiān)聽工具，禁止攻擊別人的帳號，禁止影響系統(tǒng)中的服務(wù)，禁止濫用系統(tǒng)資源，禁止濫用電子郵件，禁止未經(jīng)許可而檢查別人的文件，禁止隨意下載、安裝、使用未經(jīng)檢查過的軟件。

　　第三十六條  工作人員因何種原因離崗離職，應(yīng)即時取消其計(jì)算機(jī)信息系統(tǒng)訪問授權(quán)。離崗離職人員仍對其在任職期間接觸、知悉的屬于我單位或者雖屬于第三方但由本單位承諾或負(fù)有保密義務(wù)的商業(yè)秘密和工作秘密信息，承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù)，直至該秘密信息成為公開信息。

　　第三十七條  離崗離職人員因職務(wù)上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報(bào)告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體，均歸單位所有，而無論這些秘密信息有無商業(yè)上的價值。

　　第三十八條  離崗離職人員應(yīng)在離崗離職時，應(yīng)及時返還屬于單位的財(cái)物，包括記載著單位秘密信息的一切載體。若記錄著秘密信息的載體是由離崗離職人員自備的，則視為離崗離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給本單位，單位應(yīng)當(dāng)在離崗離職人員返還這些載體時，給予離崗離職人員相當(dāng)于載體本身價值的經(jīng)濟(jì)補(bǔ)償；但秘密信息可以從載體上消除或復(fù)制出來時，可以將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消除，此種情況下離崗離職人員無須將載體返還，單位也無須給予離崗離職人員經(jīng)濟(jì)補(bǔ)償。

　　第三十九條  離崗離職人員離崗離職時，應(yīng)將工作時使用的電腦、U盤等其他一切存儲設(shè)備中與工作相關(guān)或與單位有利益關(guān)系的信息、文件等內(nèi)容交接給負(fù)責(zé)人，不得在離崗離職后以任何形式帶走相關(guān)信息。

　　第四十條　本制度自印發(fā)之日起施行，解釋權(quán)歸局?jǐn)?shù)據(jù)中心。