各縣（市、區(qū)）統(tǒng)計(jì)局、臺(tái)州灣新區(qū)統(tǒng)計(jì)局，市局各處室（中心）：

　　為保障臺(tái)州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全，確保統(tǒng)計(jì)數(shù)據(jù)安全，現(xiàn)將《臺(tái)州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全規(guī)章制度》印發(fā)給你們，請(qǐng)認(rèn)真遵照?qǐng)?zhí)行。

　　臺(tái)州市統(tǒng)計(jì)局

　　2022年12月16日

臺(tái)州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全規(guī)章制度

　　第一章 總則

　　第一條 為規(guī)范臺(tái)州市數(shù)據(jù)備份及管理工作，合理存儲(chǔ)歷史數(shù)據(jù)及保證數(shù)據(jù)的安全性，防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)丟失，保障局正常的數(shù)據(jù)和技術(shù)資料的儲(chǔ)備，根據(jù)《中華人共和國(guó)數(shù)據(jù)安全法》和浙江省統(tǒng)計(jì)局?jǐn)?shù)據(jù)安全制度要求，結(jié)合本市實(shí)際，特制定本制度。

　　第二條　本法所稱(chēng)數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。數(shù)據(jù)安全，是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　第三條　各地區(qū)、各處室（中心）對(duì)本地區(qū)、本處室（中心）工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)。

　　第二章 數(shù)據(jù)備份

　　第四條 各處室（中心）應(yīng)根據(jù)各種數(shù)據(jù)的重要性及其容量，確定備份方式、備份周期和保留周期，制定確保數(shù)據(jù)安全、有效的備份策略以及恢復(fù)預(yù)案。具體備份和恢復(fù)可由相關(guān)處室（中心）負(fù)責(zé)實(shí)施。

　　第五條 對(duì)計(jì)算機(jī)和設(shè)備進(jìn)行軟件安裝、系統(tǒng)升級(jí)改造或更改配置時(shí)，應(yīng)進(jìn)行信息數(shù)據(jù)和設(shè)備參數(shù)的完全備份。應(yīng)用系統(tǒng)更新后，應(yīng)實(shí)現(xiàn)數(shù)據(jù)的遷移或轉(zhuǎn)換，確保歷史數(shù)據(jù)的完整性，確認(rèn)無(wú)誤后，并對(duì)新系統(tǒng)及其數(shù)據(jù)進(jìn)行完全備份。

　　第六條 數(shù)據(jù)備份的介質(zhì)選擇要滿足各系統(tǒng)的備份策略和數(shù)據(jù)備份及保存的要求，包括安全可靠性、方便性和服務(wù)質(zhì)量。各處室（中心）可將數(shù)據(jù)備份到指定的服務(wù)器或刻錄成光盤(pán)存檔等，通過(guò)網(wǎng)絡(luò)硬盤(pán)、磁介質(zhì)、郵箱管理等方式更好地保證數(shù)據(jù)安全性、正確性和有效性。

　　第七條 數(shù)據(jù)備份系統(tǒng)須由指定管理人來(lái)建立、修改和管理系統(tǒng)授權(quán)表及授權(quán)口令，相關(guān)處室（中心）進(jìn)行數(shù)據(jù)備份修改時(shí)，應(yīng)及時(shí)做好修改記錄并告之管理人。管理人如出現(xiàn)離任、調(diào)職等情況，應(yīng)在其交接之后，可由新任管理人將原系統(tǒng)管理人的權(quán)限、賬戶(hù)密碼等進(jìn)行重新設(shè)置。

　　第八條 數(shù)據(jù)備份與管理的責(zé)任處室（中心）要加強(qiáng)對(duì)備份介質(zhì)的管理，對(duì)需要?dú)w檔的及時(shí)歸檔處理，確保正確使用介質(zhì)并合理處理廢棄介質(zhì)，需處置保密廢棄的介質(zhì)應(yīng)提交管理人統(tǒng)一給保密局處理。備份介質(zhì)應(yīng)該放在適于保存的安全環(huán)境，如防盜、防潮、防鼠害，防蟲(chóng)咬，避免高溫高壓；磁性介質(zhì)遠(yuǎn)離磁性、輻射性等。對(duì)介質(zhì)要有嚴(yán)格的存取控制，對(duì)有備份數(shù)據(jù)的介質(zhì)要進(jìn)行定期檢查，確認(rèn)所備份數(shù)據(jù)的完整性、正確性和有效性。

　　第九條 當(dāng)由于出現(xiàn)故障而導(dǎo)致系統(tǒng)或數(shù)據(jù)確實(shí)損壞并無(wú)法搶救時(shí)，需審核恢復(fù)預(yù)案，估算可能的損失。具體操作如下：

　　1.恢復(fù)計(jì)劃和方案通過(guò)相關(guān)處室（中心）同意后才能對(duì)系統(tǒng)進(jìn)行故障操作，恢復(fù)操作不應(yīng)影響對(duì)故障原因的追查和故障的處理；

　　2.恢復(fù)操作前所有相關(guān)信息系統(tǒng)的系統(tǒng)管理員應(yīng)同時(shí)到場(chǎng)，先備份現(xiàn)場(chǎng)系統(tǒng)、數(shù)據(jù)和環(huán)境，再按照恢復(fù)方案的要求進(jìn)行恢復(fù)；

　　3.系統(tǒng)恢復(fù)后，應(yīng)由相關(guān)信息系統(tǒng)的系統(tǒng)管理員進(jìn)行測(cè)試，同時(shí)再進(jìn)行一次備份，恢復(fù)的情況應(yīng)報(bào)告相關(guān)處室（中心）；

　　4.對(duì)于重要的信息數(shù)據(jù)，每年應(yīng)至少進(jìn)行一次備份數(shù)據(jù)的恢復(fù)演練，并做出可靠性評(píng)估。

　　第十條 數(shù)據(jù)安全管理部門(mén)應(yīng)加強(qiáng)對(duì)數(shù)據(jù)備份和管理工作的考核力度，建立相應(yīng)的管理制度。如因未嚴(yán)格遵守規(guī)定而造成備份系統(tǒng)發(fā)生故障，或數(shù)據(jù)丟失、泄露，或?qū)е滦畔⑾到y(tǒng)無(wú)法正常運(yùn)行的，數(shù)據(jù)安全管理部門(mén)應(yīng)評(píng)估造成的損失，明確事故原因和責(zé)任人，按信息安全懲戒管理相關(guān)規(guī)定進(jìn)行處理，并將處理情況和防范措施反映在數(shù)據(jù)備份報(bào)告中。需要時(shí)填寫(xiě)《信息安全事件報(bào)告單》。

　　第十一條 相關(guān)處室（中心）應(yīng)認(rèn)真做好數(shù)據(jù)備份的文檔工作，完整地記錄備份系統(tǒng)的配置和備份數(shù)據(jù)源的相關(guān)信息。做好備份工作的運(yùn)行日志和維護(hù)日志工作，建立備份文件檔案及檔案庫(kù)，詳細(xì)記錄備份數(shù)據(jù)的信息。同時(shí)要做好數(shù)據(jù)備份的文卷管理，所有備份應(yīng)有明確標(biāo)識(shí)，包括卷名、備份時(shí)間、運(yùn)行環(huán)境、備份人等。

　　第三章 系統(tǒng)管理

　　第十二條 由單位決定由誰(shuí)來(lái)負(fù)責(zé)修改系統(tǒng)管理策略，在什么地方可以修改；由誰(shuí)來(lái)負(fù)責(zé)授予其它工作人員訪問(wèn)和使用系統(tǒng)的權(quán)力，誰(shuí)擁有超級(jí)用戶(hù)的特權(quán)，同時(shí)規(guī)范系統(tǒng)管理員的權(quán)力和責(zé)任。

　　第十三條 由單位決定工作人員是否可以擁有對(duì)自己的計(jì)算機(jī)的超級(jí)用戶(hù)權(quán)限；系統(tǒng)管理員要保證系統(tǒng)的可用性，秘密信息僅能被合法的授權(quán)用戶(hù)訪問(wèn)，不被未授權(quán)用戶(hù)修改。

　　第四章 用戶(hù)訪問(wèn)控制

　　第十四條 所有的用戶(hù)都要經(jīng)過(guò)授權(quán)，用戶(hù)有在自己的環(huán)境里設(shè)置對(duì)象特權(quán)的權(quán)力。

　　第十五條 禁止用戶(hù)刪除在共享目錄下其它用戶(hù)的文件。

　　第十六條 可以通過(guò)制定的策略控制用戶(hù)對(duì)于系統(tǒng)中所有對(duì)象的訪問(wèn)，用戶(hù)不能檢查授予其它用戶(hù)的訪問(wèn)控制權(quán)限。

　　第五章 帳號(hào)及密碼管理

　　第十七條 用戶(hù)名和密碼的組合定義了系統(tǒng)中用戶(hù)的身份，采取安全的密碼策略是防止非法訪問(wèn)系統(tǒng)最重要的手段?；驹瓌t：用最少的時(shí)間、最小的權(quán)限來(lái)完成其工作。

　　第十八條 系統(tǒng)管理用戶(hù)組的成員要由系統(tǒng)管理部門(mén)來(lái)授權(quán)。

　　第十九條 不能設(shè)置多人共用的帳號(hào)，當(dāng)一個(gè)工作人員離開(kāi)崗位后，其帳號(hào)要及時(shí)刪除，及時(shí)清理僵尸帳號(hào)，如果一個(gè)用戶(hù)帳號(hào)（超級(jí)用戶(hù)除外）在較段的時(shí)間內(nèi)連續(xù)登錄失?。ū热缯f(shuō)一小時(shí)內(nèi)有20次），暫時(shí)禁止此帳號(hào)，并通知用戶(hù)。

　　第二十條 用戶(hù)名和組的結(jié)構(gòu)應(yīng)該在整個(gè)單位內(nèi)部是統(tǒng)一的（字母和數(shù)字組成）。

　　第二十一條 不要使用guest用戶(hù)，如果要用，應(yīng)該有很強(qiáng)的安全限制；用戶(hù)和組要由系統(tǒng)管理員進(jìn)行管理，不能由用戶(hù)自己管理。

　　第二十二條 每個(gè)用戶(hù)在系統(tǒng)中應(yīng)該只有一個(gè)帳號(hào)，用名稱(chēng)或數(shù)字進(jìn)行標(biāo)識(shí)，用戶(hù)名和密碼不能在同個(gè)通信平臺(tái)中傳輸。

　　第二十三條 計(jì)算機(jī)15分鐘空閑后系統(tǒng)應(yīng)該加鎖，并由密碼保護(hù)。

　　第二十四條 用戶(hù)應(yīng)用程序及其系統(tǒng)配置只能由用戶(hù)本人可寫(xiě)，而且不能被他人讀取，對(duì)于用戶(hù)違反安全策略的選擇要及時(shí)通知。

　　第二十五條 當(dāng)用戶(hù)登錄后要顯示上一次成功和失敗登錄的時(shí)間和地點(diǎn)，并設(shè)置用戶(hù)帳號(hào)過(guò)期時(shí)間；用戶(hù)登錄輸入錯(cuò)誤用戶(hù)名或密碼時(shí)，系統(tǒng)應(yīng)該顯示相同的提示信息，系統(tǒng)不能提供合法帳號(hào)的信息。

　　第二十六條 如果用戶(hù)輸入了錯(cuò)誤的用戶(hù)名/密碼，要等待1秒鐘后再次提示登錄；如果第二次失敗，就等待2秒鐘；下一次就等待3秒鐘。這樣可以防止攻擊者采用自動(dòng)登錄程序。

　　第二十七條 密碼要用易于記憶、易于輸入的數(shù)字、大寫(xiě)字母、小寫(xiě)字母、標(biāo)點(diǎn)符號(hào)混合起來(lái)；要易于記憶（不用寫(xiě)下來(lái)），不能選擇親戚、朋友、同事、單位等的名字，生日、車(chē)牌號(hào)、電話號(hào)碼等，也不能選擇字典上現(xiàn)有的詞匯，如：一串相同的數(shù)字或字母；明顯的鍵盤(pán)頒序列；所有上面情況的逆序或前后加一個(gè)數(shù)字等，指定密碼的最短和最長(zhǎng)有效期、最短長(zhǎng)度。

　　第二十八條 不得使用缺設(shè)置的密碼，不得將密碼告訴別人，如果系統(tǒng)的密碼泄漏了，立即更改，不要共享超級(jí)用戶(hù)的口令。

　　第二十九條 所有系統(tǒng)集成商在施工期間設(shè)立的缺密碼在系統(tǒng)投入使用之前都要?jiǎng)h除。一個(gè)用戶(hù)不能（從密碼文件中）讀取其它用戶(hù)的（加密）密碼，除了系統(tǒng)管理員外，一般用戶(hù)不能改變其它用戶(hù)的口令。

　　第三十條 在要求較高的情況下可以使用強(qiáng)度更高的認(rèn)證機(jī)制。

　　第六章 安全確認(rèn)和審計(jì)規(guī)范

　　第三十一條 要對(duì)系統(tǒng)定期做審計(jì)，系統(tǒng)管理員負(fù)責(zé)新服務(wù)器的安裝與設(shè)置，然后要由負(fù)責(zé)安全的工作人員按照規(guī)范對(duì)其進(jìn)行審計(jì)。如果由于系統(tǒng)等方面的原因，無(wú)法達(dá)到所要求的規(guī)范，必須在審計(jì)報(bào)告中明確指出。

　　第三十二條 要保護(hù)用戶(hù)審計(jì)的日志和程序，只有負(fù)責(zé)安全的工作人員才能訪問(wèn)。

　　第三十三條 日志中不能包含密碼，系統(tǒng)管理員的行為（如UNIX中的su）要做日志；失敗的用戶(hù)登錄要做日志，并給出提示；重要的事件要進(jìn)行自動(dòng)報(bào)警；能基于一個(gè)主體或客體做審計(jì)；審計(jì)日志中的記錄至少要包含用戶(hù)名（或其id）,日期和時(shí)間，登錄地點(diǎn)，事件描述。

　　第三十四條 除了在本地保存以外，日志還要傳輸?shù)桨踩娜罩痉?wù)器上，日志服務(wù)器不提供其它服務(wù)；不將日志保存于共享的文件系統(tǒng)中。

　　第七章 人員管理

　　第三十五條 禁止與朋友、親戚共享帳號(hào)和密碼， 禁止對(duì)系統(tǒng)中的密碼文件運(yùn)行密碼檢查工具，禁止運(yùn)行網(wǎng)絡(luò)監(jiān)聽(tīng)工具，禁止攻擊別人的帳號(hào)，禁止影響系統(tǒng)中的服務(wù)，禁止濫用系統(tǒng)資源，禁止濫用電子郵件，禁止未經(jīng)許可而檢查別人的文件，禁止隨意下載、安裝、使用未經(jīng)檢查過(guò)的軟件。

　　第三十六條  工作人員因何種原因離崗離職，應(yīng)即時(shí)取消其計(jì)算機(jī)信息系統(tǒng)訪問(wèn)授權(quán)。離崗離職人員仍對(duì)其在任職期間接觸、知悉的屬于我單位或者雖屬于第三方但由本單位承諾或負(fù)有保密義務(wù)的商業(yè)秘密和工作秘密信息，承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù)，直至該秘密信息成為公開(kāi)信息。

　　第三十七條  離崗離職人員因職務(wù)上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報(bào)告、信件、傳真、磁帶、磁盤(pán)、儀器以及其他任何形式的載體，均歸單位所有，而無(wú)論這些秘密信息有無(wú)商業(yè)上的價(jià)值。

　　第三十八條  離崗離職人員應(yīng)在離崗離職時(shí)，應(yīng)及時(shí)返還屬于單位的財(cái)物，包括記載著單位秘密信息的一切載體。若記錄著秘密信息的載體是由離崗離職人員自備的，則視為離崗離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給本單位，單位應(yīng)當(dāng)在離崗離職人員返還這些載體時(shí)，給予離崗離職人員相當(dāng)于載體本身價(jià)值的經(jīng)濟(jì)補(bǔ)償；但秘密信息可以從載體上消除或復(fù)制出來(lái)時(shí)，可以將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消除，此種情況下離崗離職人員無(wú)須將載體返還，單位也無(wú)須給予離崗離職人員經(jīng)濟(jì)補(bǔ)償。

　　第三十九條  離崗離職人員離崗離職時(shí)，應(yīng)將工作時(shí)使用的電腦、U盤(pán)等其他一切存儲(chǔ)設(shè)備中與工作相關(guān)或與單位有利益關(guān)系的信息、文件等內(nèi)容交接給負(fù)責(zé)人，不得在離崗離職后以任何形式帶走相關(guān)信息。

　　第四十條　本制度自印發(fā)之日起施行，解釋權(quán)歸局?jǐn)?shù)據(jù)中心。