4-8資產(chǎn)安全管理制度

1、資產(chǎn)安全管理制度文檔信息單位名稱(chēng)淄博市衛(wèi)生和計(jì)劃生育委員會(huì)文檔名稱(chēng)資產(chǎn)安全管理制度文檔編號(hào)受控狀態(tài)受控文件擴(kuò)散范圍內(nèi)部使用制作人審核人批準(zhǔn)人頁(yè)數(shù)共10頁(yè)發(fā)布日期生效日期版本歷史版本日期說(shuō)明修訂人1.0創(chuàng)建文件4-8 資產(chǎn)安全管理制度第一章 總則第一條 本管理辦法旨在對(duì)淄博市衛(wèi)生和計(jì)劃生育委員會(huì)內(nèi)部重要的信息資產(chǎn)進(jìn)行分類(lèi)分級(jí)，以便對(duì)信息的分發(fā)和流轉(zhuǎn)進(jìn)行恰當(dāng)?shù)目刂?，確保信息資產(chǎn)的保密性、完整性和可用性能夠?qū)崿F(xiàn)。第二條本管理辦法適用于淄博市衛(wèi)生和計(jì)劃生育委員會(huì)。第三條定義（一）本制度所涉及的信息包括各種存儲(chǔ)或者存在形式，包括但不限于電子信息、紙質(zhì)數(shù)據(jù)文件、語(yǔ)音和圖像等。（二）本制度所稱(chēng)信息是指以任何

2、形式存在或傳播的對(duì)我單位具有價(jià)值的內(nèi)容，包括電子信息、紙質(zhì)數(shù)據(jù)文件、語(yǔ)音圖像等。信息安全關(guān)注的是信息的保密性、可用性和完整性。（三）本制度所稱(chēng)信息資產(chǎn)是指任何對(duì)本單位具有價(jià)值的信息的存在形式或者載體，包括計(jì)算機(jī)硬件、通信設(shè)施、 IT 環(huán)境、數(shù)據(jù)庫(kù)、軟件、文檔資料、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。第二章 組織與管理第四條本單位各部門(mén)負(fù)責(zé)人是本部門(mén)信息資產(chǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本制度的貫徹落實(shí)。第五條全體員工理解并遵守本制度定義的內(nèi)容。第六條本制度定義以下相關(guān)角色，履行相應(yīng)的信息安全管理、執(zhí)行和審核職責(zé)。（一）責(zé)任人，信息資產(chǎn)的創(chuàng)建者，或者主要用戶(hù)所在單位或部門(mén)的負(fù)責(zé)人。信息資產(chǎn)

3、責(zé)任人對(duì)所屬信息資產(chǎn)負(fù)直接責(zé)任。其主要職責(zé)包括：1、理解和各種信息訪問(wèn)活動(dòng)相關(guān)的安全風(fēng)險(xiǎn)；2、根據(jù)單位信息密級(jí)劃分標(biāo)準(zhǔn)來(lái)確定所屬信息資產(chǎn)的級(jí)別；3、根據(jù)單位相關(guān)策略確定并檢查信息訪問(wèn)權(quán)限；4、針對(duì)所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施。（二）保管者，受信息資產(chǎn)責(zé)任人委托，對(duì)信息資產(chǎn)進(jìn)行日常的管理，維護(hù)已經(jīng)建立的保護(hù)措施。資產(chǎn)保管者通常是本單位淄博市衛(wèi)生和計(jì)劃生育委員會(huì)或者代表（例如系統(tǒng)管理員） 。其主要職責(zé)包括：1、根據(jù)相關(guān)策略和信息資產(chǎn)責(zé)任人的要求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理事務(wù)；2、負(fù)責(zé)具體設(shè)置信息訪問(wèn)權(quán)限；3、負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；4、部署恰當(dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢復(fù)操作；5、

4、按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制。（三）用戶(hù)，信息資產(chǎn)的使用者，除了本單位內(nèi)部員工，也可能是因?yàn)闃I(yè)務(wù)需要而訪問(wèn)本單位信息的客戶(hù)或第三方組織。其主要職責(zé)包括：1、向信息資產(chǎn)責(zé)任人申請(qǐng)信息訪問(wèn)；2、按照單位信息安全策略要求正當(dāng)訪問(wèn)信息，禁止非授權(quán)訪問(wèn)；3、向相關(guān)組織報(bào)告隱患、故障或者違規(guī)事件。第三章 資產(chǎn)管理要求第七條 信息資產(chǎn)分類(lèi)信息資產(chǎn)責(zé)任人應(yīng)該指導(dǎo)進(jìn)行相關(guān)資產(chǎn)的調(diào)查，資產(chǎn)調(diào)查以業(yè)務(wù)流程為線索，包括各類(lèi)輸入、中間環(huán)節(jié)和輸出信息，所有這些信息資產(chǎn)都為業(yè)務(wù)流程的運(yùn)轉(zhuǎn)提供支持。信息資產(chǎn)可以分為以下幾大類(lèi)。（一）數(shù)據(jù)文件，通常包括各種電子文檔：業(yè)務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計(jì)記錄

5、） 、管理文件（策略、流程文件、操作手冊(cè)等） 、商務(wù)文件（合同、協(xié)議等）也包括以實(shí)物方式存在的資產(chǎn)：各類(lèi)電子數(shù)據(jù)的歸檔、打印件、書(shū)面管理文件、業(yè)務(wù)報(bào)表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應(yīng)用軟件（OA業(yè)務(wù)軟件等）和工具軟件（開(kāi)發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等） ，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)程序、軟件開(kāi)發(fā)工具等，這些軟件資產(chǎn)負(fù)責(zé)處理、存儲(chǔ)或傳輸各類(lèi)信息。（三）實(shí)物資產(chǎn)，與業(yè)務(wù)相關(guān)的 IT 物理設(shè)備，包括計(jì)算機(jī)（工作站和服務(wù)器等）和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤(pán)等） 、裝置、環(huán)境等，這些實(shí)物資產(chǎn)容納著軟件和數(shù)據(jù)文件。（四）人員，承擔(dān)

6、某項(xiàng)與業(yè)務(wù)活動(dòng)相關(guān)責(zé)任的角色和職位。例如普通用戶(hù)、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、保安、清潔員等，這些人員與各類(lèi)數(shù)據(jù)、軟件和實(shí)物資產(chǎn)的操作直接相關(guān)。（五）服務(wù)，安保（例如監(jiān)控、門(mén)禁、保安等） ，環(huán)境服務(wù)（例如清潔） ，基礎(chǔ)保障（供水、供熱、供電） ，設(shè)備維護(hù)，通信服務(wù)（例如互聯(lián)網(wǎng)接入） 。第八條 信息資產(chǎn)分級(jí)標(biāo)準(zhǔn)保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全

7、屬性的達(dá)成程度產(chǎn)生影響。（一）保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。下表提供了一種保密性賦值的參考表1.1資產(chǎn)保密性賦值表5很高包含組織最重要的秘密，美系未來(lái)發(fā)展的前途命運(yùn)對(duì)組織根本利益有看 決定性的影口向，如果泄露會(huì)造成災(zāi)難性的損害4高1包含組S?的重要秘看，耳泄露會(huì)使組織的安全和利S遛受?chē)?yán)重?fù)p害3乎組織的一般性秘密，其泄露會(huì)使蛆織的安全和利益受到損害2低一僅有衽組織內(nèi)部球在組縱某一部門(mén)內(nèi)部公開(kāi)的信息,向外弁散有可能對(duì)組 織的利益苣成羥赧損害1很低可勸社會(huì)公開(kāi)的信息n公用的信息處理謖備和系統(tǒng)資源

8、等（二）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上 缺失時(shí)對(duì)整個(gè)組織的影響。下表提供了一種完整性賦值的參考。表1.2資產(chǎn)完整性賦值表5很高完整性?xún)r(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法 接受的題向,對(duì)業(yè)務(wù)沖擊重大，井可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重土影響，對(duì)業(yè)務(wù) 沖擊嚴(yán)重,破難彌補(bǔ)3中等完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)又控織造成影響，對(duì)業(yè)務(wù)沖擊 明顯，但可以彌補(bǔ)2低完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕澈影響，對(duì)業(yè)務(wù) 沖擊輕微容易彌補(bǔ)1很低完整性?xún)r(jià)值非常低，未經(jīng)

9、授權(quán)的修改或破壞對(duì)組織成的影響可以忽略， 對(duì)業(yè)務(wù);中擊可以忽略（三）可用性賦值 根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別 對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。下表提供了一種可用性賦值的參考。表1.3資產(chǎn)可用性賦值表msSR定義5很高可用性?xún)r(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度39.9% 以上，或系蜿不允許中斷4高可用性?xún)r(jià)值兢高，合法使用者對(duì)信息及信息系蜿的可用度達(dá)到每天9。噴A上， 或系統(tǒng)允許申斷時(shí)間小于3中等可用性?xún)r(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá) 到T城讓?zhuān)炕蛳到y(tǒng)允許中斷時(shí)間小于30M2低可用性?xún)r(jià)值較低；合法使用者對(duì)信息及信息系統(tǒng)

10、的可用度在正常工作時(shí)間達(dá) 到2例以上，或系統(tǒng)允許中斷時(shí)間小于60mm1很低可用性?xún)r(jià)值可以意略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí) 間低于20%（四）資產(chǎn)重要性等級(jí)資產(chǎn)重要性等級(jí)（資產(chǎn)價(jià)值）應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，由 以下公式計(jì)算得出：A=ln（e C + e I + e A）/3通常，根據(jù)最終賦值將資產(chǎn)劃分為五級(jí)，級(jí)別越高表示資產(chǎn)越重要，也可以根據(jù)組織的 實(shí)際情況確定資產(chǎn)識(shí)別中的賦值依據(jù)和等級(jí)。下表中的資產(chǎn)等級(jí)劃分表明了不同等級(jí)的重要 性的綜合描述。表1.4資產(chǎn)等級(jí)及含義描述軸描逑5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4imj重要其安全

11、屬性玻壞后可SS對(duì)組織造成比較嚴(yán)重的損失3中等比校重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要,其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至緲各不計(jì)第九條各部門(mén)根據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清單并將每項(xiàng)資產(chǎn)的名稱(chēng)，對(duì)資產(chǎn)實(shí)施編號(hào)、標(biāo)識(shí)管理，所處位置，資產(chǎn)價(jià)值，資產(chǎn)負(fù)責(zé)人等相關(guān)信息記錄在資產(chǎn)清單，并每年以抽查形式驗(yàn)證資產(chǎn)清單與實(shí)際設(shè)備相一致。第一節(jié)硬件安全管理第十條設(shè)備選型（一）業(yè)務(wù)系統(tǒng)設(shè)備的選型與采購(gòu)由淄博市衛(wèi)生和計(jì)劃生育委員會(huì)負(fù)責(zé)。（二）設(shè)備選型的原則是在滿(mǎn)足工作需要的前提下，保證所選產(chǎn)品的先進(jìn)性和實(shí)用性，避免過(guò)早被淘汰，但也

12、不要搞超前消費(fèi)而造成資金的浪費(fèi)。（三）選用或購(gòu)置涉密設(shè)備時(shí)應(yīng)符合有關(guān)規(guī)定，確保這些設(shè)備的可靠性。第十一條設(shè)備購(gòu)置與安裝（一）對(duì)大宗采購(gòu)的設(shè)備要在國(guó)內(nèi)和國(guó)際廠商間進(jìn)行招標(biāo)，并根據(jù)廠商的產(chǎn)品性能、質(zhì) 量、價(jià)格和售后服務(wù)等指標(biāo)做出優(yōu)化選擇，實(shí)行集中采購(gòu)。（二）下屬機(jī)構(gòu)購(gòu)置的設(shè)備，都要填寫(xiě)購(gòu)置申請(qǐng)表上報(bào)淄博市衛(wèi)生和計(jì)劃生育委員會(huì)， 經(jīng)淄博市衛(wèi)生和計(jì)劃生育委員會(huì)和其他相關(guān)部門(mén)審批后由相關(guān)部門(mén)負(fù)責(zé)購(gòu)置。（三）新購(gòu)置的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品應(yīng)經(jīng)過(guò)安全檢測(cè)和實(shí)際測(cè)試，測(cè)試合格后方能 投入使用。（四）復(fù)雜的設(shè)備由廠商或集成商負(fù)責(zé)安裝調(diào)試，保證設(shè)備的可靠運(yùn)行。（五）關(guān)鍵的設(shè)備由信息技術(shù)人員經(jīng)過(guò)培訓(xùn)進(jìn)行安裝。第十二

13、條設(shè)備登記與使用（一）建立設(shè)備登記檔案，詳細(xì)記錄每臺(tái)設(shè)備的名稱(chēng)、規(guī)格、配置、裝載軟件、單價(jià)、 購(gòu)入日期、供貨商、存放地點(diǎn)、使用部門(mén)、耐用年限等參數(shù)，關(guān)鍵設(shè)備應(yīng)建立維護(hù)檔案。（二）設(shè)備應(yīng)由網(wǎng)絡(luò)管理員登記網(wǎng)絡(luò)拓?fù)鋱D，所有帶網(wǎng)卡的設(shè)備都應(yīng)登記網(wǎng)卡號(hào)，嚴(yán)格 限定相應(yīng)的網(wǎng)絡(luò)權(quán)限。（三）所有設(shè)備都應(yīng)粘貼印有其設(shè)備編號(hào)、名稱(chēng)、類(lèi)別、使用部門(mén)的標(biāo)簽，并填寫(xiě)一式 兩份的固定資產(chǎn)登記卡，一份交使用部門(mén)的行政秘書(shū)或負(fù)責(zé)人保管，另一份淄博市衛(wèi)生和計(jì) 劃生育委員會(huì)保管。（四）各部門(mén)及個(gè)人領(lǐng)用的設(shè)備應(yīng)實(shí)行個(gè)人負(fù)責(zé)制，每臺(tái)設(shè)備有專(zhuān)人負(fù)責(zé)管理和使用， 不得隨意轉(zhuǎn)借，更不得交給無(wú)關(guān)人員使用。（五）各部門(mén)間設(shè)備的調(diào)撥由調(diào)入部門(mén)填

14、寫(xiě)設(shè)備調(diào)入申請(qǐng)單，由調(diào)入部門(mén)、調(diào)出部門(mén)及 相關(guān)部門(mén)負(fù)責(zé)人簽字同意后方可進(jìn)行調(diào)撥。（六）對(duì)于不再需要或長(zhǎng)期閑置的設(shè)備，各部門(mén)應(yīng)及時(shí)歸還給資產(chǎn)管理部門(mén)，以充分發(fā) 揮設(shè)備的使用價(jià)值。第十三條設(shè)備維護(hù)（一）遵守定期維護(hù)檢查制度，對(duì)關(guān)鍵設(shè)備的維護(hù)與維修要建立詳細(xì)的維護(hù)檔案，凡因 疏于保養(yǎng)而造成的設(shè)備損壞或工作延誤將追究當(dāng)事人的責(zé)任。（二）建立設(shè)備管理維護(hù)記錄，實(shí)行維護(hù)記錄制度。對(duì)故障發(fā)生的時(shí)間、表現(xiàn)、采取的 解決措施、結(jié)果及軟硬件的升級(jí)情況等進(jìn)行詳細(xì)記錄，并由系統(tǒng)管理員予以簽字，以便今后 解決故障。（三）建立相關(guān)電子設(shè)備的維護(hù)和維修手冊(cè)，詳細(xì)記錄各廠商的聯(lián)系電話(huà)、服務(wù)熱線等 信息。（四）設(shè)備自然使用損壞

15、后，當(dāng)事人需填寫(xiě)故障維修申請(qǐng)單報(bào)淄博市衛(wèi)生和計(jì)劃生育委員會(huì)，由淄博市衛(wèi)生和計(jì)劃生育委員會(huì)指派專(zhuān)人檢查損壞情況后進(jìn)行維修，對(duì)無(wú)法當(dāng)時(shí)維修好的設(shè)備聯(lián)系廠商或維修單位進(jìn)行修理。（五）非淄博市衛(wèi)生和計(jì)劃生育委員會(huì)指定維護(hù)人員不得私自拆卸電子設(shè)備、不得維修設(shè)備或更換零件，凡因此而造成的設(shè)備損壞或配件丟失由當(dāng)事人負(fù)責(zé)賠償。（六）系統(tǒng)設(shè)備的擴(kuò)容和升級(jí)應(yīng)由淄博市衛(wèi)生和計(jì)劃生育委員會(huì)考察必要性和可行性，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，統(tǒng)一安排購(gòu)買(mǎi)配件和實(shí)施升級(jí)。任何人不得自行聯(lián)系設(shè)備升級(jí)。（七）設(shè)備需要維修時(shí)，需填寫(xiě)設(shè)備維修申請(qǐng) 。第十四條 設(shè)備報(bào)廢（一）長(zhǎng)期閑置或不再使用的設(shè)備可向淄博市衛(wèi)生和計(jì)劃生育委員會(huì)提出調(diào)撥或報(bào)廢申請(qǐng)，

16、由淄博市衛(wèi)生和計(jì)劃生育委員會(huì)根據(jù)設(shè)備的完好率、使用年限等因數(shù)決定進(jìn)行調(diào)撥或報(bào)廢。（二）對(duì)各部門(mén)內(nèi)確無(wú)使用價(jià)值的設(shè)備的報(bào)廢申請(qǐng)，由淄博市衛(wèi)生和計(jì)劃生育委員會(huì)核準(zhǔn)后報(bào)領(lǐng)導(dǎo)批準(zhǔn)，并由財(cái)務(wù)室備案。（三） 由于使用人員重大責(zé)任事故而造成的部門(mén)內(nèi)的設(shè)備報(bào)廢， 必須追究當(dāng)事人的責(zé)任，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，再作報(bào)廢處理，并由財(cái)務(wù)室備案。（四）各部門(mén)大額設(shè)備（ 單件購(gòu)買(mǎi)價(jià)超過(guò)五萬(wàn)） 的調(diào)撥和報(bào)廢工作原則上采用各部門(mén)提申請(qǐng)，淄博市衛(wèi)生和計(jì)劃生育委員會(huì)審核批準(zhǔn)的方式。（五）設(shè)備報(bào)廢依據(jù)財(cái)務(wù)管理辦法和有關(guān)規(guī)定執(zhí)行，對(duì)報(bào)廢設(shè)備上保存的存貯介質(zhì)要進(jìn)行清除，防止泄密。（六）形成設(shè)備銷(xiāo)毀記錄文件，其中需體現(xiàn)時(shí)間、地點(diǎn)、內(nèi)容、責(zé)任人等

17、信息。第二節(jié) 軟件安全管理第十五條 軟件的選型（一）應(yīng)用軟件在開(kāi)發(fā)或購(gòu)買(mǎi)之前應(yīng)正式立項(xiàng)，成立由技術(shù)人員、業(yè)務(wù)人員和管理人員共同組成的項(xiàng)目小組并建立軟件質(zhì)量保證體系。（二）選用的軟件必須是正版軟件。第十六條 軟件安全檢測(cè)審查（一）軟件在正式使用之前應(yīng)進(jìn)行必要的安全功能檢測(cè)，保證業(yè)務(wù)能正常安全可靠的運(yùn)行。不得建立無(wú)關(guān)的用戶(hù)，測(cè)試用戶(hù)在完成測(cè)試后必須加以限制或刪除。（二）應(yīng)用軟件在正式投入使用前必須經(jīng)過(guò)內(nèi)部評(píng)審，確認(rèn)系統(tǒng)功能、測(cè)試結(jié)果和試運(yùn)行結(jié)果均滿(mǎn)足設(shè)計(jì)要求，技術(shù)文檔齊全，并經(jīng)分管領(lǐng)導(dǎo)批準(zhǔn)。（三）重要的業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)具有如下安全特性：（四）自動(dòng)記錄全部操作過(guò)程；（五）關(guān)鍵數(shù)據(jù)不得以明碼存放；（六）

18、無(wú)法繞過(guò)應(yīng)用界面直接查看或操作數(shù)據(jù)庫(kù)；（七）系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開(kāi)；（八）防止異常中斷后非法進(jìn)入系統(tǒng)；（九）提供超時(shí)鍵盤(pán)鎖定功能；（十）業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸；（十一）應(yīng)存儲(chǔ)一年以上完整的系統(tǒng)運(yùn)行記錄；（十二）提供系統(tǒng)運(yùn)行狀態(tài)監(jiān)控模塊；（十三）提供數(shù)據(jù)接口，滿(mǎn)足稽核、審計(jì)及技術(shù)監(jiān)控的要求；（十四）其它有助于控制業(yè)務(wù)操作風(fēng)險(xiǎn)的功能特性。（十五）系統(tǒng)軟件應(yīng)具備如下安全功能：（十六）身份驗(yàn)證功能，防止非法用戶(hù)隨意進(jìn)入系統(tǒng)；（十七）訪問(wèn)控制功能，防止越權(quán)訪問(wèn)；（十八）故障恢復(fù)功能，能夠自動(dòng)或在人工干預(yù)下從故障狀態(tài)恢復(fù)到正常狀態(tài)而不致造 成系統(tǒng)混亂和數(shù)據(jù)丟失；（十九）安全保護(hù)功能，對(duì)

19、信息的交換、傳輸、存儲(chǔ)提供安全保護(hù)；（二十）安全審計(jì)功能，便于應(yīng)用系統(tǒng)建立訪問(wèn)用戶(hù)資源的審計(jì)記錄；（二十一）分權(quán)制約功能，支持對(duì)操作員和管理員的權(quán)限分離與相互制約。（二十二）系統(tǒng)軟件應(yīng)達(dá)到相應(yīng)的安全級(jí)別才能投入正常使用。（二十三）數(shù)據(jù)庫(kù)管理軟件除上述功能要求外，還應(yīng)具有數(shù)據(jù)庫(kù)的安全性、完整性、一 致性及可恢復(fù)性保障機(jī)制。（二十四）應(yīng)用軟件應(yīng)具備基本的訪問(wèn)控制和安全審計(jì)功能。第十六條軟件使用與維護(hù)（一）應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。（二）嚴(yán)禁擅自使用外來(lái)的磁盤(pán)、磁帶和光盤(pán)。如工作需要，必須在確保無(wú)計(jì)算機(jī)病毒、 計(jì)算機(jī)系統(tǒng)工作安全的情況下，經(jīng)淄博市衛(wèi)生和計(jì)劃生育委員會(huì)批準(zhǔn)，并做好登記后方可使 用

20、。（三）軟件使用人員應(yīng)經(jīng)過(guò)適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。（四）信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。（五）應(yīng)采取有效措施，防止對(duì)應(yīng)用軟件的非法修改。（六）設(shè)專(zhuān)人負(fù)責(zé)業(yè)務(wù)軟件的版本升級(jí)，及時(shí)為軟件缺陷打補(bǔ)丁。第十七條 軟件安全跟蹤與報(bào)告（一）設(shè)專(zhuān)人負(fù)責(zé)跟蹤系統(tǒng)軟件的安全補(bǔ)丁，及時(shí)彌補(bǔ)安全漏洞。（二）關(guān)鍵業(yè)務(wù)系統(tǒng)軟件和應(yīng)用軟件必須啟用其自身的安全審計(jì)留痕功能，便于系統(tǒng)建立訪問(wèn)用戶(hù)資源的審計(jì)記錄。（三）專(zhuān)人負(fù)責(zé)定期檢查和跟蹤審計(jì)日志，及時(shí)發(fā)現(xiàn)問(wèn)題，并生成日志分析報(bào)告。（四）定期對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行轉(zhuǎn)存和清除。第三節(jié) 數(shù)據(jù)安全管理第十八條 數(shù)據(jù)保密性管理（一）對(duì)系統(tǒng)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理，

21、防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失與破壞。（二）關(guān)鍵業(yè)務(wù)數(shù)據(jù)不得泄露，禁止外傳。（3） 重要數(shù)據(jù)的處理過(guò)程中， 被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作；處理結(jié)束后，應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)；妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。（四）各業(yè)務(wù)數(shù)據(jù)僅用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用。（五）無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱客戶(hù)資料；經(jīng)正式批件查閱數(shù)據(jù)時(shí)必須登記，并由查閱人簽字。（六）涉密數(shù)據(jù)不得以明碼形式存儲(chǔ)和傳輸。（七）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)。（八）在數(shù)據(jù)的傳輸過(guò)程中采用各種加密手段進(jìn)行保障，如利用

22、SSLPG將技術(shù)手段。（九）未經(jīng)允許，不準(zhǔn)將機(jī)房設(shè)備、維護(hù)用品、軟盤(pán)、資料等私自帶出機(jī)房，如有特殊情況，需經(jīng)負(fù)責(zé)人同意并進(jìn)行登記后方可帶出。第十九條 數(shù)據(jù)訪問(wèn)控制管理（一）設(shè)置系統(tǒng)管理員崗位，對(duì)系統(tǒng)數(shù)據(jù)實(shí)行專(zhuān)人管理。（二）設(shè)置數(shù)據(jù)庫(kù)管理員崗位，對(duì)業(yè)務(wù)數(shù)據(jù)實(shí)行專(zhuān)人管理。（三）數(shù)據(jù)庫(kù)管理系統(tǒng)的口令必須由專(zhuān)人掌管，并定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫(kù)管理系統(tǒng)口令。（四）在重要數(shù)據(jù)的處理過(guò)程中，被批準(zhǔn)使用數(shù)據(jù)的人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作。處理結(jié)束后，應(yīng)清除不能帶走的本次作業(yè)數(shù)據(jù)。應(yīng)妥善處理打印結(jié)果，任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。（五）對(duì)數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)加控制。嚴(yán)禁未經(jīng)授權(quán)將各種數(shù)據(jù)等拷貝出系統(tǒng)，轉(zhuǎn)給無(wú)關(guān)的人員或單位；嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。（六）采用實(shí)時(shí)監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)不良信息或破壞性數(shù)據(jù)，對(duì)其采取封堵、清除等相應(yīng)安全控制措