国家自然资源和地理空间基础信息库 安全保密管理办法

第一章总则

第一条为加强自然资源和地理空间基础信息库(以下简称信息库)项目信息安全和保密工作管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。

第二条本办法适用于信息库项目数据主中心、数据分中心有关信息库建设、运行管理的安全保密工作。

第三条信息库项目安全保密工作按照“该保尽保,该公开依法公开”的原则,在严格界定数据涉密属性的基础上,将非涉密系统和涉密系统物理隔离、严格分开建设。既要按照信息安全保密有关法律法规的要求保证涉密信息的安全,也要按照政务信息公开条例的要求公开不涉密的信息内容,以服务于国民经济建设和社会发展。

第四条信息库项目安全保密工作采取技术手段与组织手段并重的原则进行。在技术保障上,根据信息安全分级保护的特点采取针对性措施保证信息安全。在组织保障上,建立健全信息库项目安全保密组织体系和工作机制,从体制机制上保障信息安全。

第二章组织机构及管理职责

第五条信息库项目安全保密组织机构包括三个层次:一是项目安全保密工作办公室(挂靠项目牵头部门);二是数据主中心安全和保密工作组(挂靠项目办公室)和数据分中心安全工作组(挂靠各参建部门);三是安全和保密工作岗位(在承担数据主中心和数据分中心运行任务的单位内设置)。

第六条项目安全保密工作办公室。挂靠国家发展和改革委员会,委办公厅负责同志任办公室主任,信息库项目办公室主任为副主任,委办公厅有关处室负责同志、11个数据分中心负责人和项目办公室各工作组组长为主要成员。负责全面领导信息库安全保密工作,统一组织、协调、指导信息库数据主中心和分中心的信息安全等级保护和涉密信息分级保护工作。具体工作职责包括:提出信息库项目的信息安全保密工作总体方针、政策性文件和安全策略等;组织制定和发布信息库项目信息安全和保密管理制度;联系国家信息安全和保密主管部门;协调信息库项目各参建部门和单位的信息安全和保密管理部门;按照国家信息安全和保密主管部门有关规定,申请信息库项目信息安全等级保护测评和涉密信息分级保护测评;定期组织对信息库项目的安全风险评估和保密工作检查;指导信息库项目数据主中心的安全和保密工作组和数据分中心的安全工作组,开展信息安全和保密日常管理工作,并定期组织有关信息安全和保密工作的技术和管理培训。

第七条数据主中心安全工作组。挂靠信息库项目办公室,项目办公室技术组组长任组长,项目办公室技术组工作人员和有关人员参加。负责信息库数据主中心信息安全等级保护相关日常管理工作。具体工作职责包括:根据信息库项目信息安全工作总体方针、政策性文件和安全策略,依照项目信息安全管理制度,提出信息库项目数据主中心的信息安全策略;编制数据主中心信息系统和网络安全运行管理规范;制定数据主中心信息系统和网络安全运行应急响应预案;制定信息安全工作岗位责任制;组织开展数据主中心信息系统和网络安全运行管理工作;定期向项目安全保密工作办公室汇报数据主中心信息系统安全运行情况;联系委办公厅有关信息安全主管处室;协调数据主中心各工作组信息安全管理工作;定期组织对数据主中心的信息安全风险自查工作;定期组织数据主中心信息系统和网络安全运行应急响应预案演练;定期组织有关信息安全工作的技术和管理培训。

第八条数据主中心保密工作组。挂靠信息库项目办公室,项目办公室综合组组长任组长,项目办公室综合组工作人员和有关人员参加。负责信息库数据主中心涉密信息系统和涉密信息分级保护相关日常管理工作。具体工作职责包括:根据信息库项目信息保密工作总体方针、政策性文件和安全策略,依照项目涉密信息管理制度,提出信息库项目数据主中心的信息保密(涉密信息安全)工作策略;编制数据主中心涉密信息系统和涉密网络安全运行管理规范;制定数据主中心涉密信息系统和涉密网络安全运行应急预案;制定涉密信息安全工作岗位责任制;组织开展数据主中心涉密信息系统和涉密网络安全运行管理工作;定期向项目安全保密工作办公室汇报数据主中心涉密信息系统和涉密网络安全运行情况;联系委办公厅有关信息保密主管处室;协调数据主中心各工作组的涉密信息安全管理工作;定期组织对数据主中心的信息保密(涉密信息安全)风险自查工作;定期组织数据主中心的涉密信息系统和涉密网络安全运行应急演练;定期组织有关信息保密工作(涉密信息安全工作)的技术和管理培训。

第九条数据分中心安全和保密工作组。挂靠数据分中心管理部门和单位。安全工作组依托各数据分中心信息系统和网络运行处室,其人员构成和工作职责参照数据主中心安全工作组的人员构成和工作职责,并结合本部门和单位具体情况进行落实。保密工作组依托各数据分中心管理部门和单位已有的信息保密工作机构,在信息库安全保密工作办公室的组织协调下开展工作。

第十条安全保密工作岗位。在落实信息库安全保密组织机构的同时,逐步建立适合信息库建设和运行特点的安全保密工作人员管理体制,并将非涉密信息系统和网络安全运行、涉密信息系统和涉密网络安全运行的职责落实到具体工作人员。安全和保密岗位根据国家信息安全和保密主管部门评定的等级专门设定。

第三章信息安全管理

第十一条信息库项目建设完成了6个业务应用信息系统,其中系统定级为三级的有4个:数据主中心互联网交换服务系统、数据主中心电子政务外网交换服务系统、数据分中心电子政务外网交换服务系统、数据分中心数据管理系统;系统定级三级加强的有2个:数据主中心决策支持应用系统、数据主中心数据管理系统。

第十二条按照《涉及国家秘密的信息系统分级保护技术要求》进行信息库系统安全等级保护(保密)方案设计,开展系统安全风险分析,确定业务应用系统的安全等级,并按照等级保护规范进行安全建设、安全运行、安全管理和边界保护。

第十三条集中运行监控。对防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备实行全面监控管理,生成拓扑地图,实时掌握各设备的部署情况、运行状况、设备的接入/断开变动情况。当网络资源和设备受到攻击或运行异常时,以告警等信息方式通知管理员。

第十四条统一风险管理。集中采集防火墙、VPN、IDS、IPS、漏洞扫描、网络设备、服务器/主机等设备的安全日志和事件,并进行统一的存储、备份、管理和统计分析,协助管理员实时监测网络中的攻击行为和安全风险,以便及时调整安全设备策略,积极应对安全威胁,实现网络的整体安全。

第十五条建立数据主中心和数据分中心的数据存取访问控制机制,按数据密级或重要程度进行分类,划分访问和存储等级,设立访问和存储权限,防止越权存取数据信息。

第十六条建立信息审计跟踪机制,详细记录每次访问信息库的情况以及系统出错和配置修改等信息。

第十七条建立信息网络安全责任制。电子政务外网和内部办公网必须与国际互联网和其他公共信息网络实行逻辑隔离。建立电子政务安全信任机制和授权管理机制,对数据主中心和各数据分中心联入电子政务外网进行认证管理。

第十八条按照等(分)级保护、密码防护等标准规范的要求,建立健全各项技术防护体系。内部办公系统与互联网(外界网络)物理隔离,互联网计算机采用绑定IP和MAC地址、终端认证监控等技术防护措施。

第十九条建立计算机病毒防范机制,定期使用经国家有关部门检测认可的防病毒软件进行检测。

第二十条数据主中心和各数据分中心建立信息库及其支撑系统的应急处理和灾难恢复机制,制定故障应急响应和支援处理措施,制订故障处理预案和数据备份制度。

第二十一条制定网络与信息安全突发事件的应急方案,定期开展信息安全应急演练,规范对网络与信息安全突发事件的处理方法和处理流程,提高网络安全突发事件的反应速度,在应急处理中尽可能降低事件负面影响和损害程度。

第二十二条数据主中心配置大型磁带库进行本地数据备份,确保数据的快速恢复能力。数据主中心分别在对外服务区、数据存储管理区和生产加工区选择重要数据库服务器进行数据备份和简单验证,磁盘阵列和磁带库备份系统结合实现实时在线备份,并按照信息库对数据备份的具体管理制度要求进行定期备份。备份的磁带统一妥善的保存在专用介质室,确保备份后的数据介质安全。

第二十三条各数据分中心分别配置适合自身情况的备份设备和备份软件,按照数据主中心的备份机制,选择重要、关键元数据库服务器进行磁盘阵列的实时数据备份和带库系统的定期备份。

第二十四条建立数据主中心与数据分中心综合信息库数据互为备份的数据安全机制。各数据分中心建立综合信息子库,数据主中心建立综合信息汇集库,冗余保存各数据分中心的综合信息子库。数据主中心和数据分中心间数据双重备份,从应用层逻辑结构上实现了异地数据备份,为灾难后应急和恢复提供了可靠保障。

第四章保密管理

第二十五条建立健全信息库项目数据安全保密工作规章制度,项目办公室工作人员入职前签订重要岗位人员信息安全和保密管理协议,并严格按照岗位信息安全责任制度、人员离岗离职安全管理规定、外部人员访问机房等重要区域审批制度等相关安全保密制度进行管理。项目办公室与在数据主中心参与项目建设任务的有关承担单位人员签订保密责任书,落实安全责任。

第二十六条信息库项目数据整合改造形成的成果数据及原始数据的涉密属性和密级由项目各参加部门和单位界定。数据主中心综合信息的涉密属性和和密级由项目牵头部门及相关建设单位共同界定。除非经保密主管部门批准,不随意增加或降低涉密数据的密级。

第二十七条涉密信息按照国家规定实行分级保护,确保系统和信息安全。数据主中心建设专门的屏蔽机房,存放和管理涉密数据,与任何网络完全物理隔离。数据分中心采用现有的涉密数据设施存放和管理相关涉密信息。

第二十八条涉密信息系统按照所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级。信息库项目按涉密等级分门别类进行维护、管理和提供服务。

第二十九条数据主中心与各数据分中心之间、各数据分中心之间非涉密数据通过国家电子政务外网进行数据交换并提供服务。国家政务内网建成前,涉密数据不通过网络交换提供服务,其交换和服务采用涉密信息规定渠道和方式进行。

第三十条项目办公室所有计算机终端严格实行“涉密计算机不上网,上网计算机不涉密”的管理制度。严禁在与互联网连接的计算机上处理涉密信息,严禁涉密计算机(未与任何网络连接的计算机视同涉密计算机)连接互联网。

第三十一条每台计算机终端都装有终端认证软件,并对计算机终端的任何操作进行实时监控和日志查看。

第三十二条项目办公室所有办公计算机终端实行统一平台的集中安全策略管理。数据和文件交换共享严格执行刻录制度,实行集中输入输出的,并对各工作区域所使用的移动存储设备(光驱、光盘)实行登记制度。

第三十三条所有办公终端的USB端口严禁使用,严禁移动存储介质(U盘、MP3、MP4、各类存储卡等)在涉密计算机、非涉密计算机和互联网上交叉使用。

第三十四条  严禁在互联网上发送涉密文件和敏感工作信息,遵守复印机保密管理,复印带密级的文件要经过项目办公室领导批准。

第三十五条加强文件资料保存、流转过程中的日常保密工作,确保文件存档和传递的保密安全。

第三十六条信息库项目涉密信息系统建设任务必须选择具有相应涉密资质的单位承担或参与,包括涉密信息系统的方案设计与实施、软件开发、综合布线、系统集成、风险评估、屏蔽室建设、工程监理等。

第三十七条加强对项目办公室工作人员和参与项目工作的有关单位人员日常工作中的保密教育,制定保密检查方案,定期或不定期对项目保密情况进行检查。

第五章违规处理

第三十八条违法本管理办法的,依据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规进行处理。

第六章附则

第三十九条本办法由信息库项目办公室负责解释。

第四十条本办法自印发之日起执行。