搜索

河南档案馆 旧网站栏目 18地市 政务信息

河南省数字档案馆安全管理制度

时间: 2021-02-01 来源:      [打印] [字体: ]

  河南省数字档案馆安全管理制度

  第一章 总则

  第一条 为保障河南省数字档案馆正常运行,切实做好各类账户、各类密钥的规范化管理,提高信息系统风险评估水平,增强数字档案馆应对各类风险的灾情应急处置和灾难恢复能力,特制定本制度。

  第二条 本制度中的账户、密钥是指河南省数字档案馆应用层面及系统层面(操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号和密码。

  第二章 账户管理

  第三条 账户管理是指用户账号的申请、审批、分配、删除、禁用等管理,账户包括管理员账户和普通账户,管理员账户负责授权管理,普通账户负责业务操作。

  第四条 电子档案处履行账户管理的主体责任,应指定专人承办账户开户、账户销户、账户维护等工作,规范账户申报、审批、报备流程,根据各处室岗位开设对应系统权限,严格账户管理。

  第五条 个人账户开户由所在处室向电子档案处提交开户申请,电子档案处报请分管领导审批后,方可开户。

  第六条 电子档案处有义务对馆内干部职工账户的角色设置、权限赋予、功能分配等进行审查确认,馆外人员原则上不予以开户。

  第七条 新人入职、个人调动、权责调整、人员离职等情况时,个人应主动向电子档案处提交所在系统账户申请、变更、禁用或删除等申请,电子档案处应及时处置,确保账户信息实时更新。电子档案处应定期抽取系统岗位和账户清单进行检查,发现可疑授权、可疑使用,根据实际情况予以通报修正。

  第八条 电子档案处应限定对数据具有变更、增加、删除权限的账户范围,账户操作应建立日志记录,方便审计追责。

  第九条 管理员账户必须由电子档案处负责人或指定专人管理,要严格管理员账户管理,尽量避免管理员账户的临时使用,严禁账户随意使用。

  第十条 软硬件信息系统交付验收合格后,由电子档案处监督,系统开发方必须删除临时测试帐户。

  第三章 密钥管理

  第十一条 个人账户使用前必须更改初始密钥,密钥由个人自行更改,要严格保密,注意密钥强度,最小长度为6位,并具有一定复杂度,防止被他人盗用。

  第十二条 个人密钥应定期进行更改,更新周期不得超过半年,严禁共享个人账户密钥。

  第十三条 系统需维护升级时,需由数字档案馆系统管理员引导维护操作人员进入系统进行维护升级。

  第十四条 密钥发放一般由数字档案馆系统管理员负责,应根据用户开户申请审定意见,制作用户名和密钥,赋予对应功能权限,其他人员严禁擅自进入系统进行账户及密钥操作。

  第十五条 用户密钥不慎遗失、遗忘时,必须第一时间向数字档案馆系统管理员报告,系统管理员应立即处理并做好登记记录工作。

  第十六条 数字档案馆软硬件后台账户及密钥应由电子档案处统一管理,及时形成账户、密钥台账,做好保密工作。

  第四章 风险评估

  第十七条 为保证馆安全工作环境,提高应急处置能力,减少安全隐患,避免事故损失,增强安全意识,做到预防在先、安全第一,相关部门应制定尽可能详尽的安全防范预案,各项工作应积极开展安全风险评估,确保万无一失。

  第十八条 安全风险评估主要指人员控制、设备管理、操作流程、系统业务、数据管控等方面的风险评估工作。

  第十九条 人员控制风险评估时,应将数字档案馆人员按照馆内人员、维护人员、外来人员进行分类,不同人员类别制定相应的风险防范策略。馆内人员不得接触自身权限以外的设备及数据,维护人员在维护升级工作时应全程接受数字档案馆软硬件管理员的监督,外来人员不得接触馆核心设备和业务数据。

  第二十条 设备管理风险评估时,应将数据机房、监控室、档案库房、数字化加工场所及各业务处室等纳入风险评估体系,严格遵守《河南省档案馆机房管理制度》、《档案数字化加工安全保密规定》、《档案数字化加工工作现场管理规定》、《河南省馆纸质档案数字化技术规范》等各场所安全管理制度,确保没有安全风险死角。

  第二十一条 系统操作风险评估时,应规范各类操作流程,梳理软件维护升级、硬件巡检巡修、档案数据移交、电子档案进馆等流程,评估各流程环节中可能出现的安全风险,当业务流程发生变化时,应及时开展风险再评估,杜绝安全风险漏洞。

  第二十二条 系统业务风险评估时,应加强对业务系统用户角色设置、权限赋予、功能权限的管控能力,特别是具有对业务数据增加、删除、修改操作的用户要做好操作日志记录。

  第二十三条 数据管控风险评估时,应重点加强对数据四性(真实性、有效性、完整性、安全性)的检测力度,严格按照《河南省数字档案馆安全管理制度》、《河南省数字档案馆数字资源管理制度》进行管理,制定符合实际的数据备份策略,做好数据异地备份工作。

  第五章 灾难恢复

  第二十四条 灾难恢复是指当数字档案馆设备和系统遭遇自然灾害、人为操作失误、软硬件故障等造成正常工作中断时,通过执行预设的应急风险方案,采取故障排除、数据恢复、系统重启等措施,使得数字档案馆恢复到正常运作状态的过程。

  第二十五条 数字档案馆系统使用处室应按照业务权限制定操作性强的灾难恢复预案,并定期组织灾难恢复演练。

  第二十六条 数字档案馆数据必须有切实可行的数据备份策略,采用增备、全备和异地备份相结合的方式定期实施备份数据恢复操作,对于核心系统和关键系统,每半年应进行备份介质可用性检测,确保库存备份介质可用。

  第二十七条 核心系统每季度应进行一次恢复测试,关键系统应至少每半年进行一次恢复测试,检查备份可用性。需要实施系统恢复时要按照备份恢复管理流程申报、审批,按照备份恢复方案进行系统恢复。

  第二十八条 数字档案馆软硬件管理员应建立设备配置清单、设备账户密钥等台账,并妥善保管各类软硬件的安装盘、驱动盘、配置手册、使用手册、用户手册等资料,确保灾难恢复时有据可查,尽快恢复系统正常运行。

  第二十九条 灾难恢复演练或灾难恢复时,应及时发现问题并排除故障,举一反三总结隐患教训,保证系统的常态化正常运转。

  第六章 应急处置

  第三十条 应急处置是指对突发事件,为避免更大的损失而采取的一系列临时应急措施。

  第三十一条 应充分做好应急处置的准备工作,硬件应常备计算机硬盘、磁盘阵列硬盘、内存条、网线、光纤、光电交换模块等,核心硬件应有冗余。软件系统应有备用系统,且与在用系统保持一致,确保突发情况能够随时恢复使用。

  第三十二条 应急处置预案应尽可能详尽,明确处置措施、方法、步骤,并定期组织演练。同时,应急处置预案应根据环境、设备和系统的变化不断做出相应调整,确保预案的有效性、可操作性。

  第三十三条 应成立数字档案馆运维工作小组,明确具体分工,发生突发情况时,由运维小组组织力量进行灾难恢复和应急处置。