【正文】 6．因樓宇維修、管網(wǎng)改造等原因斷水、斷電時(shí)，未提前通知信息科做好信息系統(tǒng)運(yùn)行環(huán)境的應(yīng)急準(zhǔn)備，導(dǎo)致系統(tǒng)運(yùn)行中斷，嚴(yán)重影響業(yè)務(wù)正常開展。（二）信息系統(tǒng)運(yùn)行安全管理風(fēng)險(xiǎn)事件類型：風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級責(zé)任主體制度流程風(fēng)險(xiǎn)涉密系統(tǒng)部署在內(nèi)網(wǎng)上、絕密系統(tǒng)部署在機(jī)密級及以下涉密網(wǎng)上，存在秘密信息泄漏的風(fēng)險(xiǎn)重大各科室、單位信息系統(tǒng)和相應(yīng)的基礎(chǔ)軟、硬件環(huán)境運(yùn)行故障的事前預(yù)警能力不高一般信息科崗位職責(zé)風(fēng)險(xiǎn)未按相關(guān)規(guī)定進(jìn)行信息系統(tǒng)分級保護(hù)或等級保護(hù)相關(guān)工作重大信息科、辦公室斷水、斷電時(shí)，未提前通知信息科，存在造成機(jī)房停運(yùn)的風(fēng)險(xiǎn)重大辦公室崗位職責(zé)風(fēng)險(xiǎn)信息系統(tǒng)和相應(yīng)的基礎(chǔ)軟、硬件環(huán)境運(yùn)行監(jiān)控管理手段不完善一般信息科以人工方式處理不同網(wǎng)段上的信息交換和傳遞一般各科室、單位信息系統(tǒng)或基礎(chǔ)軟、硬件環(huán)境出現(xiàn)故障時(shí)未及時(shí)發(fā)現(xiàn)和解決一般信息科（三）信息系統(tǒng)運(yùn)行安全管理風(fēng)險(xiǎn)防控措施：，完善監(jiān)控管理手段，提高信息系統(tǒng)和基礎(chǔ)軟、硬件環(huán)境運(yùn)行故障的事前預(yù)警能力。各科室、單位應(yīng)及時(shí)將發(fā)現(xiàn)的信息系統(tǒng)運(yùn)行異常通知信息科，并配合進(jìn)行異常情況調(diào)查和處置。，將不同密級要求的信息系統(tǒng)部署在不同網(wǎng)段上運(yùn)行，確保不同密級的信息相互隔離。特別是非涉密網(wǎng)上不允許部署運(yùn)行涉密信息系統(tǒng)，機(jī)密級及以下涉密網(wǎng)上不允許部署運(yùn)行絕密信息系統(tǒng)。，應(yīng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)，定期對非涉密信息系統(tǒng)開展等級保護(hù)測評，對涉密信息系統(tǒng)進(jìn)行分級保護(hù)測評，對不符合要求的事項(xiàng)，及時(shí)進(jìn)行整改。，建設(shè)部署數(shù)據(jù)交換系統(tǒng)，盡可能避免人工操作。如必須采用人工操作時(shí)，操作完成后應(yīng)將信息交換與傳遞介質(zhì)按相關(guān)要求和程序進(jìn)行處置或銷毀。5. 辦公室應(yīng)配合信息科做好信息系統(tǒng)運(yùn)行資源環(huán)境的保障工作，保證系統(tǒng)運(yùn)行的連續(xù)性。如因特殊情況要求斷電、斷水時(shí)，應(yīng)事先通知信息科，在收到信息科確認(rèn)回復(fù)后方可實(shí)施。第三十九條 信息系統(tǒng)運(yùn)維安全管理風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)運(yùn)維安全管理風(fēng)險(xiǎn)點(diǎn)：、單位不遵從信息系統(tǒng)運(yùn)行維護(hù)管理程序，遇到問題不通知信息科，而直接聯(lián)系運(yùn)維人員或系統(tǒng)開發(fā)人員，運(yùn)維操作無記錄，運(yùn)維過程缺乏監(jiān)督等導(dǎo)致事故責(zé)任無法追溯。，系統(tǒng)運(yùn)行故障得不到及時(shí)解決，導(dǎo)致業(yè)務(wù)正常開展受到影響。、系統(tǒng)安全員、系統(tǒng)審計(jì)員（以下統(tǒng)稱“三員”）分離制度，或執(zhí)行不到位，運(yùn)維人員可以隨意進(jìn)行信息系統(tǒng)和數(shù)據(jù)庫后臺操作，或者在不受任何監(jiān)控的情況下進(jìn)行操作，導(dǎo)致系統(tǒng)參數(shù)配置被惡意更改或業(yè)務(wù)數(shù)據(jù)泄漏、丟失、篡改的重大風(fēng)險(xiǎn)。，運(yùn)維單位人員進(jìn)出機(jī)房不填寫登記表，不記錄運(yùn)維工作內(nèi)容，操作過程未留下痕跡，導(dǎo)致嚴(yán)重的系統(tǒng)運(yùn)行與信息安全風(fēng)險(xiǎn)。，無法按規(guī)定履行運(yùn)維職責(zé)。（二）信息系統(tǒng)運(yùn)維安全管理風(fēng)險(xiǎn)事件類型：風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級責(zé)任主體制度流程風(fēng)險(xiǎn)未建立信息安全管理“三員分離”制度，或執(zhí)行不到位，存在業(yè)務(wù)數(shù)據(jù)泄漏、丟失、蓄意篡改的重大風(fēng)險(xiǎn)重大各科室、單位不遵從信息系統(tǒng)運(yùn)行維護(hù)管理程序，遇到問題不通知信息科一般各科室、單位進(jìn)出機(jī)房無登記，不記錄運(yùn)維工作內(nèi)容，操作過程未留下痕跡一般信息科崗位職責(zé)風(fēng)險(xiǎn)發(fā)現(xiàn)信息泄漏事件未及時(shí)報(bào)告重大各科室、單位主機(jī)房、涉密機(jī)房等重要部位的安全保衛(wèi)、消防、監(jiān)控、供電等工作執(zhí)行不到位重大辦公室、信息科發(fā)現(xiàn)信息泄漏事件未制定應(yīng)急方案并采取補(bǔ)救措施重大各科室、單位監(jiān)控和安全檢查不到位，未及時(shí)發(fā)現(xiàn)和處理故障一般信息科信息系統(tǒng)運(yùn)行維護(hù)制度執(zhí)行不嚴(yán)格一般信息科廉政風(fēng)險(xiǎn)利用系統(tǒng)運(yùn)行維護(hù)之便，竊取財(cái)政信息，謀取私利重大各科室、單位外部風(fēng)險(xiǎn)運(yùn)維單位對信息系統(tǒng)及其基礎(chǔ)資源環(huán)境不熟悉，無法按規(guī)定履行運(yùn)維職責(zé)一般信息科、運(yùn)維單位（三）信息系統(tǒng)運(yùn)維安全管理風(fēng)險(xiǎn)防控措施：，按照有關(guān)IT服務(wù)管理規(guī)定的程序和要求執(zhí)行。業(yè)務(wù)人員的運(yùn)行維護(hù)需求應(yīng)向信息科提出，信息科負(fù)責(zé)響應(yīng)和協(xié)調(diào)安排解決。，運(yùn)維單位承擔(dān)的所有維護(hù)操作必須在信息科或相關(guān)業(yè)務(wù)部門的監(jiān)控下進(jìn)行，不允許運(yùn)維單位人員獨(dú)自開展系統(tǒng)運(yùn)維工作。、開放權(quán)限等變更操作流程，建立并嚴(yán)格執(zhí)行“三員”分離制度，加強(qiáng)對后臺設(shè)備、數(shù)據(jù)操作權(quán)限和操作行為的管理與審計(jì)，加強(qiáng)對業(yè)務(wù)系統(tǒng)操作人員的安全管理，規(guī)范安全操作行為。，進(jìn)出機(jī)房的運(yùn)維人員都應(yīng)完整填寫相關(guān)登記表，詳細(xì)說明要解決的故障，所涉及的設(shè)備、信息系統(tǒng)和數(shù)據(jù)，經(jīng)審批后方可進(jìn)入機(jī)房。第四十條 信息系統(tǒng)應(yīng)用安全管理風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)應(yīng)用安全管理風(fēng)險(xiǎn)點(diǎn)：，不按管理規(guī)范和流程操作信息系統(tǒng)，造成信息系統(tǒng)功能和性能受到影響，導(dǎo)致業(yè)務(wù)管理無法正常完成。 Key、電子印章、IP地址、郵箱賬號、應(yīng)用系統(tǒng)賬號等各種信息資源管理使用不規(guī)范，使用人員離職或退休前不能及時(shí)收回，存在信息泄漏、非法訪問等安全風(fēng)險(xiǎn)。，不規(guī)范使用和操作涉密計(jì)算機(jī)、網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，存在違規(guī)外聯(lián)、不同網(wǎng)絡(luò)間交叉使用移動(dòng)存儲介質(zhì)、不安裝統(tǒng)一部署的殺毒軟件和入網(wǎng)準(zhǔn)入軟件等違規(guī)行為，存在泄密等安全風(fēng)險(xiǎn)。，存在外部借調(diào)人員超權(quán)限訪問網(wǎng)絡(luò)和應(yīng)用系統(tǒng)、未及時(shí)收回相應(yīng)的信息資源等問題，導(dǎo)致信息泄漏、非法訪問等安全風(fēng)險(xiǎn)。，存在泄密和業(yè)務(wù)管理無法正常完成等風(fēng)險(xiǎn)。（二）信息系統(tǒng)應(yīng)用安全管理風(fēng)險(xiǎn)事件類型：風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級責(zé)任主體制度流程風(fēng)險(xiǎn)離職、退休和臨時(shí)借調(diào)人員離開時(shí)，未交回和注銷數(shù)字證書及介質(zhì)USB Key、電子印章、IP地址、郵箱賬號、應(yīng)用系統(tǒng)賬號等各種信息資源重大人教處、辦公室、信息科、各科室、單位安全保密培訓(xùn)不夠，信息安全技術(shù)培訓(xùn)欠缺一般辦公室、信息科人員崗位變更未及時(shí)更改權(quán)限一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)業(yè)務(wù)人員不嚴(yán)格執(zhí)行相關(guān)保密規(guī)定，存在涉密網(wǎng)違規(guī)外聯(lián)、介質(zhì)交叉混用、在互聯(lián)網(wǎng)上處理涉密信息等違規(guī)行為重大各科室、單位業(yè)務(wù)人員安全意識欠缺，不按管理規(guī)范和流程操作使用信息系統(tǒng)一般各科室、單位授權(quán)不嚴(yán)格，或業(yè)務(wù)人員將自己的權(quán)限授予他人使用一般各科室、單位出現(xiàn)信息泄漏事件后未調(diào)查評估并對管理問題進(jìn)行整改重大各科室、單位（三）信息系統(tǒng)應(yīng)用安全管理風(fēng)險(xiǎn)防控措施：，應(yīng)對業(yè)務(wù)人員進(jìn)行操作與安全管理培訓(xùn)，提高操作信息系統(tǒng)的規(guī)范性和安全意識。、IP地址、郵箱賬號、應(yīng)用系統(tǒng)賬號、電子印章、數(shù)字證書USB Key等各種信息安全資源的管理。用于辦公使用的計(jì)算機(jī)及信息設(shè)備由信息科統(tǒng)一配發(fā)和管理。，由信息科統(tǒng)一發(fā)放數(shù)字證書及介質(zhì)USBKey、電子印章等，保證操作人員、數(shù)字證書和電子印章三者之間一一對應(yīng)，做到人、證、印相符。辦公室會(huì)同信息科負(fù)責(zé)退職、退休、臨時(shí)調(diào)出以及借調(diào)等人員的數(shù)字證書及介質(zhì)USBKey、電子印章等資源的回收和注銷。、單位應(yīng)加強(qiáng)系統(tǒng)操作人員的安全教育和管理，應(yīng)按照相關(guān)安全要求和規(guī)范操作使用計(jì)算機(jī)和業(yè)務(wù)系統(tǒng)。禁止隨意更改計(jì)算機(jī)配置和參數(shù)、安裝來歷不明的軟件、導(dǎo)入未經(jīng)安全檢查的文件和數(shù)據(jù)、連接其他網(wǎng)絡(luò)和設(shè)備等。禁止信息系統(tǒng)操作人員將自己的權(quán)限授予他人使用，嚴(yán)控涉密和敏感信息，防范信息泄漏。申請或變更系統(tǒng)使用權(quán)限應(yīng)報(bào)請科室、單位負(fù)責(zé)人審批后轉(zhuǎn)信息科確認(rèn)實(shí)施。，提交他人繼續(xù)使用的，應(yīng)做好涉密信息的消除工作。不再繼續(xù)使用的，應(yīng)將硬盤交信息科進(jìn)行銷毀。信息科應(yīng)制定針對局內(nèi)人員的信息安全技術(shù)培訓(xùn)計(jì)劃并組織實(shí)施。各科室、單位應(yīng)重視安全保密教育工作，積極參加各類安全保密方面的培訓(xùn)。第四十一條 信息系統(tǒng)安全審計(jì)管理風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)安全審計(jì)管理風(fēng)險(xiǎn)點(diǎn)：，未設(shè)立系統(tǒng)審計(jì)員，未對操作行為及時(shí)審查和分析。，審計(jì)功能和審計(jì)記錄不完整，或被審計(jì)數(shù)據(jù)被更改、刪除，導(dǎo)致無法對安全事件追蹤查證，無法明確相關(guān)責(zé)任人。 ，導(dǎo)致日志缺乏，事件可追溯能力不足。（二）信息系統(tǒng)安全審計(jì)管理風(fēng)險(xiǎn)事件類型：風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級責(zé)任主體崗位職責(zé)風(fēng)險(xiǎn)系統(tǒng)未設(shè)計(jì)和實(shí)現(xiàn)審計(jì)功能重大信息科未對審計(jì)系統(tǒng)和審計(jì)信息進(jìn)行訪問控制一般信息科未明確系統(tǒng)審計(jì)責(zé)任人一般各科室、單位系統(tǒng)沒有獨(dú)立的審計(jì)模塊一般信息科私自對審計(jì)記錄進(jìn)行更改或刪除重大各科室、單位未對審計(jì)系統(tǒng)和審計(jì)信息進(jìn)行訪問控制一般信息科未定期實(shí)施審計(jì)或分析一般各科室、單位對后臺設(shè)備和數(shù)據(jù)操作的管理和審計(jì)不到位一般信息科（三）信息系統(tǒng)安全審計(jì)管理風(fēng)險(xiǎn)防控措施：，應(yīng)做好審計(jì)系統(tǒng)的設(shè)計(jì)，確保系統(tǒng)具有獨(dú)立完整的審計(jì)模塊和功能。加強(qiáng)對后臺服務(wù)器、數(shù)據(jù)、網(wǎng)絡(luò)、安全等設(shè)備、系統(tǒng)運(yùn)維操作和系統(tǒng)用戶業(yè)務(wù)操作行為的審計(jì)。保證審計(jì)進(jìn)程無法被中斷，審計(jì)信息完整、不可更改，做到事后可追溯。、涉密系統(tǒng)和涉密用戶的安全保密審查。、單位指定專人擔(dān)任與本單位業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng)的審計(jì)員，加強(qiáng)對應(yīng)用系統(tǒng)的安全審計(jì)和業(yè)務(wù)審計(jì)。第四十二條 信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險(xiǎn)點(diǎn)：，導(dǎo)致前瞻性、系統(tǒng)性不足。，應(yīng)急預(yù)案不完備，應(yīng)急協(xié)同力欠缺，導(dǎo)致突發(fā)事件處理不當(dāng)甚至影響財(cái)政業(yè)務(wù)的正常開展。，演練出現(xiàn)的問題未及時(shí)評估和整改，導(dǎo)致應(yīng)急處置能力、快速響應(yīng)和恢復(fù)能力不足。（二）信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險(xiǎn)事件類型：風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級責(zé)任主體制度流程風(fēng)險(xiǎn)針對各類可能發(fā)生的應(yīng)急事件缺乏安全預(yù)案重大信息科未建立災(zāi)備體系重大信息科應(yīng)急處理預(yù)案內(nèi)容不完善一般信息科各相關(guān)單位溝通渠道不暢，導(dǎo)致未及時(shí)組織應(yīng)急演練一般各科室、單位應(yīng)急和災(zāi)備管理制度不健全或執(zhí)行不到位一般信息科災(zāi)備需求不明確一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)發(fā)現(xiàn)可導(dǎo)致重大事件的問題，未及時(shí)報(bào)告和處置重大各科室、單位、信息科崗位職責(zé)風(fēng)險(xiǎn)對應(yīng)急事件等級判斷不準(zhǔn)確，造成處置失誤一般應(yīng)急領(lǐng)導(dǎo)小組（三）信息系統(tǒng)災(zāi)備與應(yīng)急管理風(fēng)險(xiǎn)防控措施：，明確組織管理機(jī)構(gòu)、單位負(fù)責(zé)人、責(zé)任部門和應(yīng)急處理流程,定期組織相關(guān)單位進(jìn)行應(yīng)急演練，提高應(yīng)急能力和水平。發(fā)生突發(fā)事件時(shí)，組織進(jìn)行快速響應(yīng)和應(yīng)急處理。發(fā)生安全保密事件時(shí)，協(xié)助辦公室進(jìn)行調(diào)查、追蹤和取證。通過建立全方位、多層次的重要信息系統(tǒng)災(zāi)難恢復(fù)體系，形成同城容災(zāi)與異地容災(zāi)相結(jié)合的格局，實(shí)現(xiàn)存儲數(shù)據(jù)有效性和完整性，保障財(cái)政重要業(yè)務(wù)系統(tǒng)的高可用性、高可靠性以及業(yè)務(wù)的連續(xù)性。、物理支持環(huán)境、網(wǎng)絡(luò)安全、建筑物、電力、網(wǎng)絡(luò)線路、供水、消防等等突發(fā)事件的應(yīng)急演練和應(yīng)急處理。、單位須提升對信息系統(tǒng)突發(fā)事件的應(yīng)急意識，積極參加和配合做好應(yīng)急演練，提高應(yīng)對突發(fā)事件的能力。當(dāng)發(fā)現(xiàn)有信息系統(tǒng)突發(fā)事件時(shí)，應(yīng)及時(shí)通知并配合信息科進(jìn)行處置。第六章 附則第四十三條 本辦法由益陽市財(cái)政局信息科會(huì)同相關(guān)科室（單位）負(fù)責(zé)修訂完善，由局內(nèi)控辦會(huì)同信息科負(fù)責(zé)解釋。第四十四條 本辦法自頒布之日起實(shí)施。137 / 49