勞動和社會保障部關於加強勞動保障信息系統安全管理的通知

【發布單位】勞動和社會保障部
【發布文號】勞社廳函〔2002〕209號
【發布日期】2002-07-04
【生效日期】2002-07-04
【失效日期】
【所屬類別】國家法律法規
【檔案來源】

勞動和社會保障部關於加強勞動保障信息系統安全管理的通知
(勞社廳函〔2002〕209號)

各省、自治區、直轄市勞動和社會保障廳(局)：
隨著信息化建設和網路化套用的發展，勞動保障信息系統在勞動保障事業中發揮著日益重要的作用，信息系統的安全問題也日益突出，有些單位的信息系統沒有有效的安全防範措施，系統口令管理混亂，重要數據沒有備份和加密，存在較為嚴重的安全隱患。

為加強勞動保障信息系統的安全管理，現就有關事項通知如下：
一、提高認識，加強領導
各級勞動保障部門應高度重視信息系統的安全問題，加強對信息系統安全工作的領導。在系統建設中認真執行國家在信息安全方面的有關法律、法規和政策規定，在安全產品的選型上要採用經國家有關部門認證和技術鑑定的產品。加強信息安全隊伍的建設，進行信息系統的安全培訓。從管理、教育和技術幾方面入手，防範和化解信息系統的安全風險。
二、建立制度，責任到人
各單位要有專人負責本單位信息系統的安全工作，根據本單位的具體情況建立健全信息系統安全管理制度，包括：人員管理、密碼口令、機房安全、設備安全、系統運行、網路通信、數據管理等，明確責任，將安全管理工作落實到人。
三、堵塞漏洞，全面防範
(一)加強套用系統安全

加強對計算機管理人員和操作人員管理，根據其工作職責的不同，設定使用許可權。通過對用戶身份認證管理，保證用戶的合法性。在套用社會保障卡的地區，要與社會保障卡的安全手段相結合，對持卡用戶的身份進行鑑別。
(二)加強數據安全

通過系統許可權、數據許可權、角色許可權的管理，建立資料庫系統的許可權控制機制。通過安全審計記錄，跟蹤用戶對資料庫的操作。根據信息的重要程度和安全要求，採取不同層次的數據備份制度。對通過網路傳輸的重要信息，應進行數據加密處理。有條件的地方，應建立資料庫災害防範機制，最大限度地保證數據的安全。
(三)加強網路平台安全

配備有效的防病毒軟體，防止網路環境的病毒感染和泛濫。在內部網與外部網之間，應採用防火牆技術，對進出內部網路的信息進行過濾，封堵某些禁止的業務。建立網路安全掃描系統和網路實時監控預警系統，對網路攻擊進行檢測和告警，及時發現網路系統安全漏洞，防止非法攻擊對網路平台的損害。
(四)加強機房和設備安全

對信息系統所在環境、所用計算機設備、信息所載媒體進行有效的安全保護。機房建設要符合有關國家標準，注意防雷、防泄漏、防火、防盜。存儲信息的備份介質要防塵、防潮、防霉變，保障系統的設備和數據的安全。
各省、自治區、直轄市勞動保障廳(局)接此通知後，要對本地區已建信息系統的安全狀況進行全面排查，並將檢查結果於9月底前書面報我部信息中心。對檢查中發現的安全隱患要積極採取有效措施，將系統的安全工作落到實處，做到防患於未然。