区信用体系各成员单位：

　　为推动我区社会信用体系建设工作，加大信用信息应用的广度和深度，搭建安全、可靠的信用平台，现将《海沧区公共信用信息平台信息安全管理制度》印发给你们，请认真遵照执行。

　　海沧区信用服务中心 

　　2021年5月28日

　　第一条 为加强和规范海沧区信用平台的安全管理工作，切实保护法人和自然人的合法权益，根据《中华人民共和国计算机信息系统安全保护条例》、国务院《互联网信息服务管理办法》(国务院令第292号)、《厦门市公共信用信息管理办法（试行）》、《厦门经济特区社会信用条例》、《厦门市软件和信息服务业个人信息保护管理办法》等有关规定，结合海沧区实际，特制定本制度。

　　第二条 本制度所称安全管理，是指在海沧区信用平台立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

　　第三条 任何与海沧区信用平台（以下简称区信用平台）相关的组织和个人，不得利用其从事危害国家利益、集体利益和公民合法利益的活动，不得侵害当事人及相关人的合法权益，不得危害区信用平台的安全。

　　第二章职责分工

　　第四条 区信用平台安全管理工作，遵循“统一要求、分级管理、用户实施”的基本原则。海沧区信用主管部门负责区信用平台安全管理工作，指导和督促海沧区信用服务中心（以下简称区信用中心）、区信用平台用户单位（以下简称用户单位）、区信用平台对外服务委托机构（以下简称服务机构）具体的实施工作。区信息中心负责对服务器、网络设备等进行安全维护及管理。

　　第五条 海沧区信用主管部门承担的安全管理职责

　　1.研究、制定区信用平台安全管理的基本规范和制度；

　　2.检查、督促、指导区信用中心、用户单位的安全管理工作，并定期开展评价、通报；

　　3.组织区信用平台建设、维护、使用单位安全管理工作的业务培训。

　　第六条 区信用中心承担的安全管理职责

　　1.研究、制定区信用平台安全管理的具体措施和相关技术标准；

　　2.及时收集、分析、上报区信用平台安全管理工作的基本情况，并提出工作意见和建议；

　　3.负责区信用平台的安全管理工作和安全保护技术工作。

　　第七条 用户单位及服务机构承担的安全管理职责

　　1.根据区信用平台安全管理规范和制度，落实本单位的安全管理措施；

　　2.与区信用平台存在数据交换，或接入区信用平台的其他信息系统的主管部门，负责组织本部门信息系统安全建设，配备、调集必要的技术设备和人力资源，确保前置交换设备和接入系统的安全运行。

　　第三章人员管理

　　第八条 区信用平台的开发人员、管理维护人员及使用人员（以下简称平台工作人员）应维护公共信用信息及相关资料档案安全，自觉遵守有关法律法规和内部制度的规定，接受保密教育和监督。

　　第九条 平台工作人员上岗前，必须参加信用信息安全相关培训，非在编政府工作人员须签订保密协议。

　　第十条 平台工作人员应当严格按照区信用平台操作权限和岗位职责操作平台，不得将本人操作账户或CA介质转予他人使用，不得将公共信用信息泄露给与工作无关的第三方。

　　第十一条 平台工作人员办理转岗或离职手续时，应将本人的账户信息报送区信用中心进行注销，将所接触或掌握的信用信息向区信用中心作专项交接。

　　第四章运行维护管理

　　第十二条 区信用中心加强对服务器、网络设备、用户端设备的登记和规范化管理，确保按操作规程对硬件设备及虚拟化设备进行使用与维护；防止外来硬件设备擅自接入，防止私自拆卸、添加或销毁硬件设备;防止私自送修硬件设备用户端计算机、服务器及网络设备，硬件设备须经区信用中心审核登记后方可带离机房或办公地点。

　　第十三条 区信用中心加强对平台各终端和服务器的检查, 平台各终端和服务器必须安装使用正版防病毒和防火墙软件，并定期更新升级，及时进行木马程序和病毒代码全面扫描，定期进行系统漏洞扫描，对发现的系统安全漏洞及时修补。不得安装其他无关软件。

　　第十四条 区信用中心建立每月一次的硬件设备（包含虚拟化设备）定期检查制度，确保硬件的可靠运行和安全稳定。

　　第十五条 区信用中心建立关键设备使用情况登记表，及时记录设备使用中出现的各种状况，上报异常情况，做好故障预防及处置工作。

　　第十六条 区信用中心对区信用平台及其数据库系统的登陆和操作，应严格设置使用权限，并加强登陆口令的复杂性和保密性设置，定期更换登陆口令、检查权限设置。

　　第五章数据管理

　　第十七条 区信用中心加强对公共信用信息的安全管理和保存，杜绝泄密和失密情况的发生。各单位应实行数据安全管理主要领导负总责、具体工作责任明确的制度，确保工作流程不泄密、传输过程不失密和安全存档防窃密。

　　第十八条 区信用平台数据及其产生的各类信用记录、统计分析报告等信用成果的开放权限，由市发改委（市信用办）统一设置、统一批准，并按相关要求与使用单位签订使用协议，任何单位或个人未经批准不得使用或向第三方提供区信用平台数据和成果。

　　第十九条 服务机构依申请向自然人或法人提供公共信用信息查询服务或相关信用成果时，应做好相关证书复印件、申请文件原件、授权委托书原件等材料的存档工作。

　　第二十条 区信用中心和用户单位加强信用信息存储介质的管理，确保存储介质安全使用、分级存放，防止敏感、涉密数据信息泄露；对需要送修和销毁的存储介质，要确保存储内容清除和不可恢复。

　　第二十一条 对需要系统维护和外包服务的用户单位，应根据本规定与服务提供方签订安全保密协议，对工作人员进行备案，并随时进行监督和检查，确保安全管理工作到位。

　　第六章应急管理

　　第二十二条 重大信息安全事件发生后，各单位相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及时报告本单位主管领导。

　　第二十三条 建立健全应急反应机制，定期开展培训。在条件许可的情况下，每年至少进行一次灾备恢复演练。

　　第二十四条 制定完善平台、网络和机房环境等应急预案。在区信用平台推广应用方案中应同时设计、同步实施应急备份方案。

　　第七章安全监测和检查

　　第二十五条 区信用中心要采用必要的技术手段，对信用平台日常运行进行监测，结合系统运行的日志等信息，定期或不定期进行分析，及时发现、修补薄弱环节，保证信用平台的安全可靠地运行。

　　第二十六条 区信用中心建立运行监测月报或季报制度，并抄送中心内部各相关部门。

　　第二十七条 通过自查、互查或上级检查等多种方式，区信用中心和用户单位每年至少组织一次本单位或管辖范围内的信息安全专项检查。

　　第二十八条 根据安全管理制度制定详细的检查方案和计划，确保检查工作的操作性和规范性。安全检查完成后应及时形成检查整改报告，经本单位主管领导批准后尽快送达被检查部门。要求限期整改的，需对相关整改情况进行后续跟踪。

　　第八章其它

　　第二十九条 其它所涉及的海沧区信用平台的安全管理参照海沧区政府政务信息中心安全管理相关规定严格管理和执行。

　　第二十六条 本制度自发布之日起实行，有效期为三年。