厦门市信用共享平台管理制度
(试行稿)
第一章 总则
第一条 为了加强我市信用共享平台的管理,确保平台安全、可靠运行,根据《厦门市公共信用信息管理办法》和《厦门市软件和信息服务业个人信息保护管理办法》等有关法规规定,结合实际情况,制定本制度。
第二条 厦门市信用共享平台(以下简称市信用平台)是本市社会信用体系建设全局的重要基础设施,是开展政府联动监管和提供公共信用服务的有效载体。市信用平台是由市发改委 (市信用办)牵头,市信息中心 (市信用服务中心)具体负责建设的,平台归集了我市行政主管部门、司法机关及行使公共管理服务功能的企事业单位、社会组织在履行职责过程中产生和掌握的可用于识别自然人、法人和其他组织信用状况的数据和资料。
第三条 厦门市发改委(市信用办)授权市信息中心(市信用服务中心)具体负责市信用平台日常运行、设备管理和提供相应的技术支持。
第四条 凡接入市信用平台的部门和单位,都应当遵守本规定。
第二章 使用管理
第五条 市各级党政机关及经批准同意的有关单位可以申请接入市信用平台。
第六条 每个接入单位原则上只允许开设一个帐号,用于本单位信用目录维护、数据上报、统计、查询市信用平台上法人与自然人及政务共享信用信息、信用信息异议处理、以及信用信息、联合奖惩、红黑名单使用情况的反馈等。
第七条 各单位要妥善保管好市信用平台上的账号、密码,认真、及时上报本单位的行政许可与处罚、红黑名单等,并对上报数据的正确性负责。
第八条 各单位在市信用平台上查询自然人信用信息时,必须事先得到当事人的书面授权(有法律授权的单位除外),同时对所查询到的自然人信息要妥善保管,不得泄露给无关的部门或人员。
第九条 各单位每月至少一次要在市信用平台上核对本单位对信用目录的管理、信用数据上报等情况进行核对,确保信用目录及时更新,信用数据及时完整上报等。
第三章 运行管理
第十条 市信用平台的日常运行管理由征信服务部负责。为保障本平台的安全、可靠、稳定运行,提高平台运行维护的科学化、规范化、制度化水平,制定本运行管理制度。
第十一条 做好市信用平台的日常运行管理是征信服务部、承建公司驻点技术支持人员的共同职责,要在分工负责的基础上明确责任,协同工作,各有关人员要以高度的责任心,积极主动,认真负责地搞好平台的运行管理工作。
第十二条 市信用平台项目根据分工设定项目负责人、网络与安全管理员、系统与应用管理员、信息审核发布人员等角色,分别承担市信用平台运行管理的各种保障工作。其职责分别为:
(一)项目负责人:负责市信用平台的总体建设和运维管理工作,根据项目组成员特点分工具体角色,落实运维监督,协调信用国家平台、省平台、市里信用成员单位、中心内部各部门、项目服务合作伙伴等相关单位,解决平台运行管理中遇到的各种问题。
(二)网络与安全管理员:负责对市信用平台网络部分的管理,包括日常的网络运行监测、与各单位的网络对接落实,做好网络层面的安全工作,如防火墙策略具体的方案设计、参数配置,以及负责防火墙策略的配置记录及变更记录工作。
(三)系统与应用管理员:负责市信用平台所有服务器的操作系统、数据库系统、信用业务系统等,负责本级用户管理以及对下一级系统管理员管理,包括创建各类申请用户、用户有效性管理及操作培训和技术指导;同时负责信用数据备份和应急恢复测试,并对备份的存放介质进行管理等。
(四)信息审核发布人员:负责审核、监管、发布市信用平台所接受到的信用数据、信息,向“信用中国”、“信用福建”等上报信用数据与信息,并负责市信用平台内信用数据的分析、统计等。
第十三条 加强对服务器、网络设备、用户端设备的登记和规范化管理,确保按操作规程对硬件设备及虚拟化设备进行使用与维护;防止外来硬件设备擅自接入,防止私自拆卸、添加或销毁硬件设备;防止私自送修硬件设备用户端计算机、服务器及网络设备,硬件设备须经市信用中心审核登记后方可带离机房或办公地点。
第十四条 加强对平台各终端和服务器的检查, 平台各终端和服务器必须安装使用正版防病毒和防火墙软件,并定期更新升级,及时进行木马程序和病毒代码全面扫描,定期进行系统漏洞扫描,对发现的系统安全漏洞及时修补。不得安装其他无关软件。
第十五条 建立每月一次的硬件设备(包含虚拟化设备)定期检查制度,确保硬件的可靠运行和安全稳定。
第十六条 建立关键设备使用情况登记表,及时记录设备使用中出现的各种状况,上报异常情况,做好故障预防及处置工作。
第十七条 对市信用平台及其数据库系统的登陆和操作,应严格设置使用权限,并加强登陆口令的复杂性和保密性设置,定期更换登陆口令、检查权限设置。
第十八条 加强应急管理,建立健全应急反应机制,市信用平台若有重大信息安全事件发生,各相关人员应注意保护事件现场,按照事先准备的应急预案进行处置,并及时报告本单位主管领导。
第十九条 市信用平台每周7天、每天24小时不间断运行,各相关人员要做好本职工作,确保整个平台的正常运行。
第三章 信息管理
第二十条 信息管理对象包含市信用平台所收集到的行政许可、行政处罚、红黑名单、联合奖惩、重点类别人员、公共事业缴费等法人与自然人的信用信息,以及信用信息的收集、处理、查询、分析、上报、异议处理、信用修复、归档等全过程。
第二十一条 市信用成员单位及相关单位要按照信用目录确定的格式按时向市信用平台上报行政审批、行政处罚、红名单、黑名单等信用数据。
第二十二条 信息管理人员要检查所收集上来数据的正确性,及时入库、公示(若有要求),并按要求上报“信用中国”、“信用福建”等。
第二十三条 自然人信用信息需要本人授权方可查询。政府各部门在办理业务过程中,需要查询自然人信用信息的,同样需要事先得到当事人的书面同意。同时对查询结果负有妥善保管的义务,不得透露给无关人员。
第二十四条 信息管理人员要对市信用平台上的信用数据定期备份,每月一次全量备份,每天一次增量备份。同时要定期对备份数据进行恢复测试。
第二十五条 信息管理人员要管理好信用信息,未经许可,不得把归集到的信用信息提供给任何单位与个人。
第四章 安全管理
第二十六条 市信用平台的安全管理主要包含网络安全、应用安全、数据安全等方面,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,我们具体按照二级等保来保护市信用平台的安全。
第二十七条 适用范围:在厦门市信用平台立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动,适用本制度。
第二十八条 市信用平台安全管理工作,遵循“统一要求、分级管理、用户实施”的基本原则。
(一)厦门市信用主管部门(市信用办)负责市信用平台安全管理工作,指导和督促厦门市信用服务中心、市信用平台用户单位具体的实施工作。
(二)市信用中心负责定市信用平台安全管理的具体措施和相关技术标准;及时收集、分析、上报市信用平台安全管理工作的基本情况,并提出工作意见和建议;负责市信用平台的安全管理工作和安全保护技术工作。
(三)用户单位及服务机构承担的安全管理职责:根据市信用平台安全管理规范和制度,落实本单位的安全管理措施;与市信用平台存在数据交换,或接入市信用平台的其他信息系统的主管部门,负责组织本部门信息系统安全建设,配备、调集必要的技术设备和人力资源,确保前置交换设备和接入系统的安全运行。
第二十九条 人员管理
(一)市信用平台的开发人员、管理维护人员及使用人员(以下简称平台工作人员)应维护公共信用信息及相关资料档案安全,自觉遵守有关法律法规和内部制度的规定,接受保密教育和监督。
(二)平台工作人员上岗前,必须参加信用信息安全相关培训,非在编政府工作人员须签订保密协议。
(三)平台工作人员应当严格按照市信用平台操作权限和岗位职责操作平台,不得将本人操作账户或CA介质转予他人使用,不得将公共信用信息泄漏给与工作无关的第三方。
(四)平台工作人员办理转岗或离职手续时,应将本人的账户信息报送市信用中心进行注销,将所接触或掌握的信用信息向市信用中心作专项交接。
第三十条 运行维护管理
(一)市信用中心加强对服务器、网络设备、用户端设备的登记和规范化管理,确保按操作规程对硬件设备及虚拟化设备进行使用与维护;防止外来硬件设备擅自接入,防止私自拆卸、添加或销毁硬件设备;防止私自送修硬件设备用户端计算机、服务器及网络设备,硬件设备须经市信用中心审核登记后方可带离机房或办公地点。
(二)市信用中心加强对平台各终端和服务器的检查, 平台各终端和服务器必须安装使用正版防病毒和防火墙软件,并定期更新升级,及时进行木马程序和病毒代码全面扫描,定期进行系统漏洞扫描,对发现的系统安全漏洞及时修补。不得安装其他无关软件。
(三)市信用中心建立每月一次的硬件设备(包含虚拟化设备)定期检查制度,确保硬件的可靠运行和安全稳定。
(四)市信用中心建立关键设备使用情况登记表,及时记录设备使用中出现的各种状况,上报异常情况,做好故障预防及处置工作。
(五)市信用中心对市信用平台及其数据库系统的登陆和操作,应严格设置使用权限,并加强登陆口令的复杂性和保密性设置,定期更换登陆口令、检查权限设置。
第三十一条 数据管理
(一)市信用中心加强对公共信用信息的安全管理和保存,杜绝泄密和失密情况的发生。各单位应实行数据安全管理主要领导负总责、具体工作责任明确的制度,确保工作流程不泄密、传输过程不失密和安全存档防窃密。
(二)市信用平台数据及其产生的各类信用记录、统计分析报告等信用成果的开放权限,由市发改委(市信用办)统一设置、统一批准,并按相关要求与使用单位签订使用协议,任何单位或个人未经批准不得使用或向第三方提供市信用平台数据和成果。
(三)服务机构依申请向自然人或法人提供公共信用信息查询服务或相关信用成果时,应做好相关证书复印件、申请文件原件、授权委托书原件等材料的存档工作。
(四)市信用中心和用户单位加强信用信息存储介质的管理,确保存储介质安全使用、分级存放,防止敏感、涉密数据信息泄漏;对需要送修和销毁的存储介质,要确保存储内容清除和不可恢复。
(五)对需要系统维护和外包服务的用户单位,应根据本规定与服务提供方签订安全保密协议,对工作人员进行备案,并随时进行监督和检查,确保安全管理工作到位。
第三十二条 应急管理
(一)重大信息安全事件发生后,各单位相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
(二)建立健全应急反应机制,定期开展培训。在条件许可的情况下,每年至少进行一次灾备恢复演练。
(三)制定完善平台、网络和机房环境等应急预案。在市信用平台推广应用方案中应同时设计、同步实施应急备份方案
第三十三条 安全监测和检查
(一)市信用中心要采用必要的技术手段,对信用平台日常运行进行监测,结合系统运行的日志等信息,定期或不定期进行分析,及时发现、修补薄弱环节,保证信用平台的安全可靠地运行。
(二)市信用中心建立运行监测月报或季报制度,并抄送中心内部各相关部门。
(三)通过自查、互查或上级检查等多种方式,市信用中心和用户单位每年至少组织一次本单位或管辖范围内的信息安全专项检查。
(四)根据安全管理制度制定详细的检查方案和计划,确保检查工作的操作性和规范性。安全检查完成后应及时形成检查整改报告,经本单位主管领导批准后尽快送达被检查部门。要求限期整改的,需对相关整改情况进行后续跟踪。
厦门市信息中心(厦门市信用服务中心)
2017.1.10