枣人社发[2012]11号
关于印发《枣庄市人力资源社会保障
信息系统建设运行管理暂行规定》的通知
各区(市)人力资源和社会保障局,枣庄高新区管委会政工部,机关各科室、局属各单位:
为加强枣庄市人力资源社会保障信息系统建设运行的管理,保证全市人力资源社会保障信息系统健康运行,根据国家信息化管理的有关规定并结合我局实际,特制订《枣庄市人力资源社会保障信息系统建设运行管理暂行规定》,现印发给你们,望认真执行。
附:《枣庄市人力资源社会保障信息系统建设运行管理暂行规定》
二〇一二年二月二十四日
枣庄市人力资源社会保障信息系统
建设运行管理暂行规定
第一章 总 则
第一条 为加强人力资源社会保障信息系统建设运行的管理,保证全市人力资源社会保障信息系统健康运行,特制定本暂行规定。
第二条 枣庄市人力资源和社会保障局负责全市人力资源社会保障信息化工作。市局信息中心负责信息化建设与运行管理的日常工作。各区(市)人力资源和社会保障局、枣庄高新区政工部分别对本区(市)、高新区人力资源社会保障信息化工作负责。
第三条 全市人力资源社会保障信息化建设应坚持统一标准、统一规划、统一领导的原则。局机关科室、直属单位,区(市)人力资源社会保障局(以下简称各单位)开展任何信息化建设项目,必须报经市局备案批准后实施,不得出现各自为政、分散建设和重复建设等问题。
第四条 信息系统是在我局各项业务标准化、规范化基础上形成的,应根据各项业务发展的自身规律,优化工作流程和管理模式,树立网络互联、信息共享、一体化建设的观念,确定全局各项业务的总体规划,并相应制定全局信息系统综合规划和建设实施方案,形成技术和业务的良性互动,从而确保业务工作目标的顺利实现。
第二章 信息系统设备配置与维护
第五条 市级数据中心机房核心设备和成品软件的购置、更换,由市局信息中心按照“金保工程”建设进程的要求,制定实施计划,所需资金列入市局信息化建设年度专项经费。
第六条 各单位所使用的计算机、打印机、交换机、查询机、读卡机具、触摸屏、LED显示屏等终端设备应按照各级信息中心制定的技术标准及要求,分别自行购置,并对其所购置的终端设备进行维护。
第七条 信息系统网络通讯线路技术标准由市局信息中心制定,并负责市级数据中心机房到各单位主节点一条线路的铺设。局直属单位所需分支网络线路由各单位自行铺设,技术规范和安全标准应满足规定要求。各区(市)局到所属及各相关单位的线路由各区(市)人力资源社会保障局负责铺设。
第三章 数据中心管理
第八条 全市建立统一的数据中心,市直及区(市)各类业务数据统一纳入数据中心管理,实现信息资源共享。提供基础数据的各单位要对所提供的基础数据的真实性负责。
第九条 各单位负责数据库基础数据的采集、整理和更新维护,通过正常的业务功能调用数据;市局信息中心负责数据库中各类数据的安全、管理工作,按照严格的处理规程对数据库的各类数据进行修改。
第十条 各单位工作人员在业务软件系统内不得修改已发放社会保障卡人员的姓名、身份证号码等基本信息。对无法通过程序修改的错误基础数据,有关业务单位应书面说明原因,并提供详细的错误基础数据清单和正确的基础数据,经该单位主要负责人签字后,由市局信息中心按照规程进行修改。
第十一条 各单位需要提取系统有关数据,系统功能无法实现的,应填写《提取统计、查询数据申请表》,经该单位负责人签字确认,由市局信息中心进行操作。
第十二条 信息系统的所有数据、资料均按密级严格管理。市局信息中心应加强对信息系统数据信息的安全保密管理,制定严格的数据信息管理与使用权限。市局信息中心和各单位严禁擅自对外提供信息系统有关信息、资料,确需向外提供的,必须报请负责信息化工作的市局分管领导批准。
第十三条 市局信息中心负责纳入统一管理的各类业务数据的备份管理,定期进行数据备份,并做好异地保存工作。
第四章 应用软件开发
第十四条 市局信息中心根据全市信息系统建设的总体要求,统一组织对应用软件的开发与维护工作。
第十五条 信息系统建设所涉及到的单位,按照系统开发进度要求,按时完成业务需求的提出和应用软件测试、推广工作。业务需求提出、软件测试、系统推广的人员应当三者合一。在系统开发进度安排确定后,无特殊原因,不得中途更换。系统开发周期内上述人员要按照开发工作的统一安排,积极参加系统开发工作,确保在系统开发周期内人员、时间双集中。
第十六条 业务需求的提出应考虑整体业务,兼顾其他机构或业务可能受到的影响,按照科学化、简洁化的要求对业务流程进行梳理、整合,并将优化后的工作流程及其涉及到的相关法规、政策、业务报表等有关业务需求的内容以书面形式提交市局信息中心,由信息中心组织该单位的业务需求提出人员及软件开发商,成立开发小组,统一编制《业务需求说明书》,各方签字确认后,交软件开发商开发。
第十七条 《业务需求说明书》确定后,如涉及开发费用、新业务新政策出台、软件系统改动较大、可能影响到整体业务办理等情况,应由该单位填写《系统需求提报单》,其主要负责人签字确认,并向负责信息化工作的市局分管领导申明理由,经批准后,市局信息中心根据开发工作量协调开发商对系统进行修改。
第十八条 业务测试人员要按照开发进度对应用软件进行测试,并按照测试情况填写《应用软件测试报告单》,及时提交市局信息中心。若测试有问题,市局信息中心及时组织业务人员与软件开发商沟通,由软件开发商修改后,进行再测试。
第十九条 在软件开发实施过程中,业务需求的变更应填写《系统需求变更提报单》,由该单位主要负责人签字确认,报市局信息中心审查后,协调软件开发商对系统进行修改。
第二十条 在规定的软件试运行期结束后,市局信息中心负责组织有关方面对应用软件进行验收,会同软件开发商做好相关操作人员的培训,配合业务单位做好应用软件的推广使用。各单位应提升信息化条件下的服务工作理念,规范和优化业务流程,为信息系统的应用创造良好的政策和业务环境。对具备使用信息系统条件而不应用的单位,市局相关职能科室要重点监控其手工操作模式经办的有关业务,从严把握与之相关联的审批项目。
第二十一条 制定出台新政策需要信息系统支持的,应由市局信息中心及相关业务部门(科室、经办机构)人员参与,本着最大限度的使用现有信息系统主要业务功能的原则,由市局信息中心、相关业务人员和软件开发商确定实现新政策业务需求的方式。
第五章 应用软件维护
第二十二条 信息系统管理维护工作实行统一管理、分级负责、共同维护。市局信息中心负责全市人力资源社会保障信息系统的管理,并指导各单位做好系统管理维护。各区(市)局、枣庄高新区政工部应成立信息化管理机构,配备既熟悉业务又掌握计算机能力的专职人员,明确系统管理员,负责本区(市)信息系统的管理维护。
第二十三条 各单位业务人员的计算机操作权限,应按照相互监督、相互制约和加强管理的原则确定,填写《业务人员操作权限变更处理单》后,由该单位主要负责人或区(市)局分管领导签字后,提交市局信息中心审核后统一实施。各单位应建立计算机操作人员权限管理档案。因工作需要变更操作权限的应重新填写《业务人员操作权限变更处理单》,及时进行调整。
第二十四条 市局信息中心负责业务软件系统参数设置的集中管理,不得将可能影响到全市政策执行一致性的计算机操作权限下放给各单位的工作人员。社会保险省(市)级统筹后,信息系统的相关政策参数必须完全统一,如涉及相关参数的变更,应由市局机关业务科室或市直经办机构提出修改意见,填写《核心平台系统参数调整设置提报单》,报市局分管领导签字同意后,交市局信息中心进行统一设置操作。
第二十五条 各单位有关人员应严格按照分配的用户名、自己设定的密码来进行功能操作,不得越权操作。系统用户口令由工作人员本人掌握并定期修改。工作人员对自己的口令、权限和管理范围负责。工作人员应全面掌握分配给自己的操作权限,测试相关的信息系统功能,如因对系统功能不了解等原因,误操作或未按要求对相关步骤进行操作,给参保人员或基金带来损失,应承担相应的责任。
第二十六条 系统运行过程中出现的问题,属于政策、业务、数据方面的问题,由各单位负责解释处理;属于网络、硬件、软件方面的问题,各单位系统管理员无法自行解决的,将有关情况书面提交市局信息中心处理。
第二十七条 定点医疗机构的医保结算系统,由定点医疗机构负责管理维护。对系统运行中出现的属于政策、业务、数据方面的问题,由所辖医保经办机构负责解释处理。需要对数据或信息系统进行技术处理的,应由市直医保经办机构或区(市)信息化管理机构组织协调,并将有关情况书面提交市局信息中心处理。
第二十八条 对应用系统运行过程中出现的维护问题,应由各单位的系统管理员进行整理归类,由市局信息中心处理完毕后,及时反馈相关业务单位。
(一)对属于应用操作问题的,由各单位的系统管理员负责指导操作人员操作;
(二)对由于误操作导致只有通过直接修改数据库才能恢复正常业务的情况,其系统管理员填写《系统需求变更提报单》,由该单位负责人签字同意后,提交市局信息中心处理;
(三)对由于程序错误导致只有通过直接修改数据库才能恢复正常业务的情况,其系统管理员填写《系统需求变更提报单》,由该单位负责人签字同意后,提交市局信息中心处理;
(四)对属于软件功能调整、软件程序修改的,其系统管理员填写《系统需求变更提报单》,由该单位负责人签字同意后,提交市局信息中心。
(五)对于不符合正常业务规则的特殊业务,需要修改数据库才能实现的,其系统管理员填写《系统需求提报单》,由该单位主要负责人签字,报负责信息化工作的市局分管领导批准后,方可进行处理。
第二十九条 市局信息中心对有关单位提交的《系统需求提报单》,应组织该单位系统管理员、业务人员和有关人员(包括监理、软件开发商等)进行综合分析,共同确认是否对相应的功能进行修改、开发和完善。对未超出合同范围或维护期范围内确实需要修改完善的,应提出详细的《业务需求说明书》,共同签字确认,按规定流程审批后,交软件开发商进行维护修改。
第三十条 对完成功能调整和程序修改的应用软件,由市局信息中心会同该单位人员进行测试,并填写《应用软件测试报告单》,确认正确后,方可投入运行。
第三十一条 应用软件如需更新、升级,应严格按照应用软件版本管理规定执行。
第六章 信息系统网络管理
第三十二条 市局信息中心负责人力资源社会保障网络的安全建设,在组织信息系统设计和建设中应采用成熟的安全管理监控技术和防病毒技术,做好网络安全的防范工作。信息系统所用各服务器等与外界连接的设备,必须采取措施,设置防火墙等防护设备,严防外界的恶意攻击。
第三十三条 严格加强各入网单位(人力资源和社会保障所(服务站)、各定点医疗机构、定点药店及有关单位)的管理。各入网申请单位,须填写《枣庄市人力资源社会保障信息系统入网资格认证申报表》,报市局信息中心审查。
第三十四条 市局信息中心对各单位及各入网单位的网段和IP地址,均按照信息系统IP地址的统一规划进行设置和管理。
第三十五条 各单位及各入网单位系统管理员和操作人员,须严格执行国家有关安全保密管理制度与本规定。在使用信息系统时,只能操作经过授权的业务,不得越权操作;严格管理并定期修改各自的操作密码,严禁向他人泄漏。
第三十六条 各单位及各入网单位应建立相应的安全保密管理制度;确保进行业务操作的计算机设备与互联网无任何物理连接,坚决杜绝通过安装网卡、拔插网线等任何方式在信息系统和互联网之间进行切换。
第三十七条 各单位及各入网单位所使用信息系统中业务功能的每一个重要环节必须设立相对应的书面凭证,以备信息系统数据库出现故障时进行业务补做和错误查找,书面凭证应至少保存十年。
第三十八条 信息系统业务专网核心机房内部分,只准许主机服务器、特定主机和网络监控计算机以及需进行异常数据库操作处理的计算机接入。局直属单位业务计算机全部划入业务专网核心机房外部运行,以确保核心机房内部安全。信息系统应安装内网管理软件,加强对全市运行业务软件计算机的管理,避免内外网互联等不当操作造成破坏,限制未安装内网管理软件计算机的业务操作。
第三十九条 市直应安装统一的网络版防病毒软件。各区(市)、各入网单位的防病毒软件按照统一要求自行购买。市局信息中心负责相关的技术培训,各单位系统管理员负责安装杀毒软件、定期升级和查杀病毒,及时安装操作系统的各种补丁。严禁在做业务的计算机及相关设备上使用不安全的软盘、光盘等移动存贮介质,禁止进行任何非正常业务的计算机操作。业务系统申报等环节所需介质一律先行查杀病毒,确保安全后才能进入信息系统。各入网单位还应安装防火墙等安全装置。
第四十条 市局信息中心应加强对各单位及各入网单位执行网络安全管理规定的检查和监督;各单位及各入网单位对网络运行中出现的问题,应及时向市局信息中心进行报告。
第七章 公众信息发布管理
第四十一条 信息系统公共服务子系统采用网站、
第四十二条 明确枣庄市人力资源社会保障局网站(以下简称“网站”)运行工作机构职责。市局政策法规科负责网站运行的综合协调、信息汇总、发布工作,负责网站所发布的重要、敏感信息的审核把关工作;各单位负责相关业务信息的收集、上报工作;市局信息中心负责网站运行的技术维护与管理工作。
第四十三条 信息发布坚持专人负责、层层把关的原则。各单位要指派专人担任信息员,主要负责采集、编录本单位的信息并向市局政策法规科提供。信息员对所提供的信息内容负责。市局政策法规科对上网内容要严格审查、管理,以确保网上信息的合法性、真实性、准确性、及时性,未经批准不得上网发布。网站发布的重要、敏感信息,须经市局主要领导审核同意;发布涉及局各项业务的信息,须经市局分管领导审核同意。未经审查的信息不得以任何理由或借口在网上发布。
第四十四条 视频会议管理由市局办公室牵头,市局信息中心配合并指定专人负责视频会议现场管理工作,负责会场卫生及会议设备的管理、维护、调试工作。市局信息中心负责确保省厅到会场的线路畅通。
第八章 信息系统保密管理
第四十五条 各单位涉密计算机、涉密网络及涉密存储介质的管理,应严格按照市局保密管理的各项规定执行,确保不出现任何泄密事件。
第四十六条 市局信息中心和各单位及各入网单位,应设专人负责涉及数据信息的磁介质资料和文字资料的安全保密管理工作,建立资料管理制度。
第四十七条 各单位及各入网单位应严格加强对信息系统涉密数据的管理。对有涉密信息的设备进行维修时,应确保涉密数据不被泄露;对报废的计算机,应将其硬盘拆除并删除所有信息,对涉密程度较高的,要进行销毁。
第九章 信息系统管理职责
第四十八条 信息系统管理实行预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立责任制和领导负责制。各单位及各入网单位主要负责人为本单位计算机信息管理工作的主要责任人。
第四十九条 市局信息中心负责信息系统的日常运行维护管理,安全、保密管理,培训、监督与检查;负责制定信息系统管理规章制度并督导执行;负责信息系统的故障检查和处理,向信息系统用户通报情况,提供技术服务的工作。
第五十条 各单位及各入网单位应根据工作需要设立系统管理员,并将人员名单及时提交市局信息中心,由市局信息中心统一组织培训和业务管理。系统管理员的主要职责:负责本单位或本单位应用系统的操作指导;按照信息系统的管理规定和要求,对本单位或本单位信息系统的运行进行检查和监督;对信息系统中出现的问题及时解决并向市局信息中心报告。
第五十一条 计算机工作人员应遵守的管理要求:
(一)各单位工作人员均不得利用本信息系统从事危害国家、集体利益和公民合法权益的活动,不得从事危害本信息系统安全的活动;
(二)各单位工作人员应严格遵守国家有关信息安全与保密制度,严禁窃取、泄露、传播与信息系统有关的任何信息、资料、数据,不得随意更改信息系统的各类数据、各项参数配置,不得随意更改主机、网络及相关设备的设置;
(三)各单位工作人员严禁越权操作;对重要的信息数据处理系统,应分级加设系统口令,防止泄露机密信息和数据;
(四)各单位工作人员使用的计算机要设置开机口令,操作口令设置应包含数字、字母、符号等,长度不少于4位,必须严格保密、经常更换。在计算机工作过程中需要暂时离开时,必须启动带密码的屏幕保护程序或锁定计算机,以防泄密;
(五)各单位工作人员对信息系统涉密文件和重要的资料档案,须按规定妥善保管,不得随意公布;对废弃的打印纸及磁介质等,应按有关规定进行销毁,防止丢失泄密;
(六)各单位工作人员调离原工作岗位,必须移交全部技术资料和文档,不得泄露本信息系统信息和资料;
(七)市局数据中心机房严禁未经许可的人员进入。如需进入,须经市局信息中心负责人同意,并由市局信息中心人员陪同。
第十章 网络与信息安全应急预案
第五十二条 凡在我市人力资源社会保障系统范围内发生的严重影响网络与信息系统正常运行,造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等,对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全事件,适用本预案。
第五十三条 在发生网络与信息安全事件时,各单位应第一时间与本单位系统管理员联系,报告市局信息中心。根据网络与信息安全事件等级情况,及时报告市局分管领导及主要领导。同时与相关的产品技术支持单位联系,获得必要的技术支持。
第五十四条 在发生网络与信息安全事件后,事件发生单位和现场应急响应小组尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为网络与信息安全事件后,对事件进行定级和上报。按照应急响应流程,由市局信息中心决定启动应急预案,并由市局分管领导负责应急处理协调工作。
(一)按照事件严重性和紧急程度及对社会影响的大小,分为以下五级:
1级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小;
2级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏;对国家安全、社会秩序、经济建设和公共利益产生一定危害;
3级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生较大危害;
4级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生严重危害。
5级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害;
(二)当发生2级和2级以上的网络与信息安全事件时,由市局信息中心启动本预案,并向市局分管领导报告。
第五十五条 事件发生单位要初步确定应急处理方式,检查威胁造成的结果,评估事件带来的影响和损害。
(一)检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。应根据事件具体情况采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行。
(二)如果以自身力量无法处理的事件,应提出应急支援请求,由市局或区(市)局信息化管理机构协调派出应急支援技术力量进行信息安全应急支援。
第五十六条 及时采取行动遏制事件发展,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。
第五十七条 在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,将对攻击源进行定位并采取合适的措施将其中断。
(一)清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应慎重小心,避免出现误操作导致数据的丢失。
(二)恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。
(三)对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
(四)对于重点业务系统,发生问题后在采取技术措施解决的同时,还要加强宣传,公布危害性和解决办法,以避免产生社会恐慌。
第五十八条 在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。
第五十九条 系统恢复正常运行后,事件发生单位应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报相关部门。
(一)对于蠕虫病毒等易造成大范围传播的网络与信息安全事件,应及时向市局信息中心提交预警信息。
(二)因为重大自然灾害而引起的网络与信息安全事件,可根据灾害造成的损失情况参照上述流程进行应对。应积极筹措资金,尽快开展市级数据中心灾备系统建设,在重大自然灾害、水灾、火灾等灾难对市级数据中心机房造成毁灭性破坏时,确保数据信息安全及全市人力资源社会保障业务经办的不中断。
第六十条 在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,将予以通报批评;对造成严重不良后果的,将视情节追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
对未及时落实指令,影响应急行动效果的单位或个人,按有关规定追究相关人员的责任。
第十一章 数据中心日常值班规范
第六十一条 市局信息中心应建立24小时数据中心值班制度。值班人员在值班期间要有高度的责任心。值班人员应按时进入值班室,不得擅自离岗。值班期间保持电话畅通,有事须先请假,以便安排临时代替人员,值班人员的调换值班必须在值班表登记。
第六十二条 值班人员负责机房日常管理工作,并密切监控机房环境、设备系统运行状况,做好一切安全防范工作。当出现异常情况时,应做出相应的处理决定,如无法处理需及时上报值班领导。
第六十三条 值班人员应做好值班日志。交接班时,对需交代事项在值班日志上做好详细、规范的交接记录。
主办:枣庄市人力资源和社会保障局 地址:枣庄市薛城区民生路366号
业务咨询电话:12333 电话:0632-3314268 传真:0632-3315975 网站标识码:3704000023