山东省国家税务局关于印发《山东省国税系统计算机网络与信息系统安全保密管理办法》的通知

各市国家税务局、山东省税务学校
　　随着我省国税系统信息化建设的发展，特别是“金税工程”的实施和CTAIS的全面上线，全省各级税机关以计算机网络为依托的征管格局已初步形成，全省已建成省、市、县、分局四级广域网。在完成繁重税收任务的同时，为提高税收征管效率，更好的服务纳税人，方便纳税人，各市也都和银行、工商、财政等部门进行了联网或信息交换，网络与信息系统已成为整个税务系统工作的重要组成部分。在税务信息化建设不断发展的同时，我省国税系统网络与信息安全的风险与隐患也日益增加，为了确保全省国税系统计算机网络与信息系统的安全，使之更好地为税收业务服务，根据总局及其他安全部门有关政策规定，省局制定了《山东省国税系统计算机网络与信息系统安全保密管理办法》，现印发给你们，请严格遵照执行。
　　 　　　　　　　　　　　　　　　　　　　　
　　
　　山东省国税系统计算机网络与信息系统安全保密管理办法
　　
　　第一章总 则
　　第一条为加强我省国税系统计算机、网络和电子信息的安全管理，更好地发挥计算机、网络和信息资源的作用，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《国家税务总局关于税务计算机信息系统安全管理规定》和公安部、国家保密局的有关规定及要求，特制定《山东省国税系统计算机网络与信息系统安全保密管理办法》(以下简称《办法》)。
　　第二条本《办法》适用于全省国税系统各单位网络、计算机及附属设备和电子数据的管理。
　　第三条国税系统各单位计算机网络与信息系统安全保护工作实行谁主管、谁负责和预防为主、综合治理、人员防范与技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理科学化、规范化。
　　第四条任何单位或个人，不得利用计算机网络与信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机网络与信息系统的安全。
　　第五条各级国税机关计算机网络与信息系统的建设和规划应按国家保密局(国保发﹝1998﹞l号)文件的规定，同步规划并落实相应的保密措施。
　　第六条涉及国家秘密的计算机网络与信息系统的建设，必须严格按照中共中央保密委员会办公室和国家保密局(中保办发﹝1998﹞6号)的通知要求，报经省局保密部门审批后，方可投入使用。
　　第七条计算机网络与信息系统的安全管理实行领导负责制，各级国税机关均应成立计算机网络与信息系统安全领导小组，由局长或分管局长担任组长，成员由技术部门和有关业务部门组成。
　　第八条违反本规定并造成重大事故的，追究主管负责人和直接责任人的责任，触犯法律的将依法处理。
　　第二章网络安全管理
　　第九条各级国税机关要严格按照总局、省局的有关要求，严禁私自更改网络拓朴结构、IP地址等涉及有关网络安全的内容。严禁使用电信运营商提供的宽带IP业务组建税务系统的广域网。
　　第十条各级要设立网络系统管理员岗位，选派责任心强、工作认真负责的技术人员担任。
　　第十一条 未经安全检查的网络设备、存有各种安全隐患的网络设备、未采取防病毒处理的计算机及其它未经常规检查的网络资源不得接入国税系统内部网络。
　　第十二条 要严格保管网络配置参数和配置口令。网络参数是网络运行和维护的重要依据，网络参数需要调整时，须经上级信息中心同意，调整后要及时存档；网络管理配置口令(含服务器、路由器、RAS拨号访问服务器、交换机等)必须设置，防止非法用户对非授权服务和数据的访问，网络系统管理员要定期或根据需要修改口令，口令要及时密封进行存档。
　　第十三条 局域网的运行安全。各地要对现有的网络安装正版防病毒系统，最大限度地保护现有网络资源。要利用入侵检测技术动态分析网络，及时发现网络的入侵行为，利用漏洞扫描技术定期地对网络进行扫描和检测，发现安全漏洞和隐患，及时采取相应的措施，确保网络安全。要对局域网进行VLAN划分,减少广播风暴，有条件单位，可根据需要增加身份认证、安全监控、安全审计等内容。
　　第十四条 原则上不提倡采用通过PSTN接入内部网的工作方式。如确实需要移动办公，要加强安全措施，如采用身份认证、安全监控、安全审计等手段，确保内部局域网的安全。如国税机关以外的技术人员需利用PSTN接入内部网进行技术维护时，除采取以上安全措施以外，必须要由国税机关内部技术人员配合完成，事后及时更改用户名和口令。
　　第十五条 局域网的接入安全。国税系统内部办公网络与访问因特网用网络必须物理隔离，与其他部门网络之间互联必须物理隔离或采用防火墙进行逻辑隔离，如多元化申报等确需和因特网进行连接，必须采用多个防火墙进行逻辑隔离，并安装入侵检测设备或软件。带有涉密信息的计算机不得接入因特网。
　　第十六条 各级国税机关采购的网络设备必须具有较高的可靠性，且网络设备要有相应的备份，一旦出现故障能够及时更换或维护。
　　第十七条 严禁国税机关内任何人采用任何手段攻击国税系统计算机网络和其他系统的计算机网络。
　　第三章计算机设备安全管理
　　第十八条 计算机使用人员必须严格遵守操作规程，以确保人身和设备的安全。关键计算机设备的上下电操作，必须由系统管理员负责进行。
　　第十九条 计算机设备的配置参数是系统运行和维护的依据，系统参数应由系统管理员进行规划和设定，并存档。应加强帐号、密码等资料的管理,特别是服务器系统必须设置系统管理员口令，并定期(1-3个月)或根据需要修改口令，以保证服务器系统和数据的安全。
　　第二十条 严禁各岗位人员越权操作。系统管理员要加强对系统用户和普通用户权限的管理，对重要的计算机信息处理系统应分级加设系统口令，以防秘密信息泄露，严禁盗用他人用户名和密码进入各类应用系统进行任何操作。
　　第二十一条 涉密计算机、服务器系统管理员的口令其长度必须超过8位字符，而且必须采用强的密码策略，每月至少更换一次。
　　第二十二条 口令必须加密存储，并且保证口令存放载体的物理安全。涉及密码的文件须妥善保存，不得随意公开。口令在网络中必须加密传输。
　　第二十三条 各类计算机系统要定期对系统文件进行备份，以保证在系统发生故障时能够及时恢复系统的正常运行。
　　第二十四条 各级国税机关采购的计算机设备都必须具有较高的可靠性，尤其是主机、服务器等关键设备要严格按照总局推荐目录采购，从源头上把好设备的性能安全关。各类关键设备都要有冗余备份或相应备件，一旦设备出现故障能够及时维护、更换，确保不影响正常工作的开展和系统的运行。
　　第二十五条 所有计算机和服务器要安装正版实时监控防病毒软件并及时升级，加强防病毒措施，定期检查、及时清除病毒。禁止在工作站上使用来历不明的磁盘、光盘等存储介质，禁止安装、运行游戏软件，以免感染病毒或木马程序。
　　第二十六条 严禁税务机关内任何人采用任何手段攻击国税系统计算机设备。
　　第四章机房安全管理
　　第二十七条 各级国税机关的计算机房是重要的经济信息处理场所，必须严格执行国家有关安全保密的制度和规定，防止重要经济信息泄露。机房的建设和改造必须严格按照有关的国家标准执行，必须具备防火、防雷、防静电、防电磁干扰设备，要具备完备的环境控制设备和电源供应设备。
　　第二十八条 技术管理部门负责机房及其附属设备的安全运行和日常维护、管理。未经允许，任何非技术管理部门人员不得进入机房、不得擅自对机房和附属设备进行改动。
　　第二十九条 指定专门人员负责机房安全，定时巡视机房，设备出现故障时，要及时处置，排除故障，故障无法解决的，要采取相应措施。
　　第三十条 加强机房日常管理制度的落实，做好机房的防盗、防火、防破坏工作。严格门禁和钥匙的管理，严禁带入易燃、易爆、腐蚀和强磁物品。机房内不准进行与工作无关的活动和操作。
　　第三十一条 机房管理人员要认真填写机房管理日志，详细记录设备运行、维护保养和故障情况。
　　第三十二条 严格执行机房安全用电规定，保证机房和各类附属设备的用电安全。
　　第三十三条 严格执行空调系统管理及操作规程、UPS系统管理及操作规程和消防系统操作须知，加强专用空调、UPS、消防等重点设备的维护、保养。
　　第三十四条 加强机房环境监控和维护，保持机房设备所要求的温度、湿度和洁净度等指标。
　　第五章计算机安全产品的管理
　　第三十五条 全省国税系统计算机信息系统安全工程由省局统一组织实施，各级国税机关要按照省局要求，配置相应设备和软件。
　　第三十六条 全省国税系统网络安全设备的购买、加装要遵循统一配置的原则，对所使用的网络安全产品必须通过国家安全部门的认证。
　　第三十七条 对新购进的计算机及其附属设备，要组织专业人员检测后，方可安装运行，防止由于质量引起的问题和原始病毒的侵害。
　　第三十八条 计算机及网络的安全产品(防病毒软件、防火墙、安全隔离产品、入侵检测、安全监控产品等)必须使用经过公安部、国家保密局、国家税务总局等有关部门批准使用的产品，并及时更新版本。
　　第三十九条 不得故意制作、传播、复制计算机病毒及其它破坏性程序，不得撰写这方面的文章。
　　第四十条 加密产品的核心机密(软、硬件)应交本单位办公室机要或保密人员保存，严禁随意存放，严禁交于公司管理。
　　第四十一条 涉密计算机设备的维修应确保密级数据不被泄露。对报废计算机应将硬盘拆除后，由专人负责集中销毁。
　　第四十二条 网络加密物理产品的使用、放置场所应具有安全保护措施，有条件的地方应安装监控装置。
　　第四十三条 在网络建设的设计中应考虑安全技术措施，采用较成熟的安全管理和监控技术以及防治病毒、防火墙技术。
　　第六章数据、资料和信息的安全管理
　　第四十四条 制定切实可行的数据管理制度，对数据实施严格的安全与保密管理，防止各类数据被非法变更、泄漏、破坏。
　　第四十五条 市局和县(市、区)局都要设置数据管理员岗位，对数据实行专人管理。
　　第四十六条 做好数据备份和恢复工作。对关键业务数据(如金税工程、CTAIS、办公自动化、出口退税、各类统计报表、重点税源数据)，要采取本地和异地备份等安全措施，制定切实可行的数据备份方案和数据恢复紧急应对方案,有计划地进行数据恢复演练，保证在出现紧急情况时有良好的应对措施。
　　第四十七条 严格遵守保密制度，保证税收数据、信息、资料的准确、安全、可靠。各税收业务应用系统及其他重要信息数据不得随意泄露，无正当理由和有关批准手续，不得借阅，经正式批准需要借阅数据时，必须登记，并由借阅人签字。保密数据不得以明码形式存储和传输，根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。
　　第四十八条 严格保管数据库超级用户口令，并定期修改(1—3个月)。
　　第四十九条 涉密数据的存储和传输应当按照国家保密局和公安部保密规定配有相应的加密措施。
　　第五十条 涉密数据在数据加密网络建立之前，严禁通过公网存储、处理和传递。
　　第五十一条 机房及使用计算机的单位都要设专人负责文字及磁介质资料的安全管理工作。
　　第五十二条 建立资料管理登记薄，详细记录资料的分类、名称、用途、传阅情况等，以便查找和使用。技术资料应集中统一保管，严格借阅制度。对重要的资料档案要妥善保管，以防丢失泄密。机房内废弃的打印纸及磁介质等，应按国家有关规定进行销毁。
　　第五十三条 调离人员必须移交全部技术资料和有关文档，删除自己的文件、帐号，由系统管理员修改有关的口令。
　　第五十四条 应用系统和操作系统需用磁带、磁盘备份。对重要的可变数据应定时清理、备份，并送指定地点存放。
　　第五十五条对需要长期保存的数据磁带、磁盘，应在质量保证期内(一般为一年)进行转储，以防止数据失效造成损失。
　　第五十六条 未经允许，不能对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改和增加。
　　第五十七条 提高警惕，防止和打击窃取、泄露、私自修改计算机重要信息、破坏干扰计算机系统和网络正常运行的违法犯罪行为。
　　第五十八条 严禁国税系统内任何人采用各种手段对国税机关的信息进行攻击破坏。
　　第五十九条 任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。
　　第六十条 任何单位和个人不得利用国际互联网制作、复制、查阅和传播下列信息：
　　(一)煽动抗拒、破坏宪法和法律、行政法规实施的；
　　(二)煽动颠覆国家政权、推翻社会主义制度的；
　　(三)煽动分裂国家、破坏国家统一的；
　　(四)煽动民族仇恨、民族歧视、破坏民族团结的；
　　(五)捏造或者歪曲事实、散步谣言、扰乱社会秩序的；
　　(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；
　　(七)公然侮辱他人或者捏造事实诽谤他人的；
　　(八)损害国家机关信誉的；
　　(九)其他违反宪法和法律、行政法规的；
　　第七章附 则
　　第六十一条 本《办法》未涉及的其它信息系统安全管理问题，按国家税务总局制定的《税务计算机信息安全管理规定》执行。
　　第六十二条 本《办法》由山东省国家税务局信息中心负责解释。
　　第六十三条 本《办法》自发布之日起施行。