劳动和社会保障部办公厅关于加强劳动保障信息系统安全管理的通知

各省、自治区、直辖市劳动和社会保障厅(局)：
　　随着信息化建设和网络化应用的发展，劳动保障信息系统在劳动保障事业中发挥着日益重要的作用，信息系统的安全问题也日益突出，有些单位的信息系统没有有效的安全防范措施，系统口令管理混乱，重要数据没有备份和加密，存在较为严重的安全隐患。为加强劳动保障信息系统的安全管理，现就有关事项通知如下：
　　一、提高认识，加强领导
　　各级劳动保障部门应高度重视信息系统的安全问题，加强对信息系统安全工作的领导。在系统建设中认真执行国家在信息安全方面的有关法律、法规和政策规定，在安全产品的选型上要采用经国家有关部门认证和技术鉴定的产品。加强信息安全队伍的建设，进行信息系统的安全培训。从管理、教育和技术几方面入手，防范和化解信息系统的安全风险。
　　二、建立制度，责任到人
　　各单位要有专人负责本单位信息系统的安全工作，根据本单位的具体情况建立健全信息系统安全管理制度，包括：人员管理、密码口令、机房安全、设备安全、系统运行、网络通信、数据管理等，明确责任，将安全管理工作落实到人。
　　三、堵塞漏洞，全面防范
　　(一)加强应用系统安全。加强对计算机管理人员和操作人员管理，根据其工作职责的不同，设置使用权限。通过对用户身份认证管理，保证用户的合法性。在应用社会保障卡的地区，要与社会保障卡的安全手段相结合，对持卡用户的身份进行鉴别。
　　(二)加强数据安全。通过系统权限、数据权限、角色权限的管理，建立数据库系统的权限控制机制。通过安全审计记录，跟踪用户对数据库的操作。根据信息的重要程度和安全要求，采取不同层次的数据备份制度。对通过网络传输的重要信息，应进行数据加密处理。有条件的地方，应建立数据库灾害防范机制，*5限度地保证数据的安全。
　　(三)加强网络平台安全。配备有效的防病毒软件，防止网络环境的病毒感染和泛滥。在内部网与外部网之间，应采用防火墙技术，对进出内部网络的信息进行过滤，封堵某些禁止的业务。建立网络安全扫描系统和网络实时监控预警系统，对网络攻击进行检测和告警，及时发现网络系统安全漏洞，防止非法攻击对网络平台的损害。
　　(四)加强机房和设备安全。对信息系统所在环境、所用计算机设备、信息所载媒体进行有效的安全保护。机房建设要符合有关国家标准，注意防雷、防泄漏、防火、防盗。存储信息的备份介质要防尘、防潮、防霉变，保障系统的设备和数据的安全。
　　各省、自治区、直辖市劳动保障厅(局)接此通知后，要对本地区已建信息系统的安全状况进行全面排查，并将检查结果于9月底前书面报我部信息中心，对检查中发现的安全隐患要积极采取有效措施，将系统的安全工作落到实处，做到防患于未然。