第一条  为确保许昌市公共信用信息平台（以下简称“信息平台”）信息安全，结合实际，建立了以许昌市社会信用体系建设工作联席会议办公室（以下简称“市信用办”）为主的信息安全管理机构，建立落实信息平台信息安全管理人员岗位职责，责任落实到岗、到人，保障网络与信息平台的正常运行。

    第二条  市信用办建立专门的信息安全领导小组，市信用办信息安全领导小组负责领导落实信息平台安全建设的总体规划，制定本市，监督各级各部门安全工作规划的制定与实施，承担如下职责：

    （一）在信息平台网络与信息安全总体方针的指导下，负责组织制定本市平台安全策略，指导各级各部门上报的信息安全策略；

    （二）负责组织细化上级规章制度，制定相应程序指南，监督落实规章制度；

    （三）负责本市信息平台安全管理层人员权限授予工作；

（四）负责审阅信用信息平台安全工作报告；

（五）负责本市重大信息安全事故督促整改工作。

    第三条  市信用办建立专门的安全工作组，市信用办信息安全工作组从事具体的安全工作，建立和维持信息安全管理体系，在市信用办内部开展和控制信息安全的管理实施，并承担如下职责：

    （一）调整并制定所有必要的信息安全管理规程、制度以及实施指南等；

    （二）配合执行信息安全相关的实施方法和程序；

    （三）主动采取部门内的信息安全措施，如安全意识培训及教育等；

    （四）辅助领导机构进行安全方面的决策；

    （五）根据信息安全管理体系的要求，定期向上级主管领导和信息安全领导小组报告。

第四条  信用信息平台网络与信息安全责任分配的基本原则是“谁主管、谁负责；谁运维、谁负责；谁使用、谁负责”，设置以下安全相关岗位：

安全管理员

（一）根据本单位的信息安全需求，定期提出信息安全改进意见，并上报信息安全管理部门主管；

    （二）负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况；

    （三）负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作；

    （四）负责组织信息平台的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告；

    （五）定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范；

    （六）负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度；

（七）负责参与安全事故调查。

安全审计员

    （一）负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作；

    （二）负责组织信息平台的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告；

    （三）根据本单位的信息安全需求，定期提出本单位的信息安全改进意见，并上报信息安全管理部门主管；

    （四）定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范；

    （五）负责组织审议安全方案、安全审计报告、应急计划以及整体安全管理制度；

    （六）负责参与安全事故调查。

    （七）负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报；

（八）负责对信息安全保障管理活动进行独立的监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审计评估机构进行评估和认证，为决策领导提供信息平台和信息安全保障执行状况的客观评价。

主机系统管理员

    （一）负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制；

    （二）协助安全管理员制定主机操作系统的安全配置规则，并落实执行；

    （三）负责主机设备的日常管理与维护，保持系统处于良好的运行状态；

    （四）为安全审计员提供完整、准确的主机系统运行活动的日志记录；

    （五）在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；

    （六）编制主机设备的维修、报损、报废计划，报主管领导审核；

    网络管理员

    （一）负责网络的部署以及网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞；

    （二）协助安全管理员制定网络设备安全配置规则，并落实执行；

    （三）为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志；

    （四）在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；

    （五）编制网络设备的维修、报损、报废等计划，报主管领导审核；

    数据库管理员

    （一）对数据库系统进行安全配置，修补已发现的漏洞；

    （二）负责数据库系统的用户账号管理，对系统中所有的用户进行登记备案；对数据库系统的用户、口令的安全性进行管理；对数据库系统登录用户进行监测和分析；

    （三）负责业务数据及系统其它重要数据的备份与备份数据管理工作；

    （四）为安全审计员提供完整、准确的数据库系统运行活动的日志记录，详细记载发生异常时的现象、时间和处理方式，并及时上报；

    （五）在发生安全问题导致数据损坏或丢失时，进行数据的恢复；

    （六）根据业务发展的需求，提交数据存储介质购买或存储系统扩容计划。

    应用管理员

    （一）对业务应用系统进行安全配置；督促软件开发商提供补丁来修补已发现的漏洞；

    （二）对业务应用系统的用户、口令的安全性进行管理；对业务应用系统的登录用户进行监测和分析；

    （三）负责提出数据的备份要求，制定数据备份策略，督促数据库管理员按照备份方案按时完成，并恢复所需数据；

    （四）实施系统软件版本管理，应用软件备份和恢复管理。

   病毒防护员

    （一）协助安全管理员制定病毒防范操作规程；

    （二）负责执行和监督整个系统全面的杀毒工作；

    （三）定时升级网络杀毒软件的病毒库，监督个人杀毒软件的升级工作；

    （四）实时监控重要业务系统和数据的安全，杜绝非法开放的病毒入侵途径，降低病毒侵害的影响；

    （五）及时报告上级部门病毒入侵和感染情况，提供感染频率高和严重性强的病毒的有效解决方案。

    密钥管理员（包括证书管理员、证书操作员）

    负责税务系统交易、传输、认证密钥的管理以及加密机的操作。

    资产管理员

    负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。

    安全保卫员

    （一）负责制定和执行适当的物理安全控制；

    （二）主要负责非技术性的、常规的安全工作，如信息处理场地的保卫，办公室安全，验证出人电子税务管理中心的手续和多项规章制度的落实。

   安全协调人员

    （一）负责安全项目、安全问题、安全事件、安全工作的组织协调；

    （二）协助安全主管确定某个职位是否需要进行安全背景调查；

（三）负责为员工离开本单位时提供与安全相关的离职规程。

许昌市社会信用体系建设领导小组办公室

2020年9月2日