ICS 01.140 A14 MIZ 中华人民共和国民政行业标准 MZ/T 1082018 居民家庭经济状况核对信息安全管理规范 Verification service for the family economy information Security Management 2018-01-09 发布 2018-01-09实施 中华人民共和国民政部发布 MZ/T 108—2018 前言 本标准按照GB/T1.1-2009给出的规则起草。 本标准由民政部社会救助司提出并归口。 本标准起草单位：民政部低收入家庭认定指导中心。 本标准主要起草人：宝力高、李刚、吴镝、王冠、刘珂、张寰 一 MZ/T 1082018 居民家庭经济状况核对信息安全管理规范 1范围 本标准规定了居民家庭经济状况核对工作的信息安全管理规范，包括术语与定义、场地 设备安全管理、人员管理、信息交换、信息使用安全管理、应急预案管理、核对信息系统安 全等级保护定级。 本标准适用于各级居民家庭经济状况核对机构。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适 用于木文件。凡是不注日期的引用文件，其最新版木（包括所有的修改版）适用于木文件。 GB/T20269-2006《信息安全技术信息系统安全管理要求》 3《信息安全技术信息系统安全等级保护基本要求》 GB/T 22239-2008 GB/T 22240-2008 3《信息安全技术信息系统安全等级保护定级指南》 GB50140-2010 《建筑灭火器配置设计规范》 MZ/T 072-2016 《居民家庭经济状况核对总则》 3术语和定义 下列术语和定义适用于本文件 本标准提及且未单独定义的术语与定义，参考GB/T20269-2006《信息安全技术信息 系统安全管理要求》。 3. 1 信息交换场所 用于信息共享单位与核对机构之间或不同核对机构之间信息交换的工作环境。 3. 2 核对业务办理场所 用于办理居民家庭经济状况核对业务的工作环境。 3. 3 终端 1 MZ/T 108—2018 4场地设备安全管理 4.1 工作场所管理 4.1.1信息交换场所 本项应参考GB/T22239-2008相关要求，包括： a）工作场所应为独立封闭的工作区域; b）重要区域应配置电子门禁系统，鉴别、控制人员进入，记录人员进出情况及在重要 区域的行为，记录应至少包含姓名、有效身份证件号码、进出入时间和操作内容， 记录应至少保留6个月； c）来访人员应提前提出申请，经过审批后方可进入信息交换场所，并在来访过程中遵 守信息交换场所的来访限制和活动范围； d）应利用光、电等技术设置监控、防盗报警系统，其中监控记录应至少保留6个月； 应采用具有耐火等级的建筑材料，采取区域隔离防火措施，将重要设备与其他设备 e 隔离开，应依据GB50140-2010配备必要的消防器材； f）应配置用于销毁文件和光盘的设备。 4.1.2核对业务办理场所 本项应参考GB/T22239-2008相关要求，包括： a）工作场所应为独立封闭的工作区域； b）应配置用于销毁文件和光盘的设备； 重要区域应配置电子门禁系统，鉴别、控制人员进入，记录人员进出情况及在重要 c） 区域的行为，记录应至少包含姓名、有效身份证件号码、进出入时间和操作内容， 记录应至少保留6个月； d）来访人员应提前提出申请，经过审批后方可进入核对业务办理场所，并在来访过程 中遵守核对业务办理场所的来访限制和活动范围，严禁来访人员使用自带的设备接 入网络或设备； e）应利用光、电等技术设置监控、防盗报警系统，其中监控记录应至少保留6个月； f）应采用具有耐火等级的建筑材料，采取区域隔离防火措施，将重要设备与其他设备 隔离开，应依据GB50140-2010配备必要的消防器材， 2 MZ/T 108—2018 4.2设备及系统管理 4.2.1终端使用 本项要求包括： a）终端周围不得放置易燃、易爆、强腐蚀、强磁性等有害终端设备安全的物品； b)乡 终端应专人专用，设置开机密码，并定期更新，且与最近6个密码不重复； c）终端中不得安装与工作无关的软件，工作人员应对终端每周进行1次病毒查杀 d）终端中不得保存业务数据，工作人员应对终端每月进行至少1次检查。 4.2.2 核对系统管理 针对用于开展居民家庭经济状况核对的信息系统，安全要求至少包括： 制策略; b) 应及时检测、修复、清除终端及信息系统中的安全隐患，并记录检测、修复、清除 的过程，记录应至少保留6个月； c）应在保证终端及服务器内部数据不受影响的前提卜，安装系统安全防护工具或各类 安全补丁； d）应使用具有安全专用产品销售许可证的防病毒产品； e）应根据GB/T 22239-2008的要求对核对系统进行设计、开发和测试； f）应 应选择具有CMA（检验检测机构资质认定证书）、CNAS（中国合格评定国家认可委 员会实验室认可证书）以及“信息安全等级保护测评机构推荐证书”的第三方机构， 对信息系统进行验收测试和安全测评； g）安全测评每年至少进行1次，并根据测评结果进行整改。 4.2.3数据库安全管理 本项要求包括： a）应指定专人负责数据库用户管理、权限管理、数据库口常维护和备份操作，限定相 关帐户有效期限和权限范围，不可直接使用ROOT或DBA用户进行应用和数据库运维； b）对数据库的关键操作，应建立审批备案制度，并保留创建用户、更改用户等权限操 作的记录，记录应至少保留6个月； 3 MZ/T 108—2018 c）应对数据库操作日志每周进行1次巡检，防止用户非法操作数据库，日志保存不少 于6个月； d）应指定专人保管数据库服务器开机密码，并定时更新； e） 应对姓名和有效证件号等敏感数据进行加密： f）应 应采用数据库审计系统，对数据库进行安全审计。 4.2.4数据备份与恢复 本项应参考GB/T22239-2008相关要求，包括： a）应提供本地数据备份与恢复功能，备份介质场外存放应不少于2份，备份数据应加 密存储； b）应对核对系统的业务数据、系统数据和重要软件进行备份； c）朴 核对系统数据应进行每月全备份、每日增量备份，用于备份数据的存储介质保存期 至少为5年； d）应对备份过程进行记录，所有文件和记录应妥善保存，记录应至少保留六个月； e）应每月至少开展一次数据备份与恢复的抽检工作，检查和测试备份介质的有效性， 抽样率应不低于10%； 4.2.5用户身份鉴别 本项应参考GB/T22239-2008相关要求，包括： a） 应提供专用的登录控制模块，对登录用户进行身份标识和鉴别； b）应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； c）应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登 录失败处理功能（登录失败处理措施至少包括，结束会话、限制非法登录次数和自 动退出等功能），并根据安全策略配置相关参数； d）应使用强密码策略，强密码策略参见附录A; e）用户信息和密码应加密保存。 4.2.6系统操作管理 本项要求包括： 4 MZ/T 108—2018 a) 存，登录用户名和密码不应交给运维人员保管； b) 核对系统使用完毕后应及时退出，如15分钟内无操作应自动退出； c） 应建立密码遗失和泄漏应急处理机制； d）核对系统用户权限申请，应制定申请和审批流程； e）工作人员离岗，应及时删除系统账号。 5人员管理 5.1 人员录用 本项应参考GB/T22239-2008相关要求，包括： a）应指定或授权专门的部门或人员负责人员录用； b）应严格规范人员录用过程，对被录用人的政治、社会因素及专业资格和资质等进行 审查，对其所具有的业务技术水平进行考核； c）核对机构应与被录用人员签署保密协议。 d）应设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行 安全背景审查。 5.2人员离岗 本项应参考GB/T22239-2008相关要求，包括： a）确定人员离岗时，应立刻注销离岗人员所有核对信息系统访问账号和权限，终止文 件查阅权限； b）应收回离岗人员工作证件、钥匙及其个人持有的软硬件设备； c）应办理严格的调离手续，如关键岗位人员要离岗，须签订保密协议，明确保密义务 后方可离岗。 5.3人员考核 本项应参考GB/T22239-2008相关要求，包括： a）应对各岗位人员每季度至少进行1次安全技能及安全知识的考核； 5