国家税务总局关于印发《税务计算机信息系统安全管理规定》的通知1999年7月20日国税发【1999】131号各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州培训中心、长春税务学院:为加强全国税务机关计算机信息系统安全保护工作,保证税收电子化事业的顺利发展,根据公安部、国家保密局的有关规定,针对新形势下计算机应用的特点,总局对1997年发布的《税务系统计算机系统安全管理暂行规定》(国税发【1997】069号)进行了修订和完善,并更名为《税务计算机信息系统安全管理规定》。现印发给你们,请遵照执行。原国税发【1997】069号同时作废。国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。税务计算机信息系统安全管理规定第一章总则第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求,为了更好地规范和管理税务系统的计算机、网络设备和电子信息,使之安全运行,更好地发挥计算机、网络和信息资源的作用,特制定《税务计算机信息系统安全管理规定》(以下简称《规定》)。第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。第三条税务系统计算机信息系统安全保护工作谁主管、谁负责,预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理科学化、规范化。第四条任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。第五条各级税务机关计算机信息系统的建设和规划应按国家保密局(国保发【1998】1号)文件的规定,同步规划并落实相应的保密措施。第六条涉及国家秘密的计算机信息系统的建设,必须严格按照中共中央保密委员公办公室和国家保密局(中保办发【1998】6号)的通知要求,报经省局以上保密部门审批后,方可投入使用。第七条违反规定并造成重大事故的,将追究主管负责人和直接责任人的责任,触犯法律的将依法处理。第二章计算机系统安全组织及职管理第八条国家税务总局保密委员会主管全国税务机关计算机信息系统的安全管理工作。地方各级税务机关的保密委员会应负责本机关和下属单位计算机信息系统的安全管理工作。第九条计算机信息系统的安全管理应实行领导负责制,由使用计算机信息系统的单位主管领导负责本单位的计算机系统的安全工作,并指定有关机构和人员具体承办。第十条凡税务系统省、地、市(县)以上的税务机关,其计算机使用具一定规模的均应成立计算机信息系统安全小组;条件不够成熟的,可指定计算机信息系统安全管理员具体负责。第十一条计算机信息系统的安全管理机构由各级保密委员会办公室与计算机管理部门共同负责组建,并吸收具有专业技术水平和实践工作经验的计算机技术人员参加,认真履行安全管理职责。第十二条计算机信息系统安全小组的主要职责:一、全面负责本单位计算机信息系统的安全管理、监督检查和指导计算机安全方面的工作。二、负责制定具体的安全管理办法和规章制度,检查规章制度的执行落实情况。三、面向系统内用户和所属单位通报计算机病毒情况,提供防治计算机病毒的技术服务。四、负责向公安部门办理有关备案手续,协助安全管理方面的其它工作和查处事故。第三章机房人员管理第十三条各级税务机关的计算机房是重要性的经济基础信息处理场所,必须严格执行国家有关安全保密制度的规定,防止重要经济信息的泄露。第十四条各用机单位对可能接触到机要信息的计算机管理人员,应定期进行保密教育。第十五条网络系统管理员等重要岗位,应选派责任心强,工作认真负责的人员担任。第十六条机房内严禁未经许可的非有关人员进。如需进入,必须由本单位有关统口令,以防机密信息的泄露。第十七条严禁各岗位人员越权操作,对重要的计算机信息处理系统应分级加设系统口令,以防机密信息的泄露。第十八条涉密计算机、服务系统管理员的口令其长度必须超过8位字符,每月至少更换一次。第十九条涉及密码的文件须妥善保存,不得随意公布。第二十条对重要的资料档案要妥善保管,以防丢失泄露。机房内废弃的打印纸及磁介质等,应按国家有关规定进行销毁。第二十一条提高警惕,防止和打击窃取、泄露、私自修改计算机重要信息、破坏干忧计算机系统和网络正常运行的违法犯罪行为。第二十二条严格遵守保密制度,保证税收数据、信息、资料的准确、安全可靠。第二十三条调离人员必须移交全部技术资料和有关文档,删除自己的文件、账号,由系统管理员修改有关的口令。第四章计算机安全产品的管理第二十四条对新购进的计算机及其设备,须组织专业人员检测后,方可安装运行,防止由于质量引起的总是和原始病毒的侵害。第二十五条计算机及网络的安全产品(防病毒软件防火墙、安全隔离产品、安全监控产品等)必须使用经过公安部、国家保密局等有关部门鉴定批准销售的产品,并及时更新版本。不得使用国外同类产品。第二十六条不得传播、复制病毒和病毒程序,不得撰写这方面的文章。第十七条加密产品的核心机密应交本单位办公厅(室)机要部门或保密办公室保存,严禁随意存放,严禁交于公司管理。第二十八条网络加密物理产品,在有条件的地方应安置监控设备。第五章网络安全管理第二十九条在网络建设的设计中即应考虑安全检查技术措施,采用较成熟的安全管理和监控技术、防治病毒技术。第三十条使用MODEM经电话线上Internet终端,在拨号上网时,必须中断与局域网和广域网的联接,以防止内部数据的外汇和遭受恶意攻击。第三十一条根据中保办发【1998】6号文第十六条的规定:税务系统Internet的建设,物理上应与本地局域网隔离。第三十二条广域网通讯服务器、拨号服务器、Internet服务器等与外界联接设备需设立防火墙、代理服务器、网关等防护措施,以防止外界的恶意攻击。第三十三条涉密计算机严禁访问Internet。第三十四条涉密数据的存储和传输应当按照国家保密局和公安部保密规定配有相应的加密措施。第三十五条涉密数据在数据加密网络建立之前,严禁通过公网传递。第三十六条涉密数据加密网络建立之前,严禁通过公网传递。第三十六条涉密计算机设备的维修应确保密级数据不被泄露。对报废计算机应将硬盘拆除后,由专人负责集中销毁。第六章数据、资料和信息的安全管理第三十七条机房及使用计算机的单位都要设专人负责文字及磁介质资料的安全管理工作。第三十八条建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。第三十九条技术资料应集中统一保管,严格借阅制度。第四十条应用系统和操作系统需用磁带、磁盘备份。对重要的可变数据应定时清理、备份,并送指定地点存放。第四十一条存放税收业务应用系统及重要信息的磁带磁盘严禁外借,确因工作需要,须报请有关领导批准。第四十二条对需要长期保存的数据磁带、磁盘,应在质量保证期内(一般为一年)进行转储,以防止数据失效造成损失。第四十三条按照总局IP地址的统一安排,设置本系统网络的总体布局、局域网段和下属单位的IP地址的划分,各级税务机关需将本单位和下属单位的网段分配报送上一级税务机关备案。第四十四条有关路由表、网络IP地址的变更,应做好记录,同时需报上级主管部门备案。第七章机房环境、消防安全管理第四十五条计算机设备和机房应保持其工作环境整洁,保持其所必须的湿度。第四十六条计算机房应列为单位要害和重点防火部位,按照规定配备足够数量的消防器材,机房工作人员要熟悉机房消防器材的存放位置及使用方法,并定期检查更换。第四十七条严禁在防火通道内堆放杂物,确保设备及工作人员的安全。第四十八条机房及其附近严禁吸咽、焚烧任何物品。第四十九条严禁携带易燃易爆品进入机房,因工作需要使用易燃物品时,应严格执行操作规程,用后必须置于安全状态,妥善保管。第五十条机房用电量严禁超负荷运行,禁止使用时,应按规定操作,有专人看守,确保安全。第五十一条机房内使用电烙铁要严格控制,必须使用时,应按规定操作,有专人看守,确保安全。第五十二条定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。第五十三条机房工作台人员要熟悉设备电源和照明用电以及其他电气设备总开关位置,掌握切断电源的方法的步骤,发现火情及时报告,沉着判断电源及通风系统,采取有效措施及时灭火。第五十四条机房内应定期除尘,在除尘时应确保计算机设备的安全。第五十五条机房内严禁存放、食用任何食品。第五十六条节假日期间,如工作需要开机,应留有值班人员,或开启监控设备。第八章附则第五十七条本《规定》由国家税务总局信息中心负责解释。第五十八条本《规定》自发布之日起施行。