科学、合理地划分业务经办部门工作人员和信息部门人员计算机信息管理系统的操作及使用权限,严格授权管理,因工作需要增减权限时履行业务部门申请、信息部门复审、分管业务工作领导签批的程序。
实行前台业务操作人员上岗培训制度;参保对象等临时人员未经业务主管许可,不得直接操作业务系统;如需操作,要使用系统管理员为其建立的临时用户进入,不得使用业务人员用户身份登录生产系统。
第三十七条 建立独立的、符合国家技术规范的计算机机房,办公区域要和设备区域分开;建立机房和相关设备的管理制度;做好防火、防水、防盗、防尘、防静电、防磁、防雷击等工作;设立机房管理员,落实定期维护、故障处理、安全值班、出入登记、运转日志等制度,确保设备的正常运转。
第三十八条 业务内网所有计算机必须配备正版杀毒软件、防火墙等网络安全软件或相似硬件;定期进行病毒软件升级、扫描杀毒、木马检查、漏洞补丁等安全操作,加强网络安全,防止黑客侵入,加强计算机病毒防护,防止计算机病毒发生蔓延。
当外来移动存储设备接入内网计算机时,必须进行杀毒检查处理;
建立密码或指纹管理制度。严禁使用他人的用户名和密码进入计算机系统,对越权操作、非法操作及尝试非法进入系统等行为坚决予以制止并追究责任,造成违法犯罪的依法移交司法机关处理。
按照国家有关规定使用网络,对于涉密信息需要在公网上传输的必须进行加密处理。主要业务经办网络必须与公共网络实施物理隔离,严禁业务经办网络内的计算机以任何方式接入公网。对违规使用网络的责任人予以严肃处理。
第三十九条 对全省各级业务软件建立统一的评估测试和软件备案制度。业务软件上线前,除开发商提供测试报告外,由省统一组织进行遍历式功能测试、高负载性能测试、系统安全评估等,并形成评估报告后备案。
业务软件评估测试通过后,必须进行试运行制度,出具用户签字的试运行报告,才能正式投入生产运行。
第四十条 信息部门应建立社会保险业务信息安全突发事件应急制度,避免因电子设备、通讯、电力、业务处理系统等发生故障造成社会保险业务活动无法正常进行。每年至少一次进行应急预案演习。
第四十一条 建立有效的信息交流反馈机制。对业务数据等信息管理、交流和反馈情况及时向主管领导反映,涉及信息披露的有关内容按照相关规定办法准确、及时、完整地予以披露。
第六章 内部控制的管理与监督
第四十二条 稽核部门履行本单位内部控制的管理与监督职能。经办机构内部控制运行情况接受劳动保障行政部门的监督。
第四十三条 内部控制依照社会保险政策法规和有关制度,对经办机构内控制度的建立和执行情况以及各个业务环节进行检查,并进行综合评价,实现对经办机构管理全过程的控制和监督,确保经办管理工作依法合规。
