省司法廳關(guān)于印發(fā)《江蘇省公證信息平臺(tái)安全管理規(guī)定(試行)》的通知
發(fā)布日期:2009-11-20 10:27
字體:[大 中 小]
省司法廳關(guān)于印發(fā)《江蘇省公證信息平臺(tái)安全管理規(guī)定(試行)》的通知
蘇司規(guī)〔2009〕2號(hào) 2009年9月25日
各市司法局:
為了加強(qiáng)和規(guī)范全省公證信息平臺(tái)的安全管理工作,保障公證業(yè)務(wù)系統(tǒng)的正常運(yùn)行和維護(hù),省廳制定了《江蘇省公證信息平臺(tái)安全管理規(guī)定(試行)》,現(xiàn)印發(fā)給你們,請(qǐng)嚴(yán)格遵照?qǐng)?zhí)行,并及時(shí)將執(zhí)行過(guò)程中發(fā)現(xiàn)的問(wèn)題上報(bào)省廳。
江蘇省公證信息平臺(tái)安全管理規(guī)定
(試 行)
第一章 總 則
第一條 為了加強(qiáng)和規(guī)范全省公證信息平臺(tái)(以下簡(jiǎn)稱(chēng)“公證信息平臺(tái)”)的安全管理工作,保障公證業(yè)務(wù)系統(tǒng)的正常運(yùn)行和維護(hù),根據(jù)國(guó)家《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級(jí)保護(hù)管理辦法》等信息工作法規(guī)以及江蘇省司法廳(以下簡(jiǎn)稱(chēng)“省廳”)關(guān)于信息化建設(shè)的總體要求,結(jié)合全省公證行業(yè)特點(diǎn)和信息化建設(shè)實(shí)際,制定本規(guī)定。
第二條 公證信息平臺(tái),是以我國(guó)公證法律制度和全省公證業(yè)務(wù)工作為基礎(chǔ),以促進(jìn)公證法律服務(wù)業(yè)健康、有序發(fā)展為目的,以現(xiàn)代電子科技和網(wǎng)絡(luò)技術(shù)為手段,全省統(tǒng)一的專(zhuān)門(mén)處理公證業(yè)務(wù)及相關(guān)管理事務(wù)的信息化的人機(jī)工作系統(tǒng)。
第三條 公證信息平臺(tái)安全管理工作,應(yīng)當(dāng)綜合運(yùn)用各種管理方法和技術(shù)措施,全面、及時(shí)地維護(hù)公證信息平臺(tái)硬件設(shè)施、業(yè)務(wù)軟件、專(zhuān)用網(wǎng)絡(luò)的安全運(yùn)行、使用,有效防范公證業(yè)務(wù)及管理數(shù)據(jù)的丟失、泄露和破壞,充分保障系統(tǒng)效能的發(fā)揮。
第四條 按照國(guó)家有關(guān)信息安全等級(jí)規(guī)范和要求,公證信息平臺(tái)安全等級(jí)確定為第二級(jí),應(yīng)嚴(yán)格執(zhí)行國(guó)家有關(guān)信息安全規(guī)范和技術(shù)標(biāo)準(zhǔn)實(shí)施管理,并接受?chē)?guó)家信息安全監(jiān)管部門(mén)的業(yè)務(wù)指導(dǎo)。
第五條 公證信息平臺(tái)安全管理工作,實(shí)行“統(tǒng)一要求、分級(jí)管理、用戶(hù)實(shí)施”的基本原則。省、設(shè)區(qū)的市司法行政機(jī)關(guān)是公證信息平臺(tái)安全工作的主管部門(mén),指導(dǎo)和督促有關(guān)公證信息平臺(tái)建設(shè)部門(mén)、各公證信息平臺(tái)用戶(hù)單位(以下簡(jiǎn)稱(chēng)“用戶(hù)單位”)具體實(shí)施。
第六條 任何與公證信息平臺(tái)相關(guān)的組織和個(gè)人,不得利用其從事危害國(guó)家利益、集體利益和公民合法利益的活動(dòng),不得侵害公證當(dāng)事人及相關(guān)人的合法權(quán)益,不得危害公證信息平臺(tái)的安全。
第二章 安全管理職責(zé)
第七條 省司法廳承擔(dān)的安全管理職責(zé):
(一)研究、制定公證信息平臺(tái)安全管理的基本規(guī)范和制度。
(二)研究、確定公證信息平臺(tái)安全管理等級(jí),并定期對(duì)其安全狀況組織測(cè)評(píng)。
(三)研究、制定并適時(shí)調(diào)整公證信息平臺(tái)安全管理的相關(guān)技術(shù)標(biāo)準(zhǔn)。
(四)督促、檢查、指導(dǎo)全省設(shè)區(qū)的市司法行政部門(mén)、有關(guān)公證信息平臺(tái)建設(shè)部門(mén)、各用戶(hù)單位的公證信息平臺(tái)安全管理工作,并定期開(kāi)展評(píng)價(jià)、通報(bào)。
(五)與有關(guān)省級(jí)職能部門(mén)就公證信息平臺(tái)安全保護(hù)工作進(jìn)行溝通、協(xié)調(diào)。
(六)組織公證信息平臺(tái)安全管理工作經(jīng)驗(yàn)交流和業(yè)務(wù)培訓(xùn)。
第八條 設(shè)區(qū)的市司法行政機(jī)關(guān)承擔(dān)的安全管理職責(zé):
(一)根據(jù)公證信息平臺(tái)安全管理的基本規(guī)范和制度,結(jié)合本地區(qū)實(shí)際,研究、制定本地區(qū)公證信息平臺(tái)安全管理的具體規(guī)范、措施。
(二)及時(shí)向當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)辦理公證信息平臺(tái)安全等級(jí)備案手續(xù),如實(shí)提供有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件。
(三)督促、檢查、指導(dǎo)本地區(qū)用戶(hù)單位的公證信息平臺(tái)安全管理工作。
(四)及時(shí)收集、分析、上報(bào)本地區(qū)公證信息平臺(tái)安全管理工作的基本情況,并提出工作意見(jiàn)和建議。
(五)協(xié)調(diào)、督促有關(guān)公證信息平臺(tái)建設(shè)單位在本地區(qū)開(kāi)展安全保護(hù)技術(shù)工作。
第九條 用戶(hù)單位承擔(dān)的安全管理職責(zé):
(一)根據(jù)省、市司法行政機(jī)關(guān)制定的公證信息平臺(tái)安全管理規(guī)范,建立、健全本單位公證信息平臺(tái)安全運(yùn)行、管理員制度,落實(shí)有關(guān)平臺(tái)運(yùn)行及安全管理的措施。
(二)組織本單位公證信息平臺(tái)安全建設(shè),配備、調(diào)集必要的技術(shù)設(shè)備和人力資源,確保公證信息平臺(tái)的安全運(yùn)行。
(三)及時(shí)收集、匯總、上報(bào)本單位在公證信息平臺(tái)運(yùn)行與安全管理工作情況。
(四)配合有關(guān)公證信息平臺(tái)建設(shè)單位在本單位開(kāi)展系統(tǒng)安全維護(hù)和業(yè)務(wù)輔導(dǎo)工作。
(五)組織開(kāi)展本單位公證信息平臺(tái)安全管理技術(shù)輔導(dǎo)和業(yè)務(wù)培訓(xùn)。
第三章 安全管理工作內(nèi)容
第十條 公證信息平臺(tái)專(zhuān)用網(wǎng)絡(luò)(以下簡(jiǎn)稱(chēng)“公證專(zhuān)網(wǎng)”),是依托各用戶(hù)單位局域網(wǎng)和中國(guó)電信VPDN網(wǎng)形成的專(zhuān)門(mén)用于全省公證業(yè)務(wù)及管理輔助辦理活動(dòng)的計(jì)算機(jī)信息網(wǎng)絡(luò)。
公證專(zhuān)網(wǎng)安全管理的基本要求:
(一)必須“專(zhuān)網(wǎng)專(zhuān)用”不得在公證專(zhuān)網(wǎng)從事與公證工作無(wú)關(guān)及危害網(wǎng)絡(luò)安全的活動(dòng),包括:
(1)不得下載、上傳無(wú)關(guān)內(nèi)容或運(yùn)行無(wú)關(guān)軟件,確保網(wǎng)絡(luò)高效暢通;
(2)不得傳遞任何涉密文件,防止泄密情況的發(fā)生;
(3)不得散布、傳播反動(dòng)、迷信和黃色信息,禁止從事一切違法活動(dòng);
(4)不得從事危害網(wǎng)絡(luò)服務(wù)器的活動(dòng),不得進(jìn)行端口掃描和黑客攻擊;
(5)未經(jīng)授權(quán)不得以任何方式登陸網(wǎng)絡(luò)服務(wù)器,進(jìn)行修改、設(shè)置、刪除和復(fù)制等操作。
(二)及時(shí)發(fā)現(xiàn)針對(duì)公證專(zhuān)網(wǎng)及其服務(wù)器的端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊及網(wǎng)絡(luò)監(jiān)聽(tīng)活動(dòng),及時(shí)收集可疑征候和情況,并采取防范、應(yīng)對(duì)措施。
(三)加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為的監(jiān)控,真實(shí)、詳盡地記錄各聯(lián)網(wǎng)計(jì)算機(jī)的網(wǎng)絡(luò)使用情況,并保持服務(wù)器的日志記錄功能。
第十一條 公證信息平臺(tái)硬件安全管理主要包括:用戶(hù)端、服務(wù)器、網(wǎng)絡(luò)設(shè)備的管理和維護(hù)、物理環(huán)境的安全管理。
硬件安全管理的基本要求:
(一)加強(qiáng)對(duì)硬件設(shè)備登記和規(guī)范化管理,確保按操作規(guī)程實(shí)現(xiàn)硬件設(shè)備的啟動(dòng)、停止、加電、斷電等操作;防止外來(lái)硬件設(shè)備的擅自接入,防止私自拆卸、添加或銷(xiāo)毀硬件設(shè)備;防止私自送修硬件設(shè)備用戶(hù)端計(jì)算機(jī)、服務(wù)器及網(wǎng)絡(luò)設(shè)備,硬件設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。
(二)建立硬件設(shè)備的每月一次定期檢查制度,確保硬件的可靠運(yùn)行和安全穩(wěn)定,檢查內(nèi)容主要包括:設(shè)備外觀、各種指示燈、電源接口以及設(shè)備灰塵等內(nèi)容。
(三)建立設(shè)備使用情況登記表,及時(shí)記錄設(shè)備使用中出現(xiàn)的各種癥狀,上報(bào)異常情況,做好故障預(yù)防。
(四)加強(qiáng)公證信息平臺(tái)物理環(huán)境安全管理。確保后備不間斷電源正常使用和充足的電源后備時(shí)間;確保機(jī)房供配電、溫度、濕度和通風(fēng)狀況的實(shí)時(shí)監(jiān)控和報(bào)警設(shè)施的檢測(cè)維護(hù);確保防靜電、防雷擊、防火、防潮、防盜工作落實(shí)到位。
第十二條 公證信息平臺(tái)業(yè)務(wù)系統(tǒng)運(yùn)行安全管理主要包括:公證業(yè)務(wù)及管理輔助辦理系統(tǒng)的運(yùn)行維護(hù)、用戶(hù)端和服務(wù)器的軟件維護(hù)和安全管理。
業(yè)務(wù)系統(tǒng)運(yùn)行安全管理的基本要求:
(一)業(yè)務(wù)系統(tǒng)及其數(shù)據(jù)庫(kù)系統(tǒng)的登陸和操作,應(yīng)嚴(yán)格設(shè)置使用權(quán)限,防止默認(rèn)賬戶(hù)和共享口令的訪(fǎng)問(wèn)許可,及時(shí)刪除多余、過(guò)期的系統(tǒng)用戶(hù),加強(qiáng)登陸口令的復(fù)雜性和保密性設(shè)置,定期更換登陸口令、檢查權(quán)限設(shè)置。
(二)用戶(hù)單位各終端和服務(wù)器計(jì)算機(jī)必須安裝使用省廳配發(fā)的統(tǒng)一的正版防病毒和防火墻軟件,并定期更新升級(jí),及時(shí)進(jìn)行木馬程序和病毒代碼全面掃描,定期進(jìn)行系統(tǒng)漏洞掃描,對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)修補(bǔ)。
(三)嚴(yán)格用戶(hù)端和服務(wù)器計(jì)算機(jī)軟件的使用和安裝,不得下載、使用盜版軟件,不得安裝運(yùn)行游戲軟件,不得安裝使用BT、迅雷等軟件下載工具,不得在用戶(hù)端上在線(xiàn)收聽(tīng)和觀看流媒體文件。
(四)不得修改業(yè)務(wù)系統(tǒng)軟件代碼和參數(shù),不得將代碼用于與公證業(yè)務(wù)無(wú)關(guān)的場(chǎng)合,不得將軟件及其代碼安裝于個(gè)人電腦或提供給無(wú)關(guān)人員操作使用。
第十三條 公證信息平臺(tái)數(shù)據(jù)安全管理的基本要求:
(一)用戶(hù)單位應(yīng)實(shí)行數(shù)據(jù)安全管理主要領(lǐng)導(dǎo)負(fù)總責(zé)、具體工作責(zé)任明確的制度,確保工作流程不泄密、傳輸過(guò)程不失密和安全存檔防竊密。
(二)用戶(hù)單位應(yīng)建立數(shù)據(jù)備份登記制度,明確備份數(shù)據(jù)的放置場(chǎng)所、文件的命名規(guī)則、介質(zhì)的使用要求和備份的時(shí)間頻度,重要業(yè)務(wù)數(shù)據(jù)和系統(tǒng)參數(shù)應(yīng)做到本地備份、異地備份、異介質(zhì)備份等多種手段相結(jié)合,確保安全可靠。
(三)加強(qiáng)對(duì)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)文件存儲(chǔ)介質(zhì)的管理,確保儲(chǔ)備介質(zhì)登記造冊(cè)、安全使用、分級(jí)存放,防止敏感、涉密數(shù)據(jù)信息泄漏;對(duì)于需要送修和銷(xiāo)毀的介質(zhì),要確保存儲(chǔ)內(nèi)容的清除和不可恢復(fù)。
(四)加強(qiáng)對(duì)涉及商業(yè)秘密和個(gè)人隱私的公證業(yè)務(wù)資料和業(yè)務(wù)數(shù)據(jù)的安全管理和保存,杜絕泄密和失密情況的發(fā)生。
(五)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的開(kāi)放權(quán)限由省廳統(tǒng)一設(shè)置、統(tǒng)一批準(zhǔn),并按相關(guān)要求與使用單位簽訂使用協(xié)議,任何單位或個(gè)人未經(jīng)批準(zhǔn)不得使用和提供系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù),或向其它單位或個(gè)人提供或開(kāi)放數(shù)據(jù)接口。
(六)對(duì)于需要系統(tǒng)維護(hù)和修理外包服務(wù)的用戶(hù)單位,應(yīng)根據(jù)本規(guī)定與服務(wù)提供方簽訂安全保密協(xié)議,并隨時(shí)進(jìn)行監(jiān)督和檢查,確保安全管理工作不缺位。
第十四條 公證信息平臺(tái)建設(shè)安全管理的基本要求:
(一)公證信息平臺(tái)的主管部門(mén)、業(yè)務(wù)用戶(hù)和建設(shè)單位,應(yīng)在平臺(tái)建設(shè)及運(yùn)行過(guò)程中不斷提高硬件設(shè)施、業(yè)務(wù)系統(tǒng)軟件及專(zhuān)用網(wǎng)絡(luò)的穩(wěn)定性能和容錯(cuò)性能,確保安全、高效、穩(wěn)定運(yùn)行。
(二)建設(shè)單位應(yīng)及時(shí)發(fā)現(xiàn)并彌補(bǔ)業(yè)務(wù)系統(tǒng)的漏洞和缺陷,按照有關(guān)業(yè)務(wù)需求和協(xié)議規(guī)定,提供有關(guān)維護(hù)服務(wù),確保軟件等服務(wù)產(chǎn)品安全、可靠的使用和運(yùn)行,并及時(shí)更新,提供升級(jí)版本。
(三)建設(shè)單位應(yīng)及時(shí)了解并排除影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的技術(shù)問(wèn)題,確保將損失控制在最小范圍。
(四)建設(shè)單位應(yīng)完善業(yè)務(wù)系統(tǒng)容災(zāi)備份機(jī)制,確保系統(tǒng)和數(shù)據(jù)能完整、安全、及時(shí)地恢復(fù);建立嚴(yán)格的安全控制機(jī)制,加強(qiáng)數(shù)據(jù)查閱權(quán)限控制,落實(shí)操作日志記錄檢查。
(五)建設(shè)單位應(yīng)確保數(shù)據(jù)接口規(guī)范,實(shí)現(xiàn)與省廳權(quán)力陽(yáng)光電子政務(wù)系統(tǒng)平臺(tái)的無(wú)縫鏈接、統(tǒng)一調(diào)用,預(yù)留上報(bào)數(shù)據(jù)接口,保障數(shù)據(jù)交換和上報(bào)的及時(shí)、準(zhǔn)確和可靠。
第四章 附 則
第十五條 本規(guī)定由省司法廳負(fù)責(zé)解釋。
第十六條 本規(guī)定自公布之日起30日后施行。
掃一掃在手機(jī)打開(kāi)當(dāng)前頁(yè)