省司法厅关于印发《江苏省公证信息平台安全管理规定(试行)》的通知
发布日期:2009-11-20 10:27
字体:[大 中 小]
省司法厅关于印发《江苏省公证信息平台安全管理规定(试行)》的通知
苏司规〔2009〕2号 2009年9月25日
各市司法局:
为了加强和规范全省公证信息平台的安全管理工作,保障公证业务系统的正常运行和维护,省厅制定了《江苏省公证信息平台安全管理规定(试行)》,现印发给你们,请严格遵照执行,并及时将执行过程中发现的问题上报省厅。
江苏省公证信息平台安全管理规定
(试 行)
第一章 总 则
第一条 为了加强和规范全省公证信息平台(以下简称“公证信息平台”)的安全管理工作,保障公证业务系统的正常运行和维护,根据国家《计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等信息工作法规以及江苏省司法厅(以下简称“省厅”)关于信息化建设的总体要求,结合全省公证行业特点和信息化建设实际,制定本规定。
第二条 公证信息平台,是以我国公证法律制度和全省公证业务工作为基础,以促进公证法律服务业健康、有序发展为目的,以现代电子科技和网络技术为手段,全省统一的专门处理公证业务及相关管理事务的信息化的人机工作系统。
第三条 公证信息平台安全管理工作,应当综合运用各种管理方法和技术措施,全面、及时地维护公证信息平台硬件设施、业务软件、专用网络的安全运行、使用,有效防范公证业务及管理数据的丢失、泄露和破坏,充分保障系统效能的发挥。
第四条 按照国家有关信息安全等级规范和要求,公证信息平台安全等级确定为第二级,应严格执行国家有关信息安全规范和技术标准实施管理,并接受国家信息安全监管部门的业务指导。
第五条 公证信息平台安全管理工作,实行“统一要求、分级管理、用户实施”的基本原则。省、设区的市司法行政机关是公证信息平台安全工作的主管部门,指导和督促有关公证信息平台建设部门、各公证信息平台用户单位(以下简称“用户单位”)具体实施。
第六条 任何与公证信息平台相关的组织和个人,不得利用其从事危害国家利益、集体利益和公民合法利益的活动,不得侵害公证当事人及相关人的合法权益,不得危害公证信息平台的安全。
第二章 安全管理职责
第七条 省司法厅承担的安全管理职责:
(一)研究、制定公证信息平台安全管理的基本规范和制度。
(二)研究、确定公证信息平台安全管理等级,并定期对其安全状况组织测评。
(三)研究、制定并适时调整公证信息平台安全管理的相关技术标准。
(四)督促、检查、指导全省设区的市司法行政部门、有关公证信息平台建设部门、各用户单位的公证信息平台安全管理工作,并定期开展评价、通报。
(五)与有关省级职能部门就公证信息平台安全保护工作进行沟通、协调。
(六)组织公证信息平台安全管理工作经验交流和业务培训。
第八条 设区的市司法行政机关承担的安全管理职责:
(一)根据公证信息平台安全管理的基本规范和制度,结合本地区实际,研究、制定本地区公证信息平台安全管理的具体规范、措施。
(二)及时向当地市级以上公安机关办理公证信息平台安全等级备案手续,如实提供有关信息安全保护的信息资料及数据文件。
(三)督促、检查、指导本地区用户单位的公证信息平台安全管理工作。
(四)及时收集、分析、上报本地区公证信息平台安全管理工作的基本情况,并提出工作意见和建议。
(五)协调、督促有关公证信息平台建设单位在本地区开展安全保护技术工作。
第九条 用户单位承担的安全管理职责:
(一)根据省、市司法行政机关制定的公证信息平台安全管理规范,建立、健全本单位公证信息平台安全运行、管理员制度,落实有关平台运行及安全管理的措施。
(二)组织本单位公证信息平台安全建设,配备、调集必要的技术设备和人力资源,确保公证信息平台的安全运行。
(三)及时收集、汇总、上报本单位在公证信息平台运行与安全管理工作情况。
(四)配合有关公证信息平台建设单位在本单位开展系统安全维护和业务辅导工作。
(五)组织开展本单位公证信息平台安全管理技术辅导和业务培训。
第三章 安全管理工作内容
第十条 公证信息平台专用网络(以下简称“公证专网”),是依托各用户单位局域网和中国电信VPDN网形成的专门用于全省公证业务及管理辅助办理活动的计算机信息网络。
公证专网安全管理的基本要求:
(一)必须“专网专用”不得在公证专网从事与公证工作无关及危害网络安全的活动,包括:
(1)不得下载、上传无关内容或运行无关软件,确保网络高效畅通;
(2)不得传递任何涉密文件,防止泄密情况的发生;
(3)不得散布、传播反动、迷信和黄色信息,禁止从事一切违法活动;
(4)不得从事危害网络服务器的活动,不得进行端口扫描和黑客攻击;
(5)未经授权不得以任何方式登陆网络服务器,进行修改、设置、删除和复制等操作。
(二)及时发现针对公证专网及其服务器的端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、网络蠕虫攻击及网络监听活动,及时收集可疑征候和情况,并采取防范、应对措施。
(三)加强对网络设备运行状况、网络流量、用户行为的监控,真实、详尽地记录各联网计算机的网络使用情况,并保持服务器的日志记录功能。
第十一条 公证信息平台硬件安全管理主要包括:用户端、服务器、网络设备的管理和维护、物理环境的安全管理。
硬件安全管理的基本要求:
(一)加强对硬件设备登记和规范化管理,确保按操作规程实现硬件设备的启动、停止、加电、断电等操作;防止外来硬件设备的擅自接入,防止私自拆卸、添加或销毁硬件设备;防止私自送修硬件设备用户端计算机、服务器及网络设备,硬件设备必须经过审批才能带离机房或办公地点。
(二)建立硬件设备的每月一次定期检查制度,确保硬件的可靠运行和安全稳定,检查内容主要包括:设备外观、各种指示灯、电源接口以及设备灰尘等内容。
(三)建立设备使用情况登记表,及时记录设备使用中出现的各种症状,上报异常情况,做好故障预防。
(四)加强公证信息平台物理环境安全管理。确保后备不间断电源正常使用和充足的电源后备时间;确保机房供配电、温度、湿度和通风状况的实时监控和报警设施的检测维护;确保防静电、防雷击、防火、防潮、防盗工作落实到位。
第十二条 公证信息平台业务系统运行安全管理主要包括:公证业务及管理辅助办理系统的运行维护、用户端和服务器的软件维护和安全管理。
业务系统运行安全管理的基本要求:
(一)业务系统及其数据库系统的登陆和操作,应严格设置使用权限,防止默认账户和共享口令的访问许可,及时删除多余、过期的系统用户,加强登陆口令的复杂性和保密性设置,定期更换登陆口令、检查权限设置。
(二)用户单位各终端和服务器计算机必须安装使用省厅配发的统一的正版防病毒和防火墙软件,并定期更新升级,及时进行木马程序和病毒代码全面扫描,定期进行系统漏洞扫描,对发现的系统安全漏洞及时修补。
(三)严格用户端和服务器计算机软件的使用和安装,不得下载、使用盗版软件,不得安装运行游戏软件,不得安装使用BT、迅雷等软件下载工具,不得在用户端上在线收听和观看流媒体文件。
(四)不得修改业务系统软件代码和参数,不得将代码用于与公证业务无关的场合,不得将软件及其代码安装于个人电脑或提供给无关人员操作使用。
第十三条 公证信息平台数据安全管理的基本要求:
(一)用户单位应实行数据安全管理主要领导负总责、具体工作责任明确的制度,确保工作流程不泄密、传输过程不失密和安全存档防窃密。
(二)用户单位应建立数据备份登记制度,明确备份数据的放置场所、文件的命名规则、介质的使用要求和备份的时间频度,重要业务数据和系统参数应做到本地备份、异地备份、异介质备份等多种手段相结合,确保安全可靠。
(三)加强对业务数据和系统文件存储介质的管理,确保储备介质登记造册、安全使用、分级存放,防止敏感、涉密数据信息泄漏;对于需要送修和销毁的介质,要确保存储内容的清除和不可恢复。
(四)加强对涉及商业秘密和个人隐私的公证业务资料和业务数据的安全管理和保存,杜绝泄密和失密情况的发生。
(五)业务系统数据的开放权限由省厅统一设置、统一批准,并按相关要求与使用单位签订使用协议,任何单位或个人未经批准不得使用和提供系统数据和业务数据,或向其它单位或个人提供或开放数据接口。
(六)对于需要系统维护和修理外包服务的用户单位,应根据本规定与服务提供方签订安全保密协议,并随时进行监督和检查,确保安全管理工作不缺位。
第十四条 公证信息平台建设安全管理的基本要求:
(一)公证信息平台的主管部门、业务用户和建设单位,应在平台建设及运行过程中不断提高硬件设施、业务系统软件及专用网络的稳定性能和容错性能,确保安全、高效、稳定运行。
(二)建设单位应及时发现并弥补业务系统的漏洞和缺陷,按照有关业务需求和协议规定,提供有关维护服务,确保软件等服务产品安全、可靠的使用和运行,并及时更新,提供升级版本。
(三)建设单位应及时了解并排除影响业务系统正常运行的技术问题,确保将损失控制在最小范围。
(四)建设单位应完善业务系统容灾备份机制,确保系统和数据能完整、安全、及时地恢复;建立严格的安全控制机制,加强数据查阅权限控制,落实操作日志记录检查。
(五)建设单位应确保数据接口规范,实现与省厅权力阳光电子政务系统平台的无缝链接、统一调用,预留上报数据接口,保障数据交换和上报的及时、准确和可靠。
第四章 附 则
第十五条 本规定由省司法厅负责解释。
第十六条 本规定自公布之日起30日后施行。
扫一扫在手机打开当前页