省司法廳關于印發《江蘇省公證信息平臺安全管理規定（試行）》的通知

　　　　　　　　　　　　　　　　　蘇司規〔2009〕2號  2009年9月25日

各市司法局：

　　為了加強和規范全省公證信息平臺的安全管理工作，保障公證業務系統的正常運行和維護，省廳制定了《江蘇省公證信息平臺安全管理規定（試行）》，現印發給你們，請嚴格遵照執行，并及時將執行過程中發現的問題上報省廳。

　　　　　　　　　　　　　　　　　　江蘇省公證信息平臺安全管理規定

　　　　　　　　　　　　　　　　　　　　　　　（試 行）

　　第一章 總 則

　　第一條 為了加強和規范全省公證信息平臺（以下簡稱“公證信息平臺”）的安全管理工作，保障公證業務系統的正常運行和維護，根據國家《計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》等信息工作法規以及江蘇省司法廳（以下簡稱“省廳”）關于信息化建設的總體要求，結合全省公證行業特點和信息化建設實際，制定本規定。

　　第二條 公證信息平臺，是以我國公證法律制度和全省公證業務工作為基礎，以促進公證法律服務業健康、有序發展為目的，以現代電子科技和網絡技術為手段，全省統一的專門處理公證業務及相關管理事務的信息化的人機工作系統。

　　第三條 公證信息平臺安全管理工作，應當綜合運用各種管理方法和技術措施，全面、及時地維護公證信息平臺硬件設施、業務軟件、專用網絡的安全運行、使用，有效防范公證業務及管理數據的丟失、泄露和破壞，充分保障系統效能的發揮。

　　第四條 按照國家有關信息安全等級規范和要求，公證信息平臺安全等級確定為第二級，應嚴格執行國家有關信息安全規范和技術標準實施管理，并接受國家信息安全監管部門的業務指導。

　　第五條 公證信息平臺安全管理工作，實行“統一要求、分級管理、用戶實施”的基本原則。省、設區的市司法行政機關是公證信息平臺安全工作的主管部門，指導和督促有關公證信息平臺建設部門、各公證信息平臺用戶單位（以下簡稱“用戶單位”）具體實施。

　　第六條 任何與公證信息平臺相關的組織和個人，不得利用其從事危害國家利益、集體利益和公民合法利益的活動，不得侵害公證當事人及相關人的合法權益，不得危害公證信息平臺的安全。

　　第二章 安全管理職責

　　第七條 省司法廳承擔的安全管理職責：

　　（一）研究、制定公證信息平臺安全管理的基本規范和制度。

　　（二）研究、確定公證信息平臺安全管理等級，并定期對其安全狀況組織測評。

　　（三）研究、制定并適時調整公證信息平臺安全管理的相關技術標準。

　　（四）督促、檢查、指導全省設區的市司法行政部門、有關公證信息平臺建設部門、各用戶單位的公證信息平臺安全管理工作，并定期開展評價、通報。

　　（五）與有關省級職能部門就公證信息平臺安全保護工作進行溝通、協調。

　　（六）組織公證信息平臺安全管理工作經驗交流和業務培訓。

　　第八條 設區的市司法行政機關承擔的安全管理職責：

　　（一）根據公證信息平臺安全管理的基本規范和制度，結合本地區實際，研究、制定本地區公證信息平臺安全管理的具體規范、措施。

　　（二）及時向當地市級以上公安機關辦理公證信息平臺安全等級備案手續，如實提供有關信息安全保護的信息資料及數據文件。

　　（三）督促、檢查、指導本地區用戶單位的公證信息平臺安全管理工作。

　　（四）及時收集、分析、上報本地區公證信息平臺安全管理工作的基本情況，并提出工作意見和建議。

　　（五）協調、督促有關公證信息平臺建設單位在本地區開展安全保護技術工作。

　　第九條 用戶單位承擔的安全管理職責：

　　（一）根據省、市司法行政機關制定的公證信息平臺安全管理規范，建立、健全本單位公證信息平臺安全運行、管理員制度，落實有關平臺運行及安全管理的措施。

　　（二）組織本單位公證信息平臺安全建設，配備、調集必要的技術設備和人力資源，確保公證信息平臺的安全運行。

　　（三）及時收集、匯總、上報本單位在公證信息平臺運行與安全管理工作情況。

　　（四）配合有關公證信息平臺建設單位在本單位開展系統安全維護和業務輔導工作。

　　（五）組織開展本單位公證信息平臺安全管理技術輔導和業務培訓。

　　第三章 安全管理工作內容

　　第十條 公證信息平臺專用網絡（以下簡稱“公證專網”），是依托各用戶單位局域網和中國電信VPDN網形成的專門用于全省公證業務及管理輔助辦理活動的計算機信息網絡。

　　公證專網安全管理的基本要求：

　　（一）必須“專網專用”不得在公證專網從事與公證工作無關及危害網絡安全的活動，包括：

　　（1）不得下載、上傳無關內容或運行無關軟件，確保網絡高效暢通；

　　（2）不得傳遞任何涉密文件，防止泄密情況的發生；

　　（3）不得散布、傳播反動、迷信和黃色信息，禁止從事一切違法活動；

　　（4）不得從事危害網絡服務器的活動，不得進行端口掃描和黑客攻擊；

　　（5）未經授權不得以任何方式登陸網絡服務器，進行修改、設置、刪除和復制等操作。

　　（二）及時發現針對公證專網及其服務器的端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、網絡蠕蟲攻擊及網絡監聽活動，及時收集可疑征候和情況，并采取防范、應對措施。

　　（三）加強對網絡設備運行狀況、網絡流量、用戶行為的監控，真實、詳盡地記錄各聯網計算機的網絡使用情況，并保持服務器的日志記錄功能。

　　第十一條 公證信息平臺硬件安全管理主要包括：用戶端、服務器、網絡設備的管理和維護、物理環境的安全管理。

　　硬件安全管理的基本要求：

　　（一）加強對硬件設備登記和規范化管理，確保按操作規程實現硬件設備的啟動、停止、加電、斷電等操作；防止外來硬件設備的擅自接入，防止私自拆卸、添加或銷毀硬件設備；防止私自送修硬件設備用戶端計算機、服務器及網絡設備，硬件設備必須經過審批才能帶離機房或辦公地點。

　　（二）建立硬件設備的每月一次定期檢查制度，確保硬件的可靠運行和安全穩定，檢查內容主要包括：設備外觀、各種指示燈、電源接口以及設備灰塵等內容。

　　（三）建立設備使用情況登記表，及時記錄設備使用中出現的各種癥狀，上報異常情況，做好故障預防。

　　（四）加強公證信息平臺物理環境安全管理。確保后備不間斷電源正常使用和充足的電源后備時間；確保機房供配電、溫度、濕度和通風狀況的實時監控和報警設施的檢測維護；確保防靜電、防雷擊、防火、防潮、防盜工作落實到位。

　　第十二條 公證信息平臺業務系統運行安全管理主要包括：公證業務及管理輔助辦理系統的運行維護、用戶端和服務器的軟件維護和安全管理。

　　業務系統運行安全管理的基本要求：

　　（一）業務系統及其數據庫系統的登陸和操作，應嚴格設置使用權限，防止默認賬戶和共享口令的訪問許可，及時刪除多余、過期的系統用戶，加強登陸口令的復雜性和保密性設置，定期更換登陸口令、檢查權限設置。

　　（二）用戶單位各終端和服務器計算機必須安裝使用省廳配發的統一的正版防病毒和防火墻軟件，并定期更新升級，及時進行木馬程序和病毒代碼全面掃描，定期進行系統漏洞掃描，對發現的系統安全漏洞及時修補。

　　（三）嚴格用戶端和服務器計算機軟件的使用和安裝，不得下載、使用盜版軟件，不得安裝運行游戲軟件，不得安裝使用BT、迅雷等軟件下載工具，不得在用戶端上在線收聽和觀看流媒體文件。

　　（四）不得修改業務系統軟件代碼和參數，不得將代碼用于與公證業務無關的場合，不得將軟件及其代碼安裝于個人電腦或提供給無關人員操作使用。

　　第十三條 公證信息平臺數據安全管理的基本要求：

　　（一）用戶單位應實行數據安全管理主要領導負總責、具體工作責任明確的制度，確保工作流程不泄密、傳輸過程不失密和安全存檔防竊密。

　　（二）用戶單位應建立數據備份登記制度，明確備份數據的放置場所、文件的命名規則、介質的使用要求和備份的時間頻度，重要業務數據和系統參數應做到本地備份、異地備份、異介質備份等多種手段相結合，確保安全可靠。

　　（三）加強對業務數據和系統文件存儲介質的管理，確保儲備介質登記造冊、安全使用、分級存放，防止敏感、涉密數據信息泄漏；對于需要送修和銷毀的介質，要確保存儲內容的清除和不可恢復。

　　（四）加強對涉及商業秘密和個人隱私的公證業務資料和業務數據的安全管理和保存，杜絕泄密和失密情況的發生。

　　（五）業務系統數據的開放權限由省廳統一設置、統一批準，并按相關要求與使用單位簽訂使用協議，任何單位或個人未經批準不得使用和提供系統數據和業務數據，或向其它單位或個人提供或開放數據接口。

　　（六）對于需要系統維護和修理外包服務的用戶單位，應根據本規定與服務提供方簽訂安全保密協議，并隨時進行監督和檢查，確保安全管理工作不缺位。

　　第十四條 公證信息平臺建設安全管理的基本要求：

　　（一）公證信息平臺的主管部門、業務用戶和建設單位，應在平臺建設及運行過程中不斷提高硬件設施、業務系統軟件及專用網絡的穩定性能和容錯性能，確保安全、高效、穩定運行。

　　（二）建設單位應及時發現并彌補業務系統的漏洞和缺陷，按照有關業務需求和協議規定，提供有關維護服務，確保軟件等服務產品安全、可靠的使用和運行，并及時更新，提供升級版本。

　　（三）建設單位應及時了解并排除影響業務系統正常運行的技術問題，確保將損失控制在最小范圍。

　　（四）建設單位應完善業務系統容災備份機制，確保系統和數據能完整、安全、及時地恢復；建立嚴格的安全控制機制，加強數據查閱權限控制，落實操作日志記錄檢查。

　　（五）建設單位應確保數據接口規范，實現與省廳權力陽光電子政務系統平臺的無縫鏈接、統一調用，預留上報數據接口，保障數據交換和上報的及時、準確和可靠。

　　第四章 附 則

　　第十五條 本規定由省司法廳負責解釋。

　　第十六條 本規定自公布之日起30日后施行。