各司法所、律师事务所、法律服务所、公证处，机关各科室：

现将《临海市司法局信息安全管理制度汇编》印发给你们，请认真遵照执行。

附件：《临海市司法局信息安全管理制度汇编》

                             临海市司法局

                            2014年4月1日

附件：

临海市司法局信息安全管理制度汇编

一、信息安全工作方针策略

（一）信息安全方针：全员参与、明确责任、预防为主、快速响应、风险管控、持续改进。

具体阐述如下：

1．在临海市司法局信息安全领导小组的领导下，全面贯彻市公安局关于信息安全工作的相关指导性文件精神，建立可持续改进的信息安全管理体系。

2．全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。

3．通过定期地信息安全宣传、教育与培训，不断提高临海市司法局所有工作人员的信息安全意识及能力。

4．推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件进行快速、有序地响应。

5．贯彻风险管理的理念，定期对各信息系统进行全面安全检查，将信息安全风险控制在可接受的水平。

6．在临海市司法局信息安全领导小组的领导下，持续

改进临海市司法局信息安全各项工作，保障临海市司法局信

息系统安全畅通与可控，保障所开发和维护信息系统的安全

稳定，为各工作人员及用户提供安全可靠的信息化服务。

（二）信息安全策略

1．建立临海市司法局信息安全管理组织机构，明确我单位安全主管、安全管理负责人、网络管理员、系统管理员、安全管理员等安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。

2．对临海市司法局信息安全管理体系进行定期或不定期地评审，对各项安全控制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。

3．临海市司法局信息系统分等级保护。按照国家等级保护有关要求，对临海市司法局信息系统及信息确定安全等级，并根据不同的安全等级实施分等级保护。

4．规范临海市司法局信息资产（包括硬件、软件、服务等）管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。

5．加强所有工作人员（包括临海市司法局各科室内部人员，以及各类外来人员）的安全管理，明确岗位安全职责，制定针对违规的惩戒措施，落实人员聘用、在岗和离岗时的安全控制，与关键岗位人员签署保密协议。

6．通过正式的信息安全培训，以及网站、简报、会议、

讲座等各种形式的信息安全教育活动，不断加强临海市司法局各科室人员的信息安全意识，提高他们的信息安全技能。

7．保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施，确保机房物理安全。部署机房专用空调、UPS等环境保障设施，对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理，进出需登记，外来人员需由相关管理人员陪同方能访问机房。

8．加强对信息系统外包业务与外包方的管理，在与信息系统外包方签署的服务协议中，对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施，加强外部方访问临海市司法局信息系统的管理，防止外部方危害信息系统安全。

9．对临海市司法局各重要信息系统（包括基础设施、网络和服务器设备、系统、应用等）应有文档化的操作和维护规程，使得各个相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。

10．在临海市司法局内外网上统一部署网络防恶意代码

软件，并进行恶意代码库的统一更新，防范恶意代码、木马等恶意代码对临海市司法局信息系统的影响。通过强化恶意代码防范的管理措施，如加强介质管理，严禁擅自安装软件，

加强人员安全意识教育，定期进行恶意代码检测等，提高临

海市司法局信息系统对恶意代码的防范能力。

11．对临海市司法局各重要的信息和信息系统进行备份，并对备份介质进行安全地保存，以及对备份数据定期进行备份测试验证，保证各种备份信息的保密性、完整性和可用性，确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。

12．采用技术和管理两方面的控制措施，加强对临海市司法局内外网的安全控制，不断提高网络的安全性和稳定性。临海市司法局内网与互联网进行物理隔离。通过实施网络访问控制等技术防范措施，对接入内网的进行严格审批，加强安全管理，加强对临海市司法局各科室网络使用的安全培训和教育，确保临海市司法局网络的安全。

13．加强信息安全日常管理，包括系统口令管理、无人值守设备管理、等，促使每位人员的日常工作符合临海市司法局信息安全策略和制度要求。

14．按照“仅知”原则，通过功能和技术配置，对重要信息系统、数据等实施访问控制。对系统特殊权限和系统实

用工具的使用进行严格的审批和监管。

15．进一步重视软件开发安全。在临海市司法局各信息系统立项和审批过程中，同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全，重点加强对软件代码安全性的管理。属于外包软件开发的，应与服务提供商签署保密协议。系统开发完成后，应要求通过第三方安全机构对软件安全性的测评。

16．在符合国家密码管理相关规定的条件下，合理使用密码技术和密码设备，严格密钥生成、分发、保存等方面的安全管理，保障密码技术使用的安全性。

17．重视对IT服务连续性的管理，建立对各类信息安全事件的预防、预警、响应、处置、恢复机制，编写针对临海市司法局内外网重要系统的应急预案，并定期进行测试和演练，在信息系统发生故障或事故时，能迅速、有序地进行应急处置，最大限度地降低因信息系统突发事件或意外灾害给临海市司法局信息系统所带来的影响。

（三）信息安全组织机构

为明确临海市司法局信息安全管理组织机构、角色、职责等，促进临海市司法局信息系统安全管理的组织建设，指导临海市司法局信息安全工作的开展，落实信息安全管理责任制，特成立信息安全领导小组全面负责单位信息安全工作，同时下设信息部具体负责信息安全工作的实施。

信息安全领导小组：

组  长：马保合

副组长：黄道双

成  员：卢端杰、陈学营、金波、蔡军辉、陈法斌、徐一嘉、方言兵