信息安全管理制度

信息安全管理制度第一章总则第一条为加强信息系统内部信息风险控制管理，有效防范信息安全风险，确保信息系统安全可靠运行，特制定本制度第二条本制度所指的信息安全是指信息系统各要素（包括制度、人员、软件、服务器、网络、数据、终端等）在运行、维护、开发、建设等过程中的安全管理活动第三条本管理制度，适用于各部门第二章信息安全管理目标第四条信息资产的可用性、完整性、保密性是信息安全管理的总体目标信息中心具体信息安全管理目标是

（一）维护范围内的网络大规模病毒爆发（病毒影响到三分之一的网络中断）每年不超过次；1

（二）信息系统运行无故障率大于等于；99%

（三）机房设备重大故障每年不超过次；3

（四）全年不发生重大信息安全泄露事故；

（五）全年不发生单位级存储数据丢失事故第三章安全防范管理机制第五条完善安全防范管理机制是信息系统安全防范的组织保证，成立院信息化工作领导小组，负责开展信息系统建设、应用和信息安全保障工作信息化建设领导小组下设办公室，具体负责信息化工作的组织协调和信息安全保障工作第六条信息化工作领导小组负责法院信息系统信息安全保障工作具体任务是

（一）制订法院信息系统安全防范工作规划和实施方案

（二）监督、检查法院有关信息系统安全保障工作规章制度的执行情况，组织制订法院内部相应的安全防范实施细则，加强岗位管理，实行有效监控

（三）组织实施对信息系统的安全检查工作，确保信息系统的安全可靠运行

（四）组织实施对法院各级工作人员的计算机安全教育，增强安全保密和风险意识

（五）负责法院安全防范的日常工作第七条信息化工作领导小组组长职责为

（一）带领信息化工作领导小组开展信息系统安全防范工作

（二）监督信息化工作领导小组办公室履行职责第八条信息化工作领导小组办公室设在信息中心，具体负责信息化建设、应用和信息安全保障工作

（一）确定信息化建设与应用等各项工作的岗位安全职责

（二）负责确定各网络设备特权口令、各应用系统主机特权口令、各种应用用户口令的使用与管理；负责确定各种系统备份与业务数据备份的实施与管理、备份介质的使用与管理等重要安全事项

（三）审阅信息系统的各类事故、故障报告、突发事件报告，并组织有关人员进行及时处理

（四）制定法院安全防范培训计划和组织工作岗位的安全防范训练，并定期进行安全防范工作讲评

（五）定期（一年不少于两次）检查法院安全防范工作各项规章制度的执行情况

（六）提出安全防范改进措施

（七）负责开展重要信息系统安全等级保护制度的落实第四章信息安全管理制度体系第九条信息安全管理制度体系是由三个层次组成的第一部分是信息安全管理制度；第二部分是一系列安全管理办法和规定；第三部分是实施层面的安全指南和记录第十条信息安全管理制度包含如下管理办法和规定

（一）人员安全管理办法

（二）物理及环境安全管理

（三）信息系统安全建设管理办法

（四）信息系统运行维护管理办法

（五）计算机病毒防治管理办法

（六）门户网站管理办法

（七）信息安全审核检查管理办法（）信息系统用户及密码管理办法A

（九）信息系统业务连续性管理办法第^一条信息安全管理体系遵循动态管理和闭环管理的原H则，通过定期的评估不断修改完善第五章人员安全管理第十二条信息中心须对被录用人员所具有的技术技能进行考核；与被录用人员应签署保密协议；从事关键岗位的人员应从内部人员中选拔，并签署岗位安全协议第十三条信息中心须做好人员离岗管理，执行严格的第十四条信息中心定期组织对各个岗位的人员进行调离手续安全技能及安全认知的考核；对关键岗位的人员进行全面、严格的安全审查和技能考核，对考核结果进行记录并保存第十五条信息中心定期组织各类人员进行安全意识教育、岗位技能培训和相关安全技术培训对安全教育和培训的情况和结果进行记录并归档保存第十六条信息中心制定安全责任和惩戒措施规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒第十七条具体参见《信息中心人员安全管理办法》第六章物理及环境安全管理第十八条法院中心机房须实行值班制度，做好人员、设备的进出管理；做好机房场地环境监控具体操作参见《机房管理办法》第十九条加强办公环境的保密性管理，规范办公环境人员行为，做好外来人员的访问控制具体操作参见《办公环境安全管理办法》第七章信息系统安全建设管理第二十条应严格分离开发系统和运行系统，程序员只能在开发系统上工作；运行主机不得用于项目开发，不得含有源程序、编译工具、连接工具等工具软件，不得使用与业务无关的任何存储介质第二十一条信息系统的安全建设要严格遵循安全需求分析、安全方案设计、安全产品和服务采购、软件开发、工程实施、测试验收、系统交付等环节安全要求具体要求参见《信息系统安全建设管理办法》第八章信息系统运行维护管理第二十二条为保证信息系统运行和维护工作的顺利开展，信息中心必须合理配备人员，明确职责，责任到人第二十三条信息中心负责信息系统的日常管理以及安全控制工作，对系统运行过程中的突发事件或故障进行初步条信息中心应定期组织对网络系统、应用系统第二十U!I诊断，并调度、联络相关人员执行相应的维护任务的漏洞扫描工作，并对发现的系统安全漏洞及时进行修补第二十五条具体操作参见《信息系统运行维护管理办法》第九章计算机病毒防范管理第二十六条单位各部门应重视计算机病毒的防范工作，所有接入内部网络的计算机应安装防病毒工具软件，并每周检查防病毒软件病毒库更新情况，严禁私自安装未经安全审查的外来软件具体操作参见《计算机病毒防治管理办法》第十章门户网站管理第二十七条要加强法院门户网站的管理和维护，确保网站能够及时更新并安全可靠运行具体操作参见《门户网站管理办法》第十一章信息安全审核检查管理第二十八条法院应定期组织全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等，并对安全检查结果进行通报第二十九条信息中心应定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、数据备份等情况第三十条应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报第三十一条具体操作参见《信息安全检查管理办法》第十二章用户及密码管理第三十二条信息中心应加强信息系统用户和密码的管理，包括用户和密码的设定、使用、废除管理具体操作参见《信息系统用户及密码管理办法》第十三章业务连续性管理第三十三条信息中心应识别需要定期备份的重要业务信息、系统数据及软件系统等，根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略对重要数据进行备份应定期执行恢复程序，检查和测试备份介质的条信息中心应制定不同事件的应急预案第三十I有效性第三十五条信息中心应协调在人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障第三十六条信息中心对信息系统相关的人员进行应急预案培训，并定期对应急预案进行演练第三十七条具体操作参见《信息系统业务连续性管理办法》第十四章沟通与合作第三十八条信息中心应加强与国家安全机关、电信运营商和信息服务提供商等的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施第三十九条应加强法院内部管理人员之间、内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题第四十条法院应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等第十五章合规性管理十一条信息中心每年至少进行一次全面风险评估当系统发生变化应根据具体情况，进行部分或全面的风险评十二条新建、改建、扩建信息系统工程项目，应当!1!估同步建设网络安全保障设施，应确定安全保护等级，进行系统定级工作，并与主体工程同时进行验收和投入运行十三条信息系统定级评审通过后三十日内向上级条应当落实与信息系统级别相适应的安全防!1!单位或公安机关进行备案，并提交相应的定级备案材料护措施，并定期进行等级评测信息系统发生改变引起级别发生调整的，应当及时进行级别调整并进行安全改造第四十五条应选择具有国家相关技术资质和安全资质的测评单位进行等级测评第十六章附则第四十六条本办法由信息中心制定，由信息中心负责解释和维护管理第四十七条本办法自印发之日起施行。