人民法院信息安全管理实践.docVIP

人民法院信息安全管理实践 湘乡市人民法院 易庆 摘要：信息网络系统已开始成为国家和社会生活运行的一条重要生命线，如果安全问题解决不好，它就会限制法院功能的发挥，甚至泄露审判机密，影响法院的形象，法律公正公平受到侵害。随着时代的发展，科技的进步，人民法院上网工程正在大规模发展之中，一个开放、高效、完善的法院将逐渐出现。对于工程来说，信息安全和保密管理是网络工程人员首先想到的问题，也是法院网络第一位的问题。在当今社会，信息网络系统已开始成为国家和社会生活运行的一条重要生命线，如果安全问题解决不好，它就会限制法院功能的发挥，甚至泄露审判机密，影响法院的形象，法律公正公平受到侵害。. 总体目标 人民法院信息系统安全总体目标是保护人民法院信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，合法、合规发展法院各类信息系统，确保人民法院为社会各界提供安全高效的服务。实现人民法院信息系统安全总体目标应本着“安全第一、预防为主、职责明确、综合治理”的基本原则。建立信息资产所有人机制，明确信息资产所有人（业务部门）、代管人（信息科技部门）及安全管理人的权责并对信息资产进行分类。人员是法院信息系统安全的决定性因素。与信息安全相关的岗位职责分配的基本原则为：职责分离原则：在人员岗位建立时，相关的信息系统访问的安全责任应该确定，不相容的职责应分离。接触信息系统的人员应承担与其工作性质相应的安全责任，各类人员不得从事超越自己职责以外的任何工作。有限授权原则：任何人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。相互制约原则：安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。任期审计原则：应记录并监控员工在任职期内的信息资源访问活动。信息系统关键岗位员工上岗前要对其进行培训，并使其充分了解信息系统安全的至关重要性。对各类计算机系统的相关人员应实施有针对性、有计划的计算机安全教育和培训。员工通过培训应明确与本职工作有关的计算机安全知识和责任。定期考核员工的工作表现，调整与其岗位不符的安全职责权限或调离违反岗位安全规则的员工。员工离职前，应交还手中持有的与信息系统相关的文档、物品，应交接其负责的工作。一经离职，法院人力资源部门要立即通知信息资源控制部门，相应的信息系统合法身份及权限应立即注销，视调离保密岗位人员的重要程度，及时调整系统的安全保密措施。标准化和规范化管理 标准化和规范化安全的目标是通过建立人民法院内部业务处理、操作流程、信息系统管理和技术等一系列标准化和规范化的过程，奠定人民法院信息系统安全的基础。标准化、规范化是信息系统安全的基础。 人民法院综合业务管理部门应该根据各业务对法院资产保护的需要，制订应用系统的安全等级，建立法院各项业务的标准、规范化处理流程和业务数据标准，以及确定各级员工对信息资源访问的权限标准。人民法院信息技术管理部门应该规范信息系统的工程建设，依照国家的安全管理政策和标准，逐步建立人民法院信息系统安全的各项管理规范和相关技术标准，规范基础设施建设、系统和网络平台建立、应用系统开发、运行管理等重要环节，创建人民法院信息系统安全的基础。 设备与物理环境安全 设备与物理环境安全的目标是保护人民法院计算机设备、设施（含网络）以及信息系统的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。安全计划和安全管理必须实施于信息系统基础设施建设的需求计划、部署实现、安装启用、终止结束等完整工程生命周期的各个阶段。 信息系统有关物理环境的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准，配备防火、防雷、防水、防静电、防鼠等机房安全设施，有效防止数据泄密，维持系统不间断的运行能力，确保信息系统运行的安全可靠。 应对突发事故，实体安全建立应急计划，配备应急电源，实施系统主机及重要设备的备份、冗余技术保护措施；对数据应做到异地备份或做到异地存放；应对灾难事故，实体安全建立灾难中心，实现物理实体的恢复机制。根据实际情况定期实施主备机的切换和应急方案的演练。限制和规定计算中心、重要信息设备所在地的人员进出活动。 对重要安全设备产品的选择，必须符合国家有关技术规范，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。严格确定信息设备的合法使用人。建立详细的设备使用运行日志及故障维修记录，实施定期的设备维护、保养操作。 应用系统安全 应用系统安全的目标是保证人民法院各业务应用系统开发过程以及最终产品的安全性，安全建设必须与应用系统建设同步进行。 应用系统安全决定了法院的安全，应用系统安全化建设是人民法院业务发展的重要组成部分。 质量管理和安全监控必须实施于应用系统从计划到运行全周期的各阶段（即需求计划阶段、系统设计阶