网络信息安全管理制度

wordPAGE\*MERGEFORMAT#网络信息安全网络与信息的安全不仅关系到公司正常业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全。、网站运行安全保障措施1、网站服务器和其他计算机之间设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网站正常运行。2、在网站的服务器及工作站上均安装了正版的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、邮箱使用者和对应的IP地址情况等.4、交互式栏目具备有IP地址、身份登记和识别确认功能，对没有合法手续和不具备条件的电子公告服务立即关闭。5、网站信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，保证备用系统能及时替换主系统提供服务。6、关闭网站系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。7、服务器平时处于锁定状态，并保管好登录密码；后台管理界面设置超级用户名及密码，并绑定IP,以防他人登入。8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照#岗位职责#设定，并由网站系统管理员定期检查操作人员权限。9、公司机房按照电信机房标准建设，内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统，定期进行电力、防火、防潮、防磁和防鼠检查。、信息安全保密管理制度1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。2、网站信息内容更新全部由网站工作人员完成，工作人员素质高、专业水平好，有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布〈〈互联网信息管理办法》等相关法律法规明令禁止的信息（即“九不准”），一经发现，立即删除。3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。4、所有信息都及时做备份。按照国家有关规定，网站将保存60天内系统运行日志和用户使用日志记录，短信服务系统将保存5个月以内的系统及用户收发短信记录。5、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。三、用户信息安全管理制度1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我公司不会随意公布与用户个人身份有关的资料，除非有法律或程序要求。2、所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的规定时间内保证不会丢失；3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密,未经允许不得向他人泄露。公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。(一)信息安全管理组织机构设置及工作职责一、组织机构1、公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。2、信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括:根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。信息安全工作组的主要职责包括：贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。应急处理工作组的主要职责包括：审定公司网络与信息系统的安全应急策略及应急预案；决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；每年组织对信息安全应急策略和应急预案进行测试和演练。公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。二、工作职责1、设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。2、系统管理员主要职责有：负责系统的运行管理，实施系统安全运行细则；严格用户权限管理，维护系统安全正常运行；认真记录系统安全事项，及时向信息安全人员报告安全事件；对进行系统操作的其他人员予以安全监督。3、网络管理员主要职责有：负责网络的运行管理，实施网络安全策略和安全运行细则；安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；对操作网络管理功能的其他人员进行安全监督。4、应用开发管理员主要职责有：负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；系统投产运行前，完整移交系统相关的安全策略等资料；不得对系统设置“后门”；对系统核心技术保密等。5、安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督，主要职能包括：按操作员证书号进行审计；按操作时间审计；按操作类型审计；事件类型进行审计；日志管理等。6、安全保密管理员负责日常安全保密管理活动，主要职责有：监视全网运行和安全告警信息网络审计信息的常规分析安全设备的常规设置和维护执行应急中心制定的具体安全策略向应急管理机构和领导机构报告重大的网络安全事件。7、公司指定法人代表为分管信息的领导，负责本公司信息安全管理，并配备信息安全技术人员，设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。三、有害信息发现受理处置机制公司有害信息处置机制是根据国家相关法律、法规的规定，结合我市实际制定的。主旨在于建立公司与工业和信息部以及通信管理局之间的快速反应机制，规范移动互联网有害信息处置流程，在法律、法规的保障下，及时、迅速的处置移动互联网有害信息。本机制中“有害信息”包括：煽动抗拒、破坏宪法和法律、行政法规实施的；煽动颠覆国家政权，推翻社会主义制度的；煽动分裂国家、破坏国家统一的；煽动民族仇恨、民族歧视，破坏民族团结的；捏造或者歪曲事实，散布谣言，扰乱社会秩序的；宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；公然侮辱他人或者捏造事实诽谤他人的；损害国家机关信誉的；其他违反宪法和法律、行政法规的。本机制中“有害信息”指公司服务器上的网站Webt目提供安全管理制度和技术防范措施的落实情况，对预防有害信息出现提出建议，对用户及员工上报的应急处置联系人员进行抽查，保障本机制实施。主动发现手段：公司设置有害信息自动过滤平台，发现及抵御有害信息的入侵。信息安全小组负责对公司所有网络资源进行实时监控，做到及时发现、即时处理的原则办理，对处理结果备案，对重大有害信息事件，应在第一时间上报主管领导及相关部门。信息安全小组负责界定、监控、受理有害信息事件，要做到即接快办；夜间、节假日值班期间接到、发现的，应于次日或节假日后的第一个工作日办理，对需紧急办理的重大信息安全事件可先处理后登记（如遇紧急情况，可直接关闭服务器等设备，暂停网络运行）负责查办的相关人员接到交办的事件后，应及时安排办理，要求在最短时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明情况，可适当延长处理时间，处理结果应及时反馈给信息安全小组组长。在处理有害信息事件时，应按照处理流程，及时填写相应表单，并随处理结果报告一并存档。处置流程：公司接到投诉一上报主管领导/记录相关信息一删除信息一备份一判别有害信息级别一上报主管部门/报案到公安局处一配合调查按照公安部要求，有害信息分为三级，处理方法如下：一类，20分钟内删除二类，30分钟内删除三类，60分钟内删除主动发现手段：公司设置有害信息自动过滤平台，发现及抵御有害信息的入侵。公司要求要对删除信息进行备份，以便网监局（公安局）查询时提供相关证据。处理人员应对重大有害信息事件的举报人、发现人要求保密着做到保密，有关重大的有害信息事件及处理过程不得泄密四、重大信息安全事件应急处置和报告制度为确保发生网络安全问题时各项应急工作高效、有序地进行，最大限度地减少损失，根据〈〈中华人民共和国计算机信息系统安全保护条例》、〈〈计算机病毒防治管理办法》等相关法律法规，结合本公司信息网络实际情况，制定本制度。1、事件等级：根据信息安全事件的影响程度等因素将重大信息安全事件分为三个等级：第三等级：特大信息安全事件，涉及国家安全和社会稳定，造成恶劣影响和严重后果。第二等级：重大信息安全事件，涉及国家安全和社会稳定，造成较大社会影响和较严重后果。第一等级：一般信息安全事件，造成一定社会影响的信息安全事件。2、报告时限：公司发生以上信息安全事件时，根据等级的不同分别向上级主管部门报告，报告分为口头报告、简要书面报告和专题书面报告：发生特大信息安全事件时，公司在2小时内做出口头报告，24小时内做出简要书面报告，事件处理结束后3日内做出专题书面报告。发生重大信息安全事件时，公司在4小时内做出口头报告，24小时内做出简要书面报告，相关事件处理结束后3日内做出专题书面报告。发生一般信息安全事件时，公司在48小时内做出专题书面报告。3、处置流程：由于公司网络环境安全事件（包括火灾、盗窃、破坏、供电等）、网络运行相关事件（包括线路中断、路由障碍、流量异常、域名系统故障等）引发信息安全时，紧急通知我公司信息主管负责人，及时消除非法信息，恢复系统，无法迅速消除或恢复系统、影响较大时实施紧急关闭，并及时上报。一般信息安全事件发生时，向入侵者所在的网络管理员投诉。重大信息安全事件及特大信息安全事件发生时（如造成重大经济损失，破坏国家信息安全的反动政治言论），及时清除、保留证据，立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后，立即对发生的事件进行调查核实、保留相关证据，确定事件等级，向上级主管部门上报相关材料。五、信息安全管理政策和业务培训制度根据我国〈〈移动互联网信息服务管理办法》的有关规定，本公司制定以下制度：1、公司各级领导和信息安全管理人员定期（每年至少二次）学习〈〈中华人民共和国治安管理处罚条例》、〈〈计算机信息网络国际互联网安全保护管理办法》等有关法律、行政法规的规定，提高员工维护网络安全的警惕性和自觉性。2、在开展信息安全教育活动中，必须结合先进的典型事例进行正面教育，以利取长补短。信息安全教育要求体现“六性”，即全员性、全面性、针对性以及成效性、发展性、经常性。3、加强对我网站的信息发布审核管理工作，杜绝违犯〈〈计算机信息网络国际互联网安全保护管理办法》的内容出现。4、教育培训目标：不断提高公司人员信息安全意识、信息技术素质，提高信息安全政策业务水平。5、培训制度：1）业务学习培训计划由技术部根据年度作出安排。2）成立业务学习小组，定期组织业务学习；3）工作人员每年必须参加不少于15个课时的专业培训。4）工作人员必须完成布置的学习计划安排，积极主动地参加信息部组织的业务学习活动。5）有选择地参加其它行业和部门举办的专业培训，鼓励参加其它业务交流和学习培训。6）支持、鼓励工作人员结合业务工作自学。6、培训内容：1）计算机安全法律教育定期组织本单位工作人员认真学习〈〈网络安全制度》、〈〈计算机信息网络安全保护》等业务知识，不断提高工作人员的理论水平。负责对企业的网络用户进行安全教育和培训。定期的邀请上级有关部门和人员进行信息安全方面的培训，提高操作员的防范能力。2）计算机职业道德教育工作人员要严格遵守工作规程和工作制度。不得制造，发布虚假信息，向非业务人员提供有关数据资料。不得利用计算机信息系统的漏洞偷窃客户资料，进行诈骗和转移资金。不得制造和传播计算机病毒。3）计算机技术教育操作员必须在指定计算机或指定终端上进行操作。机房管理员，程序维护员，操作员必须实行岗位分离，不得串岗，越岗。不得越权运行程序，不得查阅无关参数。发现操作异常，应立即向机房管理员报告。7、培训方式：结合专业实际情况，指派有关人员参加学习。有计划有针对性，指派人员到外地或外单位进修学习。举办专题讲座或培训班，聘请有关专家进行讲课。所有上岗工作人员或换岗工作人员应经过培训考核合格，方能上岗。自订学习计划，参加专业函授学习成绩及时反馈有关部门，良好学业者给予奖励。8、公司网站必须接受并配合通信管理局和公安机关的安全监督、检查和指导，如实向以上两个部门提供有关安全保护的信息、资料和数据文件，协助公安机关查处通过国际互联网的计算机信息网络的违法犯罪行为。六、有害信息发现和过滤技术手段有害信息安全发现工作小组成员及职责主要职责：(1)承担公司值守应急工作；⑵收集、分析工作信息，及时上报重要信息；负责公司网络与信息安全的监测预警和风险评估控制、隐患排查整改工作；负责网络与信息安全突发事件新闻报道相关工作；组织制订、修订与公司职能相关的专项应急预案，指导各分公司制定、修订网络与信息安全突发事件相关的应急预案；负责组织协调网络与信息安全突发事件应急演练；负责公司应对网络与信息安全突发事件的宣传教育与培训。我公司作为一家专业的电信增值服务商，在为用户提供全面的健康信息时，对有害信息的过滤采用“系统智能过滤+人工过滤”,以保证信息的安全。公司的信息过滤系统是一款专业的服务器非法信息过滤软件，实时拦截、替换服务器上各个网站的非法信息，并记录详细有偿信息过滤系统，具有高度的安全性和实用性。我公司在使用信息过滤系统的同时，还采用人工审核的方式，以多种形式确保为用户发送信息的安全性及健康性，促进我国增值电信业务市场的良性运作，也为主管部门的监督管理工作提供技术保障，积极推动移动互联网信息行业的健康发展。公司严格建立专人审核信息发布制度。公司各部门业务所有信息发布前，均需经过专人审核，确保信息的合法，安全。信息审核主要负责人职责：1、审核的广度和深度：审核涉及的面较广，要想真正起作用，不能只对信息系统的“皮毛”进行审计，否则就达不到真正保护系统安全的效力。2、审核的环节：从信息系统安全保障体系的各个层次着手，一环套一环地进行审核。安全环节是很多系统平台本身就提供的，如对建立的相关安全档案进行审核，分析信息安全工作组织与管理情况，对业务处理用机操作系统或者数据库等进行检查，以分析系统的日志管理机制是否合理、有效。3、关键字的设立、过滤与更新公司保证采用的互联网信息平台具有信息内容的过滤功能。信息过滤包括对发布的信息内容、页面内容进行有效过滤。关键字的过滤功能，具体包括关键字设定、修改、查询功能，并提供相应的测试端口，并具有严格的权限管理功能。在发现的有害内容时按有关规定及时向有关部门汇报，并从技术上予以保证，包括有害信息的内容、发现时间、发现来源。七、网络安全管理责任制度1、组织工作人员认真学习〈〈计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。2、负责对我公司员工进行安全教育和培训，使员工自觉遵守和维护〈〈计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。3、加强对我网站的信息发布审核管理工作，杜绝违犯〈〈计算机信息网络国际互联网安全保护管理办法》的内容出现。4、一旦发现从事下列危害计算机信息网络安全的活动：未经允许进入计算机信息网络或者使用计算机信息网络资源；未经允许对计算机信息网络功能进行删除、修改或者增加；未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；故意制作、传播计算机病毒等破坏性程序的；从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。5、在信息发布的审核过程中，如发现有以下行为的：煽动抗拒、破坏宪法和法律、行政法规实施；煽动颠覆国家政权，推翻社会主义制度；煽动分裂国家、破坏国家统一；煽动民族仇恨、民族歧视、破坏民族团结；捏造或者歪曲事实、散布谣言，扰乱社会秩序；宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；公然侮辱他人或者捏造事实诽谤他人；损害国家机关信誉。都将接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。