信息安全管理制度.doc

网络信息安全管理制度 信息安全管理责任制 总则 1.1通过加强本公司办公设备、网站、公众号、OA办公系统等管理，保证网络信息安全正常运行，保证公司机密文件的信息安全，保障服务器和数据库的安全运行，加强本公司员工的网络信息安全意识，把相关工作做好。 设备管理 2.1本公司电脑设备仅用于本公司办公使用，不得用于工作无关的内容。 2.2为保护办公电脑资料的安全，办公电脑必须设置密码，并且不能设置过于简单的密码，并应依据一定规则定期更新。 2.3电脑配置采购由上级部门统一进行，电脑软硬件更换需上级管理人同意，未经许可任何个人不得随意拆卸更换电脑设备，私自拆卸、更换电脑设备，否则按公司相关规定赔偿并处理。 数据安全管理 3.1本公司工作所需的资料、数据，不得带出办公区。因外派等业务需带出的除外，但需始终注意做好相关资料的保密工作。外派等工作结束后，必须将相关资料数据及时带回，并清除保留在外面设备上的资料。 3.2个人资料及工作资料应定期做好备份工作（重要资料应随时双重备份在其他电脑和其他介质上），以防病毒侵袭、硬件损坏等造成数据丢失。 网络信息安全管理 4.1新员工入职，在得到自己的账户名和密码后，应立即更改自己的密码。 4.2不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害公司稳定的有关信息；不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动；不访问不明网站的内容，以避免恶意网络攻击和病毒的侵扰。 4.3员工个人QQ、微信等其他网络通讯工具，在个人信息资料中不得包含公司相关（如公司电话、IP地址等）信息，在工作时间不使用QQ、微信进行与工作无关的事情。 病毒防护管理 5.1配备的办公电脑必须安装防毒软件。 5.2任何人不得在公司的网络上制造、传播任何计算机病毒，不得故意引入病毒。网络使用者发现病毒应立即向上级部门报告以便获得及时处理。 下载管理 6.1不准在任何时间利用公司网络下载黑客工具、解密软件，系统扫描工具，木马程序等威胁系统和网络安全的软件。 6.2本公司办公电脑不允许下载和在线观看与工作无关的软件或其他内容，如MP3、小说、电影、电视和图片等。 6.3由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致病毒传播者，一经核实，公司依据相关规定处理。 信息安全评估 1.信息安全风险评估（information security risk assessment）是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 2.信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 3.信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋值、已有安全措施确认、风险分析、风险评估记录等。 三、用户信息安全管理 1.相关内部人员不得对外泄露需要保密的信息；内部人员不得发布、传播国家法律禁止的内容； 3.信息发布之前应该经过相关人员审核； 4.对相关管理人员设定网站管理权限，不得越权管理网站信息； 5.一旦发生网站信息安全事故，应立即报告相关方并及时进行协调处理；   6.对有毒有害的信息进行过滤、用户信息进行保密。 7.登记注册表应由专人负责保管，未经授权不得复制、透露给第三方； 8.只允许用户的单一登录；即单一用户名只对应单一口令 9.对登陆用户信息阅读与发布按需要设置权限用户可自主改变登录密码，以保护用户信息的隐私权； 10.对用户在网站上的行为进行有效监控，保证内部信息安全； 11.规定用户不得传播、发布国家法律禁止的内容。 12.针对用户发布信息建立审核机制，设定信息开关，所有信息一律师事务所审核后再开放显示。 13.除用户授权外，系统管理员不得对用户信息进行复制、删改； 14.定期将用户信息备份并保存，以防用户误操作，丢失原有信息； 15.加强对用户的网络制度、法律法规的宣传；并组织集中学习与培训，加强用户相关的法律意识，提高用户的自我束约能力。 16.固定用户不得传播、发布国家法律禁止的内容。 17.如用户要求对服务器网络配置进行改动、增减信息目录结构，用户需要向系统分析员提出书面申请。 四、违法违规互联网信息服务和违法信息的巡查与处置 1.总则 1.1为了加强对网站的安全保护，根据《中华人民共和国计算机信息系统安 全保护条例》、《计算机信息网络国际联网安全保护管理办法》及其他有关法律、行政法规的规定，制定本机制。 1.2有害信息的本着“谁主管，谁负责”、遵循依法、客观公正、合理恰当 的原则。 1.3有害信息事件是指单位和个人利用网站制作、复制、查阅和传播下列的事件： 1.3.1煽动抗拒、破坏宪法和法律、行政法规实施的； 1.3.2煽动颠覆国家政权、推翻社会主义制度的； 1.3.3煽动分裂国家、破坏国家统一的； 1.3.4煽动民族仇恨、民族歧视，破坏民族团结的； 1.3.5捏造或者歪曲事实，散布谣言，扰乱社会次序的； 1.3.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶残、恐怖、教唆犯罪的； 1.3.7公然侮辱他人或者捏造事实诽谤他人的； 1.3.8损害网站形象和网站利益的； 1.3.9其他违反宪法和法律、行政法规的。 1.4有害信息发生部位：在BBS、留言板等交互式栏目，在网站首页、商品 信息页中张贴、传播有害信息。利用电子邮件发送危害安全、宣扬“法轮功”等邪教和扰乱社会秩序的各种谣言等有害信息。 1.5用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律 规定，不得利用网站侵犯用户的通信自由和通信秘密。 违法违规网站信息处置程序 2.1 一旦发现网络有害信息的，应立即启动预案，采取“及时处理、下载保 存和24小时上报制度”。 2.2网络有害信息处置前期工作程序： 2.2.1发现有害信息的公司员工要立即报告公司信息部，由信息部协调处理网上突发事件，摸清情况，采取措施，最大限度地遏制有害信息在网站上传播和扩散，并在第一时间内向公司主管领导及有关部门报告。 2.2.2 信息部负责有害信息的界定及监控，一旦发现不良信息要马上删除（如遇紧 急情况，可直接关闭服务器，暂停网络运行）。 2.2.3信息部及时对有害信息予以删除，取证留样，对有害信息的来源进行调查； 在最短时间内向网络有害信息处置相关机构报告情况。 2.2.4信息部要对网络安全设备的记录留存，监督检查有害信息报告、清除等情况。 2.2.5信息安全员负责调查有害信息散布的原因、经过，收集相关证据，以有利于 事件处理时事实清楚，责任明确。 网络有害信息处置后期工作程序： 3.1. 信息部要利用网络与信息安全技术平台，对网上有害信息和公共有害短信及 时进行封堵：对违规从事网上业务或传播有害信息的用户，依法采取责任令整顿，予以封禁用户等行政处罚措施。 3.2.在事实清楚、责任明确的情况下，公司网络安全管理领导小组要对事件做出 处理决定。 3.3有关事件的处置经过、结论等相关事宜，一律由信息部统一对外宣传。 3.4做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费投入，要在技术管理和软件开发利用上下工夫，提高网络信息安全管理技能。网站服务器必须安装必要的信息安全软件。 处置后期工作 4.1有害信息的责任认定与后期工作按照有关法律和规定确定。 4.2对于在上述事件中对处理不服的，由信息部做好思想教育疏导工作。 4.3各职能部门继续做好网站有害信息的收集监控工作。 五、重大信息安全事件应急处置和报告制度 1. 总则 1.1为预防和及时处置网络突发事件，保证网络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案。 在公司领导的统一管理下，贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。 信息网络安全事件定义 2.1网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；公然侮辱他人或者捏造事实诽谤他人；宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖；发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。 2.2网内网络应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生泄密事件。 2.3在网站上发布的内容违反国家的法律法规、侵犯知识产权等，已经造成严重后果。 信息安全事件应急处置办法 3.1加大培训和宣传力度，加强和完善互联网安全管理，设置专门管理部门，采取统一管理体制，落实负责人。各部门要建立健全内部安全保障制度，按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，加强信息的审查和备案工作，确保网络与信息安全。加强我公司互联网络信息安全管理，连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。 3.2加强信息审查工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。各级各类服务器提供信息服务，必须事先登记、审批，建立使用规范，落实责任人，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)，加强网络设备日志分析，及时收集信息，排查不安定因素。加强BBS、留言板等交互式栏目的专人管理，交互式栏目内容发布实行审核制度。对于非法网站要做到：发现一个，禁止一个，并及时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。 3.3网络部对互联网实施24小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控，若发现有异常行为应立即关闭该用户的网络连接，及时记录在案，并对其警告和批评教育，严重违法行为立即上报有关部门。 3.4加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到以下几点。 3.4.1及时发现、及时报告，在发现后在第一时间向上一级领导或部门报告。 3.4.2保护现场，立即与网络隔离，防止影响扩大。 3.4.3及时取证，分析、查找原因。 3.4.4消除有害信息，防止进一步传播，将事件的影响降到最低。 3.4.5在处置有害信息的过程中，任何单位和个人不得保