1、 XX公司信息安全管理制度第一章 总则第一条 为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。第二条 本制度适用于XX公司以及所属单位的信息系统安全管理。第二章 职责第三条 相关部门、单位职责:一、 信息中心(一) 负责组织和协调XX公司的信息系统安全管理工作;(二) 负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理;(三) 负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理;(四)
2、对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任;(五) 负责XX公司网络边界、网络拓扑等全局性的信息安全管理。二、 人力资源部(一) 负责人力资源安全相关管理工作。(二) 负责将信息安全策略培训纳入年度职工培训计划,并组织实施。三、 各部门(一) 负责本部门信息安全管理工作。(二) 配合和协助业务主管部门完善相关制度建设,落实日常管理工作。四、 所属各单位(一) 负责组织和协调本单位信息安全管理工作。(二) 对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。第三章 信息安全策略的基本要求第四条
3、 信息系统安全管理应遵循以下八个原则:一、 主要领导人负责原则; 二、 规范定级原则; 三、 依法行政原则; 四、 以人为本原则; 五、 注重效费比原则; 六、 全面防范、突出重点原则;七、 系统、动态原则; 八、 特殊安全管理原则。第五条 公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。第六条 制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。第七条 信息安全策略主要包括以下内容:一、 信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安
4、全策略;二、 对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;三、 对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;四、 定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;五、 制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。第八条 公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。第九条 根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,
5、各层级落实信息系统安全责任。第四章 人力资源安全管理第十条 信息系统相关岗位设置应满足以下要求:一、 安全管理岗与其它任何岗位不得兼岗、混岗、代岗。二、 系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。三、 安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管理岗、技术档案管理岗原则上有人员备份。四、 以上岗位人员调离必须办理交接手续,所掌握的口令应立刻更换或注销该用户。第十一条 人力资源部在相关岗位任职要求中应包含信息安全管理的相关条件和要求;将信息安全相关培训纳入年度职工培训计划,并组织实施。第五章 信息系统物理和环境安全管理第十二条 信息系统物理安全指为了保证信息系统安全可靠运行,不
6、致受到人为或自然因素的危害,而对计算机设备、设施(包括机房建筑、供电、空调)、环境、系统等采取适当的安全措施。第十三条 信息管理部门应采取切实可行的物理防护手段或技术措施对物理周边、物理入口、办公及生产区域等进行安全控制,防止无关人员未授权物理访问、损坏和干扰。第十四条 信息管理部门应加强对信息系统机房及配线间的安全管理,要求如下:一、 工作人员需经授权,方能且只能进入中心机房的授权工作区;确因工作需要,需进入非授权工作区时,需由该授权工作区人员陪同;做好机房出入登记(格式见附录3-3)。二、 工作人员必须严格按照规定操作,未经批准不得超越自己职权范围以外的操作;操作结束时,必须退出已进入的操
7、作画面;最后离开工作区域的人员应将门关闭。三、 非授权人员严禁操作中心机房UPS、专用空调、监控、消防及UPS供配电设备设施。四、 未经授权,任何人员不得擅自拷贝数据和文件等资料。五、 严禁将易燃、易爆、强磁性物品带入中心机房;严禁在机房内吸烟。六、 发生意外情况应立即采取应急措施,并及时向有关部门和领导报告。第六章 信息系统资产管理第十五条 信息管理部门应对信息和信息系统设备设施等相关资产建立台帐清单(格式见附录3-4),并定期对其进行盘点清查。第十六条 设备使用人应对信息和信息系统设备设施、各类存储介质等相关资产进行标识。标识应张贴在信息设备的明显位置,做到信息完整、字迹清晰,并做好防脱落
8、防护工作。第十七条 信息管理部门应对主机进行控制管理,要求如下:一、 关键业务生产系统中的主机原则上应采用双机热备份方式或n+m的多主机方式,确保软件运行环境可靠;二、 一般业务生产系统中的主机、生产用PC前置机,关键设备可以采用软硬件配置完全相同的设备来实现冷备份;三、 各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求,核心服务器、存储相应时间一般不高于4小时。第十八条 各相关部门应加强信息设备安装、调试、维护、维修、报废等环节的管理工作,防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。第七章 信息系统访问控制及操作安全管理第十九条 公司将系统运
9、行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。一、 系统级安全策略包括:敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。系统级安全是应用系统的第一道防护大门。二、 资源访问安全策略包括:对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL 程序资源和业务服务类方法的调用进行访问控制。三、 功能性安全策略包括:功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小
10、等。四、 数据域安全策略包括:一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。第二十条 用户管理应建立用户身份识别与验证机制,防止非法用户进入应用系统。具体要求如下:一、 公司按照相关的访问控制策略,对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理等方面进行访问控制的管理活动。二、 用户是指用以登录、访问和控制计算机系统资源的帐户。用户管理是指对用户进行分层、授权的管理。用户由用户名加以区分,由用户口令加以保护。按照计算机系统所承载的应用系统运行管理的需要,将用户分为超级用户、授权
11、用户、普通用户、匿名用户四类,分别控制其权限。(一) 超级用户。拥有对运行系统的主机、前置机、服务器、数据库、运行进程、系统配置、网络配置等进行察看、修改、添加、重启等权限并可对下级用户进行授权的用户。由系统管理岗位或网络管理岗位主管进行分配,由系统管理员或网络管理员负责用户口令的日常管理。(二) 授权用户。拥有由超级用户根据应用系统开发或运行维护的特殊需要,经过岗位主管的审批,将一些系统命令运行权限所授予的普通用户,由授权用户负责用户口令的日常管理。(三) 普通用户。应用系统开发或运行维护人员为应用系统一般监控、维护的需要,由超级用户分配的一般用户,这类用户仅拥有缺省用户访问权限的用户,由用
12、户负责口令的日常管理。(四) 匿名用户。匿名用户用于向公司网络内所有用户提供相应服务,这类用户一般仅拥有浏览权限,无用户名及口令,一般情况下只允许提供如:标准、期刊等无安全要求的系统服务时使用匿名用户。三、 对用户以及权限的设定进行严格管理,用户权限的分配遵循 “最小特权”原则。四、 口令是用户用以保护所访问计算机资源权利,不被他人冒用的基本控制手段。口令策略的应用与其被保护对象有关,口令强度与口令所保护的资源、数据的价值或敏感度成正比。(一) 所有在公司局域网网上运行的设备、计算机系统及存有公司涉密数据的计算机设备都必须设置口令保护。(二) 所有有权掌握口令的人员必须保证口令在产生、分配、存
13、储、销毁过程中的安全性和机密性。(三) 口令应至少要含有8个字符;应同时含有字母和非字母字符口令。(四) 口令设置不能和用户名或登录名相同,不能使用生日、人名、英文单词等易被猜测、易被破解的口令,如有可能,采用机器随机生成口令。(五) 口令使用期限由各个系统安全要求而定。(六) 口令的使用期限和过期失效应尽可能由系统强制执行。(七) 设备在启用时,默认口令必须更改。第二十一条 系统运行安全检查是安全管理的常用工作方法,也是预防事故、发现隐患、指导整改的必要工作手段。信息系统安全管理人员应做好系统运行安全检查与记录(格式见附录3-5)。检查范围:一、 应用系统的访问控制检查。包括物理和逻辑访问控
14、制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。二、 应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。三、 应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等。四、 应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。五、 应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。六、 应用系统维护检查。维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等。七、 应用系统的配置检查。检查应用系统的配置是否合理和适
15、当,各配置组件是否发挥其应有的功能。八、 恶意代码的检查。是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。九、 检查出现异常时应进行记录,非受控变化应及时报告,以确定是否属于信息安全事件,属于信息安全事件的应及时处理。第二十二条 信息管理部门应定期对重要系统、配置及应用进行备份。备份管理要求如下:一、 各系统应于投产前明确数据备份方法,对数据备份和还原进行必要的测试,并根据实际运行需要及时调整,每次调整应进行测试; 二、 对系统配置、网络配置和应用软件应进行备份。在发生变动时,应及时备份;三、 业务数据备份按照各生产系统备份计划的具体要求进行,尽可能
16、实现异地备份;四、 集中管理的系统、设备数据的备份工作由所在单位的信息部门负责;五、 备份介质交接应严格履行交接手续,做好交接登记;六、 介质存放地必须符合防盗、防火、防水、防鼠、防虫、防磁以及相应的洁净度、温湿度等要求。第八章 网络与通信安全管理第二十三条 信息化管理部门采取必要的技术手段和管理措施,加强对网络和通信安全的管理,保障公司内外信息传递安全。网络安全管理包含网络访问控制、安全机制、网络服务、网络隔离等,基本要求是:一、 定期对重要网络设备运行情况进行安全检查,发现隐患及时上报或整改,并做好记录(格式见附录3-5)。二、 定期备份重要网络和通信设备配置文件,确保发生故障时能及时恢复
17、网络运行,保证网络的可用性。第二十四条 加强内部网络安全管理,具体要求如下:一、 网络机房分区应独立、封闭。二、 网络设备脱离生产环境前应清空所有网络配置。三、 骨干网络设备应有备份,接入网络设备原则上应按5%比例备份。四、 网络结构和网络配置应最大限度地保证网络的健壮性、安全性。五、 企业网应根据需要划分不同的VLAN,并通过访问控制列表控制各VLAN的访问权限。六、 内部网络计算机未经批准不得安装网络探测软件,严格禁止安装任何黑客软件。七、 生产网络和测试网络必须实行分离,严禁在生产环境中做各种类型的业务测试。第二十五条 加强外联网络安全管理,具体要求如下:一、 外联网络安全遵循最小权限原
18、则,访问控制策略是“允许必须,禁止其他”。二、 外联网络在穿过不可控区域时数据传输原则上应采用加密技术。三、 制定外联网络方案时应注意保守本公司网络拓扑结构、IP地址、端口、安全策略等秘密,并注意了解对方网络结构及其变化情况。第二十六条 加强互联网安全管理,具体要求如下:一、 互联网与内部网络必须有相关的逻辑隔离,涉及国家秘密的信息不得通过互联网传输。二、 不得访问有关黑客网站,不得下载、安装黑客软件。三、 公司员工访问互连网,必须遵守中华人民共和国计算机信息网络国际联网管理暂行规定等规定,不得利用国际互连网从事损害国家、公司及他人利益的活动。第九章 信息系统供应商安全管理第二十七条 公司对信
19、息系统供应商实施安全管理。信息系统供应商包括设备类供应商、技术类供应商、咨询服务类供应商、或者是以上几类的任意组合。第二十八条 信息系统实施过程中,信息化管理部门应与供应商签订安全保密协议,明确信息安全要求。第二十九条 信息化管理部门应对供应商服务全过程进行监视和控制。第十章 信息安全事件管理第三十条 信息安全事件指导致信息资产丢失和损坏,影响信息系统正常工作甚至业务中断的事件。主要有: 一、 信息系统软硬件故障;二、 网络通信系统故障;三、 机房供配电系统故障 ;四、 系统感染计算机病毒 ;五、 信息系统遭水灾、火灾、雷击 ;六、 信息网络遭遇入侵或攻击;七、 信息系统内的敏感数据失窃、泄露
20、;八、 信息设备损坏、滥用或失窃 ;九、 信息被非法访问、使用及篡改;十、 违背信息安全策略规定的其他事项。第三十一条 信息安全事件管理包括组织机构、职责和规程的建立,信息安全事态及信息安全弱点的报告和评估,信息安全事件的应急处理等。一、 建立信息安全事件管理机构和应急预案(一) 公司信息安全事件管理机构包含:XX公司保密委,负责领导信息安全事件管理工作;各级信息化管理部门,负责处置信息安全事件;信息安全事件响应小组(负责人),负责信息安全事件响应和应急处理。(二) 信息化管理部门针对各类信息安全事件应分别制定相应的应急预案,开展必要的知识、技能、意识等培训。适时组织相关人员开展应急演练。二、
21、 开展信息安全事态及信息安全弱点报告和评估。信息系统安全管理和维护人员应加强对网络信息系统日常检查维护,了解外部信息安全变化,充分掌握信息安全事态,及时发现和消除危及系统安全的各类安全隐患。当发现险情时,应立即报告信息安全事件处置责任部门。完成信息安全事件处理后,应及时进行评估和改进,避免再次发生,并做好记录(格式见附录3-3)。三、 信息安全事件应急处理,要求如下:(一) 当信息系统出现险情时,维护人员和各级应急救援人员应正确履行应急预案所赋的职责和执行信息安全事件处置责任部门下达的指令。(二) 在发生网络与信息安全事件后,信息化管理部门应尽最大可能迅速收集事件相关信息,鉴别事件性质,确定事
22、件来源,弄清事件范围和评估事件带来的影响和损害。一旦确认为网络与信息安全事件后,立即将事件上报信息安全领导小组并着手处置。(三) 安全事件进行最初的应急处置以后应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。(四) 安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。(五) 在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务恢复工作应避免出现误操作导致数据丢失。 (六) 信息安全事件发生时,应及时向公司保密委汇报,并及时报告处置工作进展情况。事件处置中要作好完整的过程记录,保存各相关
23、系统日志直至处置工作结束。(七) 系统恢复运行后,信息管理部门应对事件造成的损失、事件处理流程和应急预案进行评估。对响应流程、预案提出修改意见、总结事件处理的经验和教训,撰写“信息安全事件处理报告”。同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,属于重大事件或存在违法犯罪行为的第一时间向公安机关网络监察部门报案。第十一章 附则第三十二条 本文件所引用的文件见附录1。第三十三条 本文件相关的名词解释见附录2。第三十四条 本文件所使用的记录见附录3。第三十五条 本文件由信息中心负责解释。第三十六条 本文件为第1次发布,自下发之日起执行。附录1:引用文件序号文件名称发布单位1
24、岗位规范人力资源部2培训管理办法人力资源部附录2:名词解释1. 信息安全指可供利用并产生效益的,企业经营活动过程中涉及到的各种文字、数字、音像、图表、语言等,一切信息的总称。附录3:相关记录1. 信息安全策略(文件)2. XX信息系统运维管理办法(文字)3. 信息系统检查表4. 机房出入登记5. 信息设备设施台帐6. 安全保密协议(文字)7. 各类信息安全事件应急预案(文字)附录3-3:信息系统检查表KSEC/JTZD207V11信息系统检查表检查项目检查人检查时间检查情况风险及异常情况发现风险及异常时填写处置及措施风险及异常处置时填写附录3-4:机房出入登记KSEC/JTZD207V12机房
25、出入登记序日期进入时间离开时间姓名事由陪同人员批准备注附录3-5:信息设备设施台帐KSEC/JTZD207V13信息设备设施台帐序部门固定资产编号责任人设备类型品牌型号硬盘序列号MAC地址使用情况启用时间备注文件更改状态一览表文件更改状态一览表版本号 修改号编写审核批准发布/修订日期000 信息安全管理制度目录1.安全管理制度要求1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度
26、;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审批文件。1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯2.机构要求2.1法律责任2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。3.人员安全管理3.1安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位
27、管理制度应包括保密管理。3.2关键岗位人员3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:1.个人身份核查:2.个人履历的核查:3.学历、学位、专业资质证明:4.从事关键岗位所必须的能力3.2.2应与关键岗位人员签订保密协议。3.3安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:1.上岗前的培训;2.安全制度及其修订后的培训;3.法律、法规的发展保持同步的继续培训。应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员
28、变动应通报公安机关。3.4人员离岗应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。4.访问控制管理4.1访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。4.2权限分配按以下原则根据人员职责分配不同的访问权限:a) 角色分离,如访问请求、访问授权、访问管理;b)满足工作需要的最小权限;c)未经明确允许,则一律禁止。4.3特殊权限限制和控制特殊访问权限的分配和使用:a)标识出每个系统或程序的特殊权限;b)按照“按需使用”、“一事一议”的原则分配特殊权限;c)记录特殊权限的授权与使用过
29、程;d)特殊访问权限的分配需要管理层的批准。注:特殊权限是系统超级用户、数据库管理等系统管理权限。4.4权限的检查定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。5网络与主机系统的安全5.1网络与主机系统的安全应维护使用的网络与主机系统的安全,包括:a) 实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施;b) 实施724h网络入侵行为的预防、检测与响应措施;c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。注:系统脆弱性评估
30、包括采用安全扫描、渗透测试等多种方式。5.2备份5.2.1应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。5.2.2网络基础服务(登录、消息发布等)应具备容灾能力。5.3安全审计5.3.1应记录用户活动、异常情况、故障和安全事件的日志。5.3.2审计日志内容应包括:a)用户注册相关信息,包括:1)用户唯一标识;2)用户名称及修改记录;3)身份信息,如姓名、证件类型、证件号码等;4)注册时间、IP地址及端口号;5)电子邮箱地址和于机号码;6)用户备注信息;7)用户其他信息。b)群组、频道相关信息,包括:1) 创建时间、创建人、创建人IP地址及端口号;2)删除时间
31、、删除人、删除人IP地址及端口号;3)群组组织结构;4)群组成员列表。c)用户登录信息,包括:1)用户唯一标识;2)登录时间;3)退出时间;4)IP地址及端口号。d)用户信息发布日志,包括:1)用户唯一标识;2)信息标识;3)信息发布时间;4)IP地址及端口号;5)信息标题或摘要,包括图片摘要。e)用户行为,包括:1)进出群组或频道;2)修改、删除所发信息;3)上传、下载文件。5.3.3应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如
32、移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL与短URL之间的映射关系。5.3.4应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。5.3.5应能够根据公安机关要求留存具备指定信息访问日志的留存功能。审计日志保存周期a)应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录;b)系统维护日志信息保存12个月以上;c)应留存用户日志信息12个月以上;d)对用户发布的信息内容保存6个月以上;e)已下线的系统的日志保存周期也应符合以上规定。6应用安全6.1用户管理6.1.1
33、向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的法律责任。6.1.2建立用户管理制度,包括:a)用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用户登记的真实身份,如:1)身份证与姓名实名验证服务:2)有效的银行卡:3)合法、有效的数字证书:4)已确认真实身份的网络服务的注册用户:5)经电信运营商接入实名认证的用户。(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。)b)应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:c)建立用户黑名单制度,对网站自行发现以及公安机
34、关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。6.1.3当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行:a)核对行政许可文件:b)通过行政许可主管部门的公开信息:c)通过行政许可主管部门的验证电话、验证平台。6.2违法有害信息防范和处置6.2.1公司采取管理与技术措施,及时发现和停止违法有害信息发布。6.2.2公司采用人工或自动化方式,对发布的信息逐条审核。采取技术措施过滤违法有害信息,包括且不限于:a)基于关键词的文字信息屏蔽过滤;b)基于样本数据特征值的文件屏蔽过滤;c)基于URL的屏蔽过滤。6.2.3应采取技术措施对违法有害信息的来源
35、实施控制,防止继续传播。注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。6.2.4公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。6.2.5建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括:a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安
36、机关报告,同时配合公安机关做好调查取证工作6.2.6与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内删除,相关的屏蔽过滤措施应在10min内生效。6.3破坏性程序防范6.3.1实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。6.3.2对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。7个人电子信息保护7.1.1制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。在用户注册时,在与用户签订服务协议中明示收集与使用
37、个人电子信息的目的、范围与方式。7.1.2湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个人电子信息时,取得用户的明确授权同意;公司在姜个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;法律、行政法规另有规定的,从其规定。7.1.3公司在修改个人电子信息处理时,应告知用户,并取得其同意。7.2技术措施公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:a)采用加密方式保存用户密码等重要信息b)审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露c)审计个
38、人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据d)建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销e)系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险7.3个人信息泄露事件的处理a)当发现个人电子信息泄露时间后,应:b)立即采取补救措施,防止信息继续泄露c)24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关8安全事件管理8.1安全时间管理制度8.1.1建立安全事件的
39、监测、报告和应急处置制度,确保快速有效和有序地响应安全事件.8.1.2安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。8.2应急预案制定安全事件应急处置预案,向属地公安机关宝贝,并定期开展应急演练。8.3突发公共事件处理突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:a)I级:应投入安全管理等部门80%甚至全部人力开展处置工作;b)II级:应投入安全管理等部门50%-80%的人力开展处置工作;c)III级:应投入安全管理等部门30%-50%的人力开展处置工作;d)IV级:应投入安全管理等部门30%的人力开展处置工作。8.4技术接口公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口,能确保实时,有效地提供相关证据。
