搜索
信息安全负责人联系电话(手机)网络与信息安全保障措施信息安全管理组织机构设置及工作职责网络与信息安全管理人员配备情况及相应资质信息安全管理责任制有害信息发现受理处置机制有害信息投诉受理处置机制重大信息安全事件应急处置和报告制度信息安全管理政策和业务培训制度网络安全管理责任制度网络安全防护制度网络安全事件应急处置和报告制度有害信息发现和过滤技术手段用户日志留存所采用的技术手段网络安全防护技术手段安全联络员变动承诺其他安全管理组织机构及岗位职责1总则1.1为规范大连比来比去网络科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。2范围本管理办法适用于公司的信息安全组织机构和重要岗位的管理。3规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准《信息安全技术信息系统安全保障评估框架》(GB/T20274.1-2006)《信息安全技术信息系统安全管理要求》(GB/T20269-2006)《信息安全技术信息系统安全等级保护基本要求》(GBT22239-2008)4组织机构4.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。4.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。4.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。4.4信息安全工作组的主要职责包括:4.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;4.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;4.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;4.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;4.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;4.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;4.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。4.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。4.5应急处理工作组的主要职责包括:4.5.1审定公司网络与信息系统的安全应急策略及应急预案;4.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;4.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。4.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。5关键岗位5.1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。5.2系统管理员主要职责有:5.2.1负责系统的运行管理,实施系统安全运行细则;5.2.2严格用户权限管理,维护系统安全正常运行;5.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件;5.2.4对进行系统操作的其他人员予以安全监督。5.3网络管理员主要职责有:5.3.1负责网络的运行管理,实施网络安全策略和安全运行细则;5.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;5.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;5.3.4对操作网络管理功能的其他人员进行安全监督。5.4应用开发管理员主要职责有:5.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;5.4.2系统投产运行前,完整移交系统相关的安全策略等资料;5.4.3不得对系统设置“后门”;5.4.4对系统核心技术保密等。5.5安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:5.5.1按操作员证书号进行审计;5.5.2按操作时间审计;5.5.3按操作类型审计;5.5.4事件类型进行审计;5.5.5日志管理等。5.6安全保密管理员负责日常安全保密管理活动,主要职责有:5.6.1监视全网运行和安全告警信息5.6.2网络审计信息的常规分析5.6.4安全设备的常规设置和维护5.6.5执行应急中心制定的具体安全策略5.6.6向应急管理机构和领导机构报告重大的网络安全事件等。6附则6.1本办法由比来比去网络科技有限公司负责解释。6.2本办法自发布之日起施行。网络与信息安全管理人员配备情况及相应资质填表单位盖章:附:主要管理、技术人员身份证、学历或职称证书复印件(5人以上)姓名身份证号码性别学历毕业学校专业职称类别李xx男本科至少3个计算机专业杨xx女本科王xx韩xx徐xx雷xx信息安全管理责任制网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。1网站运行安全保障措施1.1网站服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。1.2在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。1.3做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。1.4交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。1.5网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。1.6关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。1.7服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。1.8网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。2信息安全保密管理制度2.1我司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。2.2网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。2.3遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。2.4所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。2.5制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。3用户信息安全管理制度3.1我司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。3.2所有用户信息将得到本公司网站系统的安全保存,并在和用户签署的协议规定时间内保证不会丢失;3.3严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。3.4公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守相应规章制度。3.5我司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定两名安全负责人作为突发事件处理的联系人。有害信息发现受理处置机制1为了加强网络安全保护,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》及其他有关法律、行政法规的规定,制定本机制。2有害信息时间是指单位和个人利用网络资源制作、复制、查阅及传播下列的事件:2.1煽动抗拒、破坏宪法和法律、行政法规实施的;2.2煽动颠覆国家政权、推翻社会主义制度的;2.3煽动分裂国家、破坏国家统一的;2.4煽动民族仇恨、民族歧视、破坏民族团结的;2.5捏造或者歪曲事实,散布谣言,扰乱社会秩序的;2.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;2.7公然侮辱他人或者捏造事实诽谤他人的;2.8损害网站形象和网站利益的;2.9其他违反宪法和法律、行政法规的。信息安全小组负责对公司所有网络资源进行实时监控,做到及时发现、即时处理的原则办理,并对处理结果备案,对重大有害信息事件,应在第一时间上报主管领导及相关部门。信息安全小组负责界定、监控、受理有害信息事件,要做到即接快办;夜间、节假日值班期间接到、发现的,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记(如遇紧急情况,可直接关闭服务器等设备,暂停网络运行)。负责查办的相关人员接到交办的事件后,应及时安排办理,要求在最短时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明情况,可适当延长处理时间,处理结果应及时反馈给信息安全小组组长。在处理有害信息事件时,应按照处理流程,及时填写相应表单,并随处理结果报告一并存档。处理人员应对重大有害信息事件的举报人、发现人要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。有害信息投诉受理处置机制1为了加强对网络的安全保护,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》及其他有关法律、行政法规的规定,制定本机制。2举报、投诉中心设在集团信息部。举报投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设置举报箱。3受理的有害信息投诉事件主要指单位和个人利用网络制作、复制、查阅和传播下列信息的事件:3.1煽动抗拒、破坏宪法和法律、行政法规实施的;3.2煽动颠覆国家政权、推翻社会主义制度的;3.3煽动分裂国家、破坏国家统一的;3.4煽动民族仇恨、民族歧视,破坏民族团结的;3.5捏造或者歪曲事实,散布谣言,扰乱社会秩序的;3.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;3.7公然侮辱他人或者捏造事实诽谤他人的;