公司安全操作管理办法制订部门:XX部门编写日期:一、总则为了更好的确保XX公司网站的安全稳定运行,合理、可靠、安全、高效地组织和管理XX公司网站,提高XX公司网站的服务质量,提高维护队伍的整体素质和水平,特制订本管理制度,作为维护和管理XX公司网站的依据。二、范围本制度的适用范围包括XX公司网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(用户账号数据、用户交易数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。三、角色与责任本制度适用于XX公司网站的网络维护人员、服务器管理员、信息管理员等参阅。本制度由总裁办行政部修改和维护。四、管理制度a)系统账号管理制度XX公司网站运营的所有硬软件系统账号,包括网站系统的所有硬件网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备附属的管理系统),XX公司后台管理系统账号密码、XX公司服务器操作系统账号密码、XX公司远程控制系统账号密码、XX公司数据库账号密码、XX公司域名管理系统账号密码、官方微博、微信公众平台账号密码等。网站产品部门对以上账号密码拥有最高管理权限。系统账号密码管理制度:1)账号密码开通及使用互联网职业人第一终身定制服务平台新入职员工或系统初始使用者,开通系统账号,需向其部门分管领导提出账号开通书面申请,经直接上级办公室主任网络部门经理核准后,由账号管理专员开通其账号。2)员工密码的变更在账号管理专员创建或初始化员工帐号和密码后,员工需要立即改变初始密码。所有员工的密码必须定期进行变更(所有密码的变更周期应小于1个月,并大于5天),以最大程度确保密码的安全性。员工丢失或遗忘密码,必须向其所在部门分管领导提出书面密码初始化申请,经核准后,由账号管理专员具体实施密码的初始化程序,然后通知有关员工,并登记备案。账号管理专员在发现任何企图非法使用某员工帐号的情况时,应立即强制该员工更改密码,并记录备案。3)员工帐号的禁止在超过规定登录次数限制时,员工帐号会被系统自动锁住5。员工帐号在规定时间(30天)内没有使用,员工帐号会被账号管理专员手工禁止。员工没有按密码定期变更的规定定期修改密码,超过系统设定的时限(5天)后,员工帐号会被系统自动禁止。员工在外长期休假(事、病假)、出差,在此期间,其相应的员工帐号应被账号管理专员手工禁止。当员工发现帐号由于其他原因被禁止时,应及时报告部门分管领导和账号管理专员,账号管理专员在查明原因后再为其开通,并记录在案。4)员工帐号的删除员工如果因岗位变动而不再需要访问公司信息资源时,账号管理专员在收到该员工所在部门分管领导的书面通知后,删除该员工相应的员工帐号。员工离职后,账号管理专员在接到离职手续后,删除该员工所有的员工帐号。为了项目或其他特殊原因而临时开放的员工帐号,如不再需要,经由项目负责人或分管领导同意后,由账号管理专员立即删除。5)员工帐号权限的变更如果员工因岗位变动或其他工作原因需要修改信息系统访问权限,其部门分管领导需要互联网职业人第一终身定制服务平台书面通知账号管理专员,由账号管理专员修改权限。账号管理专员需要依照“最小需要知道”原则对员工权限分配情况进行定期检查,如有必要,将修改员工权限,并通知该员工和其部门分管领导。b)数据安全管理制度XX公司网站运营的业务数据资料,包括用户注册数据、用户交易数据、用户行为分析数据、网站操作日志数据、及整个XX公司数据库、网站源程序、网站规划运营文档等。1)网站开发人员需对数据库、网站应用程序所需以下文档整理备案,并定期更新,每周五提交网站商务中心文档管理专员,数据库方面管理文档包括:1.数据库所有表结构2.数据库表之间的关联关系3.数据缓存架构4.数据库用户账号5.数据库备份机制6.完善的数据库备份7.银行接口数据库结构部分详细说明应用程序日常管理文档包括:1..NET开发环境版本2..NET开发环境配置说明3..NET开发环境账号4..NET开发环境完整备份5.网站最新原程序完整备份6.网站原程序恢复说明7.银行接口程序部分详细说明8.银行接口程序部分备份9.网站开发程序管理规范2)数据库备份管理制度:主机的备份分两种,一种是数据的备份,另一种是系统配置的备份。网站开发人员需要作数据备份的服务器为:数据库主机、应用服务器等。所有主机均应有较详细的系统配置的备份,互联网职业人第一终身定制服务平台以便系统的恢复。重要数据应定期进行0级备份和增量备份,并妥善保存存储介质。鉴于现在网络的主机和备份介质,建议采用如下备份计划:每月做一次系统0级备份,并向网站产品部门文档管理专员提交《0级备份日志》;每周做一次增量备份,并向网站产品部门文档管理专员提交《周增量备份日志》;每个服务器至少保持最近的三个月的系统和数据备份,并向网站产品部门文档管理专员提交《系统和数据备份日志》。c)服务器安全管理制度XX公司服务器作为公司网站业务的核心存储设备,信息系统建立起有效的备份与容灾体系,在发生各类灾难时快速响应、全力保证业务连续性,将成为保证企业连续运营的关键。引进一体化的本地/异地备份与容灾体系,以及防火墙、防入侵及一体化安全网关解决方案,可自动建立定时定期自动备份计划、双击热备份、系统恢复、灾难恢复、本地及异地容灾、报警机制、安全查杀、攻击防御等,无论企业的应用服务器发生任何意外,例如,恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障,甚至整个机房毁于意外,都可以完整保护整个信息系统,保障企业最大程度的使数据丢失最少,业务中断时间最短,恢复能力最强。公司服务器与网络管理的责任部门为网络部,并由其指定责任人负责服务器与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。具体管理办法如下:1)网络部需对服务器管理相关文档整理备案,更新的文档需每周五提交网站产品部门文档管理专员,服务器方面管理文档包括:1.内部开发服务器配置详细说明2.内部服务器安全管理说明3.网站服务器配置详细说明4.网站服务器安全管理账号5.网站服务器与内部开发服务器数据通说明6.FTP服务账号、版本及配置说明7.服务器与银行交互配置详细说明)网络部每日需对服务器运行情况进行监控、检查、分析、记录等工作,形成《服务器运维日报表》,每日提交网站产品部门文档管理专员。3)网络部每周需对服务器进行杀毒、清理垃圾文件、升级补丁,保持服务器环境安全,形成《服务器安全周报表》,每周提交网站产品部门文档管理专员。4)研发人员对服务器的操作权限由网络部进行分配,并对服务器操作权限、研发人员的使用情况、操作安全等负责。5)若有突发异常事故,网络部需第一时间向总裁办汇报并协调跟进解决,以保证损失降至最低。d)公司服务器集群管理为保障公司网站、网站交易平台、内部ECP、OA等IT系统高度的稳定性、可用性、扩展性及7*24运行,现实施公司服务器集群管理办法:具体管理职责如下:1)网站产品部门对公司各网站、IT系统的运营需求及运营目标做出评估,并针对评估结果,制订《服务器集群配置及管理解决方案》及不定期的改进优化方案,并提交总裁办公会审批。2)公司技术部根据审批通过的《服务器集群配置及管理解决方案》的具体要求,负责服务器集群应用程序的配置,并每日监控服务器集群应用程序运行情况,并通过邮件向行政部提交《服务器集群应用程序监控日志》;3)网络部根据审批通过的《服务器集群配置及管理解决方案》的具体要求,负责服务器集群服务器及网络环境的配置,并每日监控集群服务器及附属网络设备运行情况,并通过邮件向行政部提交《集群服务器及附属网络设备应用程序监控日志》;4)网站商务中心、公司技术部、网络部、行政部、总裁办每月30日组织服务器集群运维情况月度会议,对本月服务器集群监控情况进行数据分析、优化改进方案研讨、执行计划制订等。若遇紧急突发情况,以上部门需第一时间组织方案研讨会,以保证服务器第一时间运行正常。具体权限设定如下:)集群服务器及附属网络设备权限由网络部设定,并提交行政部统一管理及分配;2)集群服务器应用程序管理权限由公司技术部设定,并提交行政部统一管理及分配;3)各集群硬件程序及软件程序账号、权限申请流程及管理办法,参见本制度a条“系统账号管理制度”。e)在线交易后台安全操作管理为保障网站交易平台数据、资金、核心文件等的安全,特制订在线交易后台安全操作管理制度如下:1)会员中心管理:包括XX公司供应商及采购商注册信息,默认权限由网站商务中心客服专员查阅管理,仅有查看权限。2)交易管理:自动提现申请管理:网站产品部门运营人员负责与客户自动提现服务签约,由财务人员负责签约合同扫描上传系统,并审核通过,系统执行自动提现操作。平台手续费及提现额度管理:财务人员对平台手续费金额及提现额度申请,由总裁办公会审批通过后,在系统中设置手续费金额及提现额度金额。人工提现审核:财务人员在该模块中负责超过提现额度的审核,每笔申请审核周期不超过10分钟。订单管理:网站产品部门客服人员负责平台订单查询及订单状态修改管理。3)资金管理:保证金管理:由财务人员进行客户保证金的结算、统计管理。退款退货管理:网站产品部门运营人员负责平台客户交易纠纷受理,受理通过后提出客户退款退货申请,由总裁办公会进行退款审批,审批通过后,由财务人员负责平台退款操作执行。收款管理:由财务人员进行每笔交易成功订单,交易金额、交易手续费等统计及结算。提现明细管理:由财务人员进行每笔提现金额、提现手续费等统计及结算管理。具体权限设定如下:1)XX公司在线交易后台总账号及权限由行政部统一管理及分配;2)网站产品部门根据各自业务管理需要,客服类权限账号、运营类权限账号、内容类互联网职业人第一终身定制服务平台权限账号分别向行政部申请,行政部开放后,一对一邮件发送权限。3)财务中心资金管理与交易管理,由财务中心人员分别向行政部申请,行政部开放后,一对一邮件发送权限。4)权限申请流程及管理办法,参见本制度a条“系统账号管理制度”。一、奖惩措施(仅供参考,具体需行政部制定)XX公司安全操作管理制度将由行政部进行具体负责实施,并把执行情况向办公室主任汇报,再由办公室主任直接呈报给总裁办安全管理小组,作为各部门年度目标责任制考核的内容之一。公司将对执行制度好、计算机安全工作成绩显著的部门和个人,将给予表彰和奖励;对违反本安全管理制度和信息安全工作存在隐患的部门,由总裁办信息安全管理小组发出书面整改通知,限期整改;对刻意不执行本安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改,以至造成重大安全事故和案件的,将追究其部门主要负责人和直接责任者的责任,并按《工作人员违法规章制度行为处理办法》所列的相关条款予以处理,构成犯罪的,将依法追究其刑事责任。