信息安全管理制度

信息安全管理制度目 錄安全管理制度要求1.1總則：為了切實(shí)有效的保證公司信息安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營(yíng)的服務(wù)能力，特制定交互式信息安全管理制度， 設(shè)定管理部門及專業(yè)管理人員對(duì)公司整體信息安全進(jìn)行管理，以確保網(wǎng)絡(luò)與信息安全。1.1.1建立文件化的安全管理制度，安全管理制度文件應(yīng)包括：a)安全崗位管理制度；系統(tǒng)操作權(quán)限管理；c)安全培訓(xùn)制度；用戶管理制度；新服務(wù)、新功能安全評(píng)估；用戶投訴舉報(bào)處理；g)信息發(fā)布審核、合法資質(zhì)查驗(yàn)和公共信息巡查；個(gè)人電子信息安全保護(hù)；i)安全事件的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度；j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。1.1.2安全管理制度應(yīng)經(jīng)過管理層批準(zhǔn)，并向所有員工宣貫機(jī)構(gòu)要求2.1法律責(zé)任2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個(gè)能夠承擔(dān)法律責(zé)任的組織或個(gè)人。2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。人員安全管理3.1安全崗位管理制度建立安全崗位管理制度， 明確主辦人、主要負(fù)責(zé)人、安全責(zé)任人的職責(zé)：崗位管理制度應(yīng)包括保密管理。3.2關(guān)鍵崗位人員3.2.1 關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求來執(zhí)行，包括： 1.個(gè)人身份核查： 2.個(gè)人履歷的核查：3.學(xué)歷、學(xué)位、專業(yè)資質(zhì)證明：4.從事關(guān)鍵崗位所必須的能力3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。3.3安全培訓(xùn)建立安全培訓(xùn)制度， 定期對(duì)所有工作人員進(jìn)行信息安全培訓(xùn)， 提高全員的信息安全意識(shí)，包括：1.上崗前的培訓(xùn)；2.安全制度及其修訂后的培訓(xùn)；3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓(xùn)。應(yīng)嚴(yán)格規(guī)范人員離崗過程：a)及時(shí)終止離崗員工的所有訪問權(quán)限；關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開；c)配合公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。3.4人員離崗應(yīng)嚴(yán)格規(guī)范人員離崗過程：a)及時(shí)終止離崗員工的所有訪問權(quán)限；關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開；c)配合公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。訪問控制管理4.1訪問管理制度建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度 。4.2權(quán)限分配按以下原則根據(jù)人員職責(zé)分配不同的訪問權(quán)限 ：角色分離，如訪問請(qǐng)求、訪問授權(quán)、訪問管理；b)滿足工作需要的最小權(quán)限 ；c)未經(jīng)明確允許 ，則一律禁止 。4.3特殊權(quán)限限制和控制特殊訪問權(quán)限的分配和使用：a)標(biāo)識(shí)出每個(gè)系統(tǒng)或程序的特殊權(quán)限；按照“按需使用”、“一事一議”的原則分配特殊權(quán)限；c)記錄特殊權(quán)限的授權(quán)與使用過程；特殊訪問權(quán)限的分配需要管理層的批準(zhǔn)。注：特殊權(quán)限是系統(tǒng)超級(jí)用戶、數(shù)據(jù)庫(kù)管理等系統(tǒng)管理權(quán)限。4.4權(quán)限的檢查定期對(duì)訪問權(quán)限進(jìn)行檢查，對(duì)特殊訪問權(quán)限的授權(quán)情況應(yīng)在更頻繁的時(shí)間間隔內(nèi)進(jìn)行檢查，如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)及時(shí)予以調(diào)整。網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全5.1網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全應(yīng)維護(hù)使用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全，包括：實(shí)施計(jì)算機(jī)病毒等惡意代碼的預(yù)防、檢測(cè)和系統(tǒng)被破壞后的恢復(fù)措施；實(shí)施7×24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測(cè)與響應(yīng)措施；c)適用時(shí)，對(duì)重要文件的完整性進(jìn)行檢測(cè)， 并具備文件完整性受到破壞后的恢復(fù)措施；對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險(xiǎn)。注：系統(tǒng)脆弱性評(píng)估包括采用安全掃描、滲透測(cè)試等多種方式。5.2備份5.2.1應(yīng)建立備份策略 ，有足夠的備份設(shè)施 ，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時(shí)可以恢復(fù)。5.2.2網(wǎng)絡(luò)基礎(chǔ)服務(wù)（登錄 、消息發(fā)布等）應(yīng)具備容災(zāi)能力 。5.3安全審計(jì)5.3.1應(yīng)記錄用戶活動(dòng)、異常情況、故障和安全事件的日志。5.3.2審計(jì)日志內(nèi)容應(yīng)包括：a)用戶注冊(cè)相關(guān)信息，包括：1)用戶唯一標(biāo)識(shí)；2)用戶名稱及修改記錄；3)身份信息，如姓名、證件類型、證件號(hào)碼等；4)注冊(cè)時(shí)間、IP地址及端口號(hào)；5)電子郵箱地址和于機(jī)號(hào)碼；6)用戶備注信息；7)用戶其他信息。b)群組、頻道相關(guān)信息，包括：1)創(chuàng)建時(shí)間、創(chuàng)建人、創(chuàng)建人IP地址及端口號(hào)；2)刪除時(shí)間、刪除人、刪除人IP地址及端口號(hào)；3)群組組織結(jié)構(gòu)；4)群組成員列表。用戶登錄信息，包括：間；

1)用戶唯一標(biāo)識(shí) ；2)登錄時(shí)間 ；3)退出時(shí)間 ；4)IP地址及端口號(hào)d)用戶信息發(fā)布日志 ，包括 ：1)用戶唯一標(biāo)識(shí) ；2)信息標(biāo)識(shí)4)IP地址及端口號(hào) ；5)信息標(biāo)題或摘要 ，包括圖片摘要 。e)用戶行為 ，包括 ：1)進(jìn)出群組或頻道 ；2)修改 、刪除所發(fā)信息；

。；3)3)

信息發(fā)布時(shí)上傳、下載文件

。5.3.3應(yīng)確保審計(jì)日志內(nèi)容的可溯源性，即可追溯到真實(shí)的用戶 ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件 、短信息、網(wǎng)絡(luò)電話、 即時(shí)消息 、網(wǎng)絡(luò)聊天等網(wǎng)絡(luò)消息服務(wù)提供者應(yīng)能防范偽造

、隱匿發(fā)送者真實(shí)標(biāo)記的消息的措施

；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動(dòng)上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)

審計(jì)轉(zhuǎn)換前后的地址與端口信息；

涉及短網(wǎng)址服務(wù)的

,應(yīng)審計(jì)原始

URL

與短

URL

之間的映射關(guān)系

。5.3.4應(yīng)保護(hù)審計(jì)日志，

保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，

防止刪除、 修改或覆蓋審計(jì)日志。5.3.5應(yīng)能夠根據(jù)公安機(jī)關(guān)要求留存具備指定信息訪問日志的留存功能。審計(jì)日志保存周期a)應(yīng)永久保留用戶注冊(cè)信息 、好友列表及歷史變更記錄 ，永久記錄聊天室（頻道 、群組）注冊(cè)信息、成員列表以及歷史變更記錄 ；b)系統(tǒng)維護(hù)日志信息保存

12個(gè)月以上

；c)應(yīng)留存用戶日志信息

12個(gè)月以上

；d)對(duì)用戶發(fā)布的信息內(nèi)容保存

6個(gè)月以上

；e)已下線的系統(tǒng)的

日志保存周期也應(yīng)符合以上規(guī)定

。6應(yīng)用安全6.1用戶管理6.1.1向用戶宣傳法律法規(guī)

，應(yīng)在用戶注冊(cè)時(shí)

，與用戶簽訂服務(wù)協(xié)議

，告知相關(guān)權(quán)利義務(wù)及需承擔(dān)的

法律責(zé)任

。6.1.2建立用戶管理制度，包括：a)用戶實(shí)名登記真實(shí)身份信息 ，并對(duì)用戶真實(shí)身份信息進(jìn)行有效核驗(yàn)可追溯到用 戶登記的真實(shí)身份， 如：1)身份證與姓名實(shí)名驗(yàn)證服務(wù)：法、有效的數(shù)字證書： 4)已確認(rèn)真實(shí)身份的網(wǎng)絡(luò)服務(wù)的注冊(cè)用戶：

，有校核驗(yàn)方法2)有效的銀行卡： 3)合5)經(jīng)電信運(yùn)營(yíng)商接入實(shí)名認(rèn)證的用戶。（如某網(wǎng)站采用已經(jīng)實(shí)名認(rèn)證的第三方賬號(hào)登陸，可認(rèn)為該網(wǎng)站的用戶已進(jìn)行有效核驗(yàn)。）b)應(yīng)對(duì)用戶注冊(cè)的賬號(hào)、頭像和備注等信息進(jìn)行審核，禁止使用違反法律法規(guī)和社會(huì)道德的內(nèi)容：c)建立用戶黑名單制度， 對(duì)網(wǎng)站自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報(bào)的多次、 大量發(fā)送傳