信息安全管理制度

1、信息安全管理制度目錄1.安全管理制度要求1.1總則：為了切實有效的保證公司信息安全，提高信息系統(tǒng)為公司生產經營的服務能力，特制定交互式信息安全管理制度，設定管理部門及專業(yè)管理人員對公司整體信息安全進行管理，以確保網絡與信息安全。1.1.1建立文件化的安全管理制度，安全管理制度文件應包括：a)安全崗位管理制度；b)系統(tǒng)操作權限管理；c)安全培訓制度；d)用戶管理制度；e)新服務、新功能安全評估；f)用戶投訴舉報處理；g)信息發(fā)布審核、合法

2、資質查驗和公共信息巡查；h)個人電子信息安全保護；i)安全事件的監(jiān)測、報告和應急處置制度；j)現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。1.1.2安全管理制度應經過管理層批準，并向所有員工宣貫2.機構要求2.1法律責任2.1.1互聯(lián)網交互式服務提供者應是一個能夠承擔法律責任的組織或個人。2.1.2互聯(lián)網交互式服務提供者從事的信息服務有行政許可的應取得相應許可。3.人員安全管理3.1安全崗位管理制度建立安全崗位管理制度，明確主辦人、主要負

3、責人、安全責任人的職責：崗位管理制度應包括保密管理。3.2關鍵崗位人員3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規(guī)、道德規(guī)范和對應的業(yè)務要求來執(zhí)行，包括：1.個人身份核查：2.個人履歷的核查：3.學歷、學位、專業(yè)資質證明：4.從事關鍵崗位所必須的能力3.2.2應與關鍵崗位人員簽訂保密協(xié)議。3.3安全培訓建立安全培訓制度，定期對所有工作人員進行信息安全培訓，提高全員的信息安全意識，包括：1.上崗前的培訓；2.安全制度及其修

4、訂后的培訓；3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓。應嚴格規(guī)范人員離崗過程：a)及時終止離崗員工的所有訪問權限；b)關鍵崗位人員須承諾調離后的保密義務后方可離開；c)配合公安機關工作的人員變動應通報公安機關。6)用戶備注信息；7)用戶其他信息。b)群組、頻道相關信息，包括：1)創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人IP地址及端口號；2)刪除時間、刪除人、刪除人IP地址及端口號；3)群組組織結構；4)群組成員列表。c)用戶登錄信息，包括：1)用戶唯一標

5、識；2)登錄時間；3)退出時間；4)IP地址及端口號。d)用戶信息發(fā)布日志，包括：1)用戶唯一標識；2)信息標識；3)信息發(fā)布時間；4)IP地址及端口號；5)信息標題或摘要，包括圖片摘要。e)用戶行為，包括：1)進出群組或頻道；2)修改、刪除所發(fā)信息；3)上傳、下載文件。5.3.3應確保審計日志內容的可溯源性，即可追溯到真實的用戶ID、網絡地址和協(xié)議。電子郵件、短信息、網絡電話、即時消息、網絡聊天等網絡消息服務提供者應能防范偽造、隱匿發(fā)

6、送者真實標記的消息的措施；涉及地址轉換技術的服務，如移動上網、網絡代理、內容分發(fā)等應審計轉換前后的地址與端口信息；涉及短網址服務的應審計原始URL與短URL之間的映射關系。5.3.4應保護審計日志，保證無法單獨中斷審計進程，防止刪除、修改或覆蓋審計日志。5.3.5應能夠根據(jù)公安機關要求留存具備指定信息訪問日志的留存功能。審計日志保存周期a)應永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及

7、歷史變更記錄；b)系統(tǒng)維護日志信息保存12個月以上；c)應留存用戶日志信息12個月以上；d)對用戶發(fā)布的信息內容保存6個月以上；e)已下線的系統(tǒng)的日志保存周期也應符合以上規(guī)定。6應用安全6.1用戶管理6.1.1向用戶宣傳法律法規(guī)，應在用戶注冊時，與用戶簽訂服務協(xié)議，告知相關權利義務及需承擔的法律責任。6.1.2建立用戶管理制度，包括：a)用戶實名登記真實身份信息，并對用戶真實身份信息進行有效核驗，有校核驗方法可追溯到用戶登記的真實身份，

8、如：1)身份證與姓名實名驗證服務：2)有效的銀行卡：3)合法、有效的數(shù)字證書：4)已確認真實身份的網絡服務的注冊用戶：5)經電信運營商接入實名認證的用戶。（如某網站采用已經實名認證的第三方賬號登陸，可認為該網站的用戶已進行有效核驗。）b)應對用戶注冊的賬號、頭像和備注等信息進行審核，禁止使用違反法律法規(guī)和社會道德的內容：c)建立用戶黑名單制度，對網站自行發(fā)現(xiàn)以及公安機關通報的多次、大量發(fā)送傳播違法有害信息的用戶納應入黑名單管理。6.1.