當(dāng)前位置：高考升學(xué)網(wǎng) > 規(guī)章制度 > 正文

公司信息安全管理制度包括哪些內(nèi)容

更新：2023-09-17 06:54:29 高考升學(xué)網(wǎng)

1.安全管理制度要求

1.1總則：為了切實(shí)有效的保證公司信息安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營(yíng)的服務(wù)能力，特制定交互式信息安全管理制度，設(shè)定管理部門(mén)及專(zhuān)業(yè)管理人員對(duì)公司整體信息安全進(jìn)行管理，以確保網(wǎng)絡(luò)與信息安全。

1.1.1建立文件化的安全管理制度，安全管理制度文件應(yīng)包括：

a)安全崗位管理制度；

b)系統(tǒng)操作權(quán)限管理；

c)安全培訓(xùn)制度；

d)用戶(hù)管理制度；

e)新服務(wù)、新功能安全評(píng)估；

公司信息安全管理制度包括哪些內(nèi)容

f)用戶(hù)投訴舉報(bào)處理；

g)信息發(fā)布審核、合法資質(zhì)查驗(yàn)和公共信息巡查；

h)個(gè)人電子信息安全保護(hù)；

i)安全事件的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度；

j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。

1.1.2安全管理制度應(yīng)經(jīng)過(guò)管理層批準(zhǔn)，并向所有員工宣貫

2.機(jī)構(gòu)要求

2.1法律責(zé)任

2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個(gè)能夠承擔(dān)法律責(zé)任的組織或個(gè)人。

2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。 3.人員安全管理

3.1安全崗位管理制度

建立安全崗位管理制度，明確主辦人、主要負(fù)責(zé)人、安全責(zé)任人的職責(zé)：崗位管理制度應(yīng)包括保密管理。

3.2關(guān)鍵崗位人員

3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求來(lái)執(zhí)行，包括：1.個(gè)人身份核查：2.個(gè)人履歷的核查：

3.學(xué)歷、學(xué)位、專(zhuān)業(yè)資質(zhì)證明：

4.從事關(guān)鍵崗位所必須的能力

3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。

3.3安全培訓(xùn)

建立安全培訓(xùn)制度，定期對(duì)所有工作人員進(jìn)行信息安全培訓(xùn)，提高全員的信息安全意識(shí)，包括：

1.上崗前的培訓(xùn)；

2.安全制度及其修訂后的培訓(xùn)；

3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓(xùn)。

應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程：

a)及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；

b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)；

c)配合公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。 3.4人員離崗

應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程：

a)及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；

b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)；

c)配合公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。

4.訪問(wèn)控制管理

4.1訪問(wèn)管理制度

建立包括物理的和邏輯的系統(tǒng)訪問(wèn)權(quán)限管理制度。

4.2權(quán)限分配

按以下原則根據(jù)人員職責(zé)分配不同的訪問(wèn)權(quán)限：

a)角色分離，如訪問(wèn)請(qǐng)求、訪問(wèn)授權(quán)、訪問(wèn)管理；

b )滿(mǎn)足工作需要的最小權(quán)限；

c)未經(jīng)明確允許，則一律禁止。

4.3特殊權(quán)限限制和控制特殊訪問(wèn)權(quán)限的分配和使用：

a)標(biāo)識(shí)出每個(gè)系統(tǒng)或程序的特殊權(quán)限；

b)按照“按需使用”、“一事一議”的原則分配特殊權(quán)限；

c)記錄特殊權(quán)限的授權(quán)與使用過(guò)程；

d)特殊訪問(wèn)權(quán)限的分配需要管理層的批準(zhǔn)。

注：特殊權(quán)限是系統(tǒng)超級(jí)用戶(hù)、數(shù)據(jù)庫(kù)管理等系統(tǒng)管理權(quán)限。

4.4權(quán)限的檢查

定期對(duì)訪問(wèn)權(quán)限進(jìn)行檢查，對(duì)特殊訪問(wèn)權(quán)限的授權(quán)情況應(yīng)在更頻繁的時(shí)間間隔內(nèi)進(jìn)行檢查，如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)及時(shí)予以調(diào)整。

5網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全

5.1 網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全

應(yīng)維護(hù)使用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全，包括：

a)實(shí)施計(jì)算機(jī)病毒等惡意代碼的預(yù)防、檢測(cè)和系統(tǒng)被破壞后的恢復(fù)措施；

b)實(shí)施7×24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測(cè)與響應(yīng)措施；

c)適用時(shí)，對(duì)重要文件的完整性進(jìn)行檢測(cè)，并具備文件完整性受到破壞后的恢復(fù)措施；

d)對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險(xiǎn)。注：系統(tǒng)脆弱性評(píng)估包括采用安全掃描、滲透測(cè)試等多種方式。

5.2備份5.2.1

應(yīng)建立備份策略，有足夠的備份設(shè)施，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時(shí)可以恢復(fù)。

5.2.2 網(wǎng)絡(luò)基礎(chǔ)服務(wù)（登錄、消息發(fā)布等）應(yīng)具備容災(zāi)能力。

5.3安全審計(jì)

5.3.1應(yīng)記錄用戶(hù)活動(dòng)、異常情況、故障和安全事件的日志。

5.3.2審計(jì)日志內(nèi)容應(yīng)包括：

a)用戶(hù)注冊(cè)相關(guān)信息，包括：

1)用戶(hù)唯一標(biāo)識(shí)；

2)用戶(hù)名稱(chēng)及修改記錄；

3)身份信息，如姓名、證件類(lèi)型、證件號(hào)碼等；

4 )注冊(cè)時(shí)間、IP地址及端口號(hào)；

5)電子郵箱地址和于機(jī)號(hào)碼；

6 )用戶(hù)備注信息；7 )用戶(hù)其他信息。

b )群組、頻道相關(guān)信息，包括：

1)創(chuàng)建時(shí)間、創(chuàng)建人、創(chuàng)建人IP地址及端口號(hào)；

2 )刪除時(shí)間、刪除人、刪除人IP地址及端口號(hào)；

3 )群組組織結(jié)構(gòu)；

4 )群組成員列表。

c)用戶(hù)登錄信息，包括：

1)用戶(hù)唯一標(biāo)識(shí)；2 )登錄時(shí)間；3 )退出時(shí)間；4 ) IP地址及端口號(hào)。

d )用戶(hù)信息發(fā)布日志，包括：1)用戶(hù)唯一標(biāo)識(shí)；2 )信息標(biāo)識(shí)；3)信息發(fā)布時(shí)間；4 ) IP地址及端口號(hào)；5 )信息標(biāo)題或摘要，包括圖片摘要。

e)用戶(hù)行為，包括：1 )進(jìn)出群組或頻道；2 )修改、刪除所發(fā)信息；3 )上傳、下載文件。

5.3.3應(yīng)確保審計(jì)日志內(nèi)容的可溯源性，即可追溯到真實(shí)的用戶(hù)ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件、短信息、網(wǎng)絡(luò)電話(huà)、即時(shí)消息、網(wǎng)絡(luò)聊天等網(wǎng)絡(luò)消息服務(wù)提供者應(yīng)能防范偽造、隱匿發(fā)送者真實(shí)標(biāo)記的消息的措施；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動(dòng)上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)審計(jì)轉(zhuǎn)換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的,應(yīng)審計(jì)原始URL與短UR L之間的映射關(guān)系。

5.3.4應(yīng)保護(hù)審計(jì)日志，保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，防止刪除、修改或覆蓋審計(jì)日志。

5.3.5應(yīng)能夠根據(jù)公安機(jī)關(guān)要求留存具備指定信息訪問(wèn)日志的留存功能。

審計(jì)日志保存周期

a )應(yīng)永久保留用戶(hù)注冊(cè)信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊(cè)信息、成員列表以及歷史變更記錄；

b)系統(tǒng)維護(hù)日志信息保存12個(gè)月以上；

c)應(yīng)留存用戶(hù)日志信息12個(gè)月以上；

d )對(duì)用戶(hù)發(fā)布的信息內(nèi)容保存6個(gè)月以上；

e)已下線的系統(tǒng)的日志保存周期也應(yīng)符合以上規(guī)定。

6應(yīng)用安全

6.1用戶(hù)管理

6.1.1向用戶(hù)宣傳法律法規(guī)，應(yīng)在用戶(hù)注冊(cè)時(shí)，與用戶(hù)簽訂服務(wù)協(xié)議，告知相關(guān)權(quán)利義務(wù)及需承擔(dān)的法律責(zé)任。

6.1.2建立用戶(hù)管理制度，包括：

a )用戶(hù)實(shí)名登記真實(shí)身份信息，并對(duì)用戶(hù)真實(shí)身份信息進(jìn)行有效核驗(yàn)，有校核驗(yàn)方法可追溯到用戶(hù)登記的真實(shí)身份，如：1)身份證與姓名實(shí)名驗(yàn)證服務(wù)：2)有效的銀行卡：3)合法、有效的數(shù)字證書(shū)：4)已確認(rèn)真實(shí)身份的網(wǎng)絡(luò)服務(wù)的注冊(cè)用戶(hù)：5)經(jīng)電信運(yùn)營(yíng)商接入實(shí)名認(rèn)證的用戶(hù)。（如某網(wǎng)站采用已經(jīng)實(shí)名認(rèn)證的第三方賬號(hào)登陸，可認(rèn)為該網(wǎng)站的用戶(hù)已進(jìn)行有效核驗(yàn)。）

b )應(yīng)對(duì)用戶(hù)注冊(cè)的賬號(hào)、頭像和備注等信息進(jìn)行審核，禁止使用違反法律法規(guī)和社會(huì)道德的內(nèi)容：

c )建立用戶(hù)黑名單制度，對(duì)網(wǎng)站自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報(bào)的多次、大量發(fā)送傳播違法有害信息的用戶(hù)納應(yīng)入黑名單管理。

6.1.3當(dāng)用戶(hù)利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時(shí)，應(yīng)查驗(yàn)其合法資質(zhì)，查驗(yàn)可以通過(guò)以下方法進(jìn)行：a )核對(duì)行政許可文件：b )通過(guò)行政許可主管部門(mén)的公開(kāi)信息: c )通過(guò)行政許可主管部門(mén)的驗(yàn)證電話(huà)、驗(yàn)證平臺(tái)。

6.2違法有害信息防范和處置

6.2.1公司采取管理與技術(shù)措施，及時(shí)發(fā)現(xiàn)和停止違法有害信息發(fā)布。

6.2.2公司采用人工或自動(dòng)化方式，對(duì)發(fā)布的信息逐條審核。

采取技術(shù)措施過(guò)濾違法有害信息，包括且不限于:a )基于關(guān)鍵詞的文字信息屏蔽過(guò)濾；b)基于樣本數(shù)據(jù)特征值的文件屏蔽過(guò)濾；c)基于URL的屏蔽過(guò)濾。

6.2.3應(yīng)采取技術(shù)措施對(duì)違法有害信息的`來(lái)源實(shí)施控制，防止繼續(xù)傳播。

注：違法有害信息來(lái)源控制技術(shù)措施包括但不限于：封禁特定帳號(hào)、禁止新建帳號(hào)、禁止分享、禁止留言及回復(fù)、控制特定發(fā)布來(lái)源、控制特定地區(qū)或指定IP帳號(hào)登陸、禁止客戶(hù)端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。

6.2.4公司建立724h信息巡查制度，及時(shí)發(fā)現(xiàn)并處置違法有害信息。

6.2.5建立涉嫌違法犯罪線索、異常情況報(bào)告、安全提示和案件調(diào)差配合制度，包括：

a)對(duì)發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶(hù)注冊(cè)信息、用戶(hù)登錄信息、用戶(hù)發(fā)布信息等記錄），并向?qū)俚毓矙C(jī)關(guān)報(bào)告

b)對(duì)于煽動(dòng)非法聚集、策劃恐怖活動(dòng)、揚(yáng)言實(shí)施個(gè)人極端暴力行為等重要情況或重大緊急事件立即向?qū)俚毓矙C(jī)關(guān)報(bào)告，同時(shí)配合公安機(jī)關(guān)做好調(diào)查取證工作

6.2.6與公安機(jī)關(guān)建立724h違法有害信息快速處置工作機(jī)制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個(gè)環(huán)節(jié)應(yīng)能再5min之內(nèi)刪除，相關(guān)的屏蔽過(guò)濾措施應(yīng)在10min內(nèi)生效。 6.3破壞性程序防范

6.3.1實(shí)施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施、并保留發(fā)現(xiàn)的破壞性程序的相關(guān)證據(jù)。

6.3.2對(duì)軟件下載服務(wù)提供者（包括應(yīng)用軟件商店），檢查用戶(hù)發(fā)布的軟件是否是計(jì)算機(jī)病毒等惡意代碼。

7個(gè)人電子信息保護(hù)

7.1.1制定明確、清楚的個(gè)人電子信息處置規(guī)則，并且在顯著位置予以公示。在用戶(hù)注冊(cè)時(shí)，在與用戶(hù)簽訂服務(wù)協(xié)議中明示收集與使用個(gè)人電子信息的目的、范圍與方式。

7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實(shí)現(xiàn)正當(dāng)商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個(gè)人信息；收集個(gè)人電子信息時(shí)，取得用戶(hù)的明確授權(quán)同意；公司在姜個(gè)人電子信息交給第三方處理時(shí)，處理方符合本制度標(biāo)準(zhǔn)的要求，并取得用戶(hù)明確授權(quán)同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

7.1.3公司在修改個(gè)人電子信息處理時(shí)，應(yīng)告知用戶(hù)，并取得其同意。

7.2技術(shù)措施

公司建立覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)的安全保護(hù)制度和技術(shù)措施，防止個(gè)人電子信息泄露、損毀、丟失，包括：

a )采用加密方式保存用戶(hù)密碼等重要信息

b )審計(jì)內(nèi)部員工對(duì)涉及個(gè)人電子信息的所有操作，并對(duì)審計(jì)進(jìn)行分析，預(yù)防內(nèi)部員工故意泄露

c )審計(jì)個(gè)人電子信息上載、存儲(chǔ)或傳輸，作為信息泄露，毀損，丟失的查詢(xún)依據(jù)

d )建立程序來(lái)控制對(duì)涉及個(gè)人電子信息的系統(tǒng)和服務(wù)的訪問(wèn)權(quán)的分配。這些程序涵蓋用戶(hù)訪問(wèn)生存周期內(nèi)的各個(gè)階段，從新用戶(hù)初始注冊(cè)到不再需要訪問(wèn)信息系統(tǒng)和服務(wù)的用戶(hù)的最終撤銷(xiāo)

e )系統(tǒng)的安全保障技術(shù)措施覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)，防止網(wǎng)絡(luò)違法犯罪活動(dòng)竊取信息，降低個(gè)人電子信息泄露的風(fēng)險(xiǎn)

7.3個(gè)人信息泄露事件的處理

a)當(dāng)發(fā)現(xiàn)個(gè)人電子信息泄露時(shí)間后，應(yīng)：

b )立即采取補(bǔ)救措施，防止信息繼續(xù)泄露

c )24小時(shí)內(nèi)告知用戶(hù)，根據(jù)用戶(hù)初始注冊(cè)信息重新激活賬戶(hù)，避免造成更大的損失立即告屬地公安機(jī)關(guān)

8安全事件管理

8.1安全時(shí)間管理制度

8.1.1建立安全事件的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度，確�？焖儆行Ш陀行虻仨憫�(yīng)安全事件.

8.1.2安全事件包括違法有害信息、危害計(jì)算機(jī)信息系統(tǒng)安全的異常情況及突發(fā)公共事件。

8.2應(yīng)急預(yù)案

制定安全事件應(yīng)急處置預(yù)案，向?qū)俚毓矙C(jī)關(guān)寶貝，并定期開(kāi)展應(yīng)急演練。

8.3突發(fā)公共事件處理

突發(fā)公共事件分為四級(jí)：I級(jí)（特別重大）、II級(jí)（重大）、III級(jí)（較大）、IV級(jí)（一般），互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立相應(yīng)處置機(jī)制，當(dāng)突發(fā)公共事件發(fā)生后，投入相應(yīng)的人力與技術(shù)措施開(kāi)展處置工作：

a)I級(jí)：應(yīng)投入安全管理等部門(mén)80%甚至全部人力開(kāi)展處置工作；

b)II級(jí)：應(yīng)投入安全管理等部門(mén)50% -80%的人力開(kāi)展處置工作；

c)III級(jí)：應(yīng)投入安全管理等部門(mén)30%-50%的人力開(kāi)展處置工作；

d)IV級(jí)：應(yīng)投入安全管理等部門(mén)30%的人力開(kāi)展處置工作。

8.4技術(shù)接口

公司網(wǎng)站所設(shè)技術(shù)接口為公安機(jī)關(guān)提供的符合國(guó)家及公共安全行業(yè)標(biāo)準(zhǔn)的技術(shù)接口，能確保實(shí)時(shí)，有效地提供相關(guān)證據(jù)。