互联网信息内容安全管理制度Word文档格式.docx
《互联网信息内容安全管理制度Word文档格式.docx》由会员分享,可在线阅读,更多相关《互联网信息内容安全管理制度Word文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
(九)转借、转让用户帐号的。
第一节互联网信息内容安全管理责任
一、互联网信息服务单位安全管理的法律责任
《计算机信息网络国际联网安全保护管理办法》第5条规定:
“任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
” 第6条规定:
“任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
” 第7条规定:
“用户的通信自由和通信秘密受法律保护。
任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。
” 第10条规定:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
”第12条规定:
“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。
《互联网信息服务管理办法》第14条规定:
“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;
互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。
互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
” 第16条规定:
“互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
二、互联网单位备案责任
互联网单位,是指在中华人民共和国境内,通过专线或接入网络与互联网相连接的单位。
互联网单位包括互联网运营单位、互联网信息服务单位、联网单位等。
《计算机信息网络国际联网安全保护管理办法》第11条规定:
“用户在接入单位办理入网手续时,应当填写用户备案表。
备案表由公安部监制。
”第23条规定:
“违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过六个月的处罚。
互联网接入服务单位、互联网数据中心、互联网信息服务单位、互联网联网单位均为备案对象。
以上单位凡服务器托管地与维护地不在同一行政区划内的,都必须向服务器托管地和维护地的公安网监部门申请备案。
备案要求如下:
(一)互联网接入服务单位(ISP)备案
1.互联网接入服务单位的界定
互联网接入服务单位(InternetServiceProvider,简称ISP),是指负责提供互联网接入网络运行的单位。
接入网络,是指通过接入互联网络进行国际联网的计算机信息网络;
接入网络可以是多级连接的网络。
2.互联网接入服务单位备案提交的材料
(1)公安部统一制定的备案表一式两份(加盖备案单位公章);
(2)本单位的计算机信息网络安全组织成员名单,包括本单位负责人、两名计算机安全员(含联系方式);
(3)信息网络安全专业技术人员继续教育证书(或计算机安全员证书)复印件;
(4)本单位的计算机信息网络安全保护管理制度,包括互联网公用帐号登记制度、互联网安全保护管理制度、互联网安全应急处置制度等;
(5)互联网安全保护技术措施,包括网络安全审计、防病毒防黑客攻击措施等;
(6)本单位的网络拓扑图(标明内部IP使用情况);
(7)本单位的IP分配、使用和变更情况;
(8)本单位的接入方式,使用、新增和变更情况;
(9)本单位的用户注册登记、使用与变更情况(包括固定IP用户、动态IP用户、托管主机用户)。
(二)互联网数据中心(IDC)备案
1.互联网数据中心的界定
互联网数据中心(InternetDataCenter,简称IDC),是指向企业、商户或网站服务器群提供大规模、高质量、安全可靠的专业化服务器托管、虚拟空间租用、网络带宽出租等业务的平台。
2.互联网数据中心备案提交的材料
(1)公安部统一制定的备案表一式两份(加盖备案单位公章)。
(2)本单位的计算机信息网络安全组织成员名单,包括本单位负责人、两名计算机安全员(含联系方式)。
(3)信息网络安全专业技术人员继续教育证书(或计算机安全员证书)复印件。
(4)本单位的计算机信息网络安全保护管理制度,包括信息发布审核制度、24小时交互式栏目信息巡查制度、互联网公用帐号登记制度、互联网安全管理制度、互联网安全应急处置制度等。
(5)互联网安全保护技术措施,包括网络安全审计、防病毒防黑客攻击措施等。
(6)本单位的网络拓扑图(标明内部IP使用情况)。
(7)本单位IP分配、使用和变更情况。
(8)本单位所有托管主机服务用户的基本情况,包括网站相关资料、负责人信息、联系方式等。
(三)互联网信息服务单位(ICP)备案
1.互联网信息服务单位的界定
互联网信息服务单位(InternetContentProvider,简称ICP),是指通过互联网向上网用户提供信息服务活动的单位。
2.互联网信息服务单位备案提交的材料
个人网站应提交计算机安全员名单及联系方式。
(4)本单位的计算机信息网络安全保护管理制度,包括信息发布审核制度、24小时交互式栏目信息巡查制度、互联网公用帐号登记制度、互联网安全保护管理制度、互联网安全应急处置制度等。
(7)网站网页基本情况,网页栏目设置与变更及栏目负责人的情况。
(8)提供服务或开办栏目的种类,重点说明新闻、交互式栏目、邮件服务、搜索引擎等情况;
针对各种服务类型制定的安全保护管理制度及安全保护技术措施等。
(四)互联网联网单位备案
1.互联网联网单位备案的界定
互联网联网,是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相连接。
互联网联网单位,是指通过接入网络与互联网连接的计算机信息网络用户。
社区、学校、图书馆、宾馆、咖啡馆、娱乐休闲中心等向特定对象提供上网服务的场所也应纳入互联网联网单位管理。
2.互联网联网单位备案提交的材料
(4)本单位的计算机信息网络安全保护管理制度,包括互联网安全保护管理制度、互联网安全应急处置制度等;
三、互联网信息服务单位安全管理责任
(一)互联网信息服务单位建立安全管理制度的责任要求
(1)建立用户、个人上网日志记录保存制度。
交互式栏目记录发帖用户IP地址、时间;
主页修改访问记录访问者的IP地址、起始时间和终止时间。
以上原始记录应至少保留60天,并在公安机关依法检查或查询时,予以提供。
(2)建立信息发布和链接网站审核、登记制度。
网站对委托发布信息源的单位和个人进行登记,信息源单位须凭单位介绍信,个人须凭有效身份证件办理委托发布信息的手续;
对信息源单位提供的信息内容要依照《计算机信息网络国际联网安全保护管理办法》中第4条和第5条的规定进行审核;
对本网站上的宣传主页及链接站点要经常进行检查,发现问题后应在24小时内报告当地公安网监部门,备份后删除。
(3)建立聊天室、电子公告栏、留言板、个人主页上传服务等交互式栏目的信息监视、保存、清除和备份制度。
网站应建立由信息审核员(开办单位)、站长(BBS站)、栏目主持人(各类栏目)组成的三级管理,分级负责制。
开设BBS的网站应设专职的BBS站长,站长负责对栏目的设置、栏目主持人的资格进行严格考察,明确规定开办的栏目内容和范围;
栏目主持人要加强对用户的正确引导和管理,对栏目信息要经常检查,发现重大事件及时报告。
实行信息监控制度,发现有害信息做好备份并及时删除,同时报告公安机关:
①栏目明确制度。
网站应明确BBS开设的各具体栏目和类别,如时事论坛、网民聊天室、文化艺术类留言板、IT行业布告板、新闻跟帖等。
②实行版主负责制度。
网站开设BBS时应有专门人员对BBS实施有效管理。
获准开展BBS的网站必须对获得批准的各个BBS栏目指定专门人员作为版主,并实行版主责任制。
版主负责监管该栏目的信息内容,除采取必要的技术手段外,应对登载的信息负有人工过滤、筛选和监控的责任。
一旦发现BBS栏目中有违法违规的内容,将追究网站和该栏目版主的责任并予以处理。
③对BBS用户发出的信息应预先进行技术和人工审核。
(4)建立搜索引擎安全保护管理制度。
(5)建立异常情况及违法犯罪案件报告和协查制度。
落实案件、事故报告和调查协助工作机制,凡发现有违反国家法律、法规的行为,应保留有关原始记录,做好数据备份,并于24小时之内向当地公安机关报告,重大案件和事故应立即报告,并配合公安机关做好调查处置工作。
(6)建立安全教育和培训制度。
对网站相关部门的安全专管员、技术员等进行定期或不定期的安全教育和培训,积极参加公安机关开展的专题安全培训工作,并建立培训台账。
(7)建立重要网络系统的系统备份及应急预案制度。
针对网站实际建立信息网络重大事故案件应急预案工作机制,定期或不定期进行演习,并建立工作台账。
(二)电子邮件服务安全管理责任要求
1.电子邮件服务安全管理责任
(1)应当将电子邮件服务和使用规则告知用户,并向用户提供举报和投诉垃圾电子邮件的方式。
(2)电子邮件服务器应当使用固定IP地址。
(3)应当及时堵塞电子邮件服务器安全漏洞。
(4)向用户提供群组发送电子邮件服务的,应当建立相应的管理制度。
(5)提供公众电子邮件服务的,应当向用户提供自行屏蔽垃圾电子邮件的方式。
(6)应当遵守国家相关管理规定和技术标准。
(7)应当对用户的电子邮件内容和个人信息采取保密措施,除国家有关机关依法检查外,不得向他人提供用户的电子邮件内容和个人信息,不得将用户的个人信息用于获取目的以外的其他用途。
2.安全保护管理制度要求
(1)网络安全漏洞检测和系统升级管理制度。
必须定期对电子邮件服务器进行安全漏洞检测,同时对系统进行升级。
(2)操作权限管理制度。
规范管理电子邮件服务器管理员的管理权限,确保责任落实到人。
(3)用户登记、验证制度。
用户必须注册后才可使用电子邮箱。
对外提供电子邮件服务的,用户的注册资料必须包括用户的手机号码或常用的电子邮箱,网站必须对用户注册的手机号码或电子邮箱进行验证;
对单位内部提供电子邮件服务的,负责电子邮件服务开设的管理员必须妥善保管用户递交的电子邮件开通申请或开通登记表中用户的姓名及联系方式等信息。
(4)建立应急处置预案。
有关单位应当建立对网络突发事件的应急处置预案。
(5)报警制度。
对电子邮件服务器中发生的安全事故及各种违法事件,维护单位应当采取应急处置预案,保留有关原始记录,在24小时内向当地公安网监部门报告。
(6)协查制度。
公安机关行政执法过程中,有关单位应当如实提供有关资料,并提供相关技术支持和必要协助。
(7)联络制度。
设定专人24小时与公安机关保持畅通的联系渠道,联系方式必须包括手机、值班电话、电子邮箱,如有变更,应及时与公安机关联系。
(8)告知制度。
应当将电子邮件服务和使用规则告知用户,服务商应向用户公示举报和投诉有害垃圾电子邮件的方式,建立反有害垃圾电子邮件工作制度;
同时还应公布公安机关的举报电话和举报电子邮箱。
3.安全保护技术措施要求
(1)垃圾电子邮件清理功能技术要求:
①具备对发送垃圾电子邮件的特定网络地址、电子邮箱进行屏蔽的功能;
②具备限制来自相同客户端网络地址的并发连接数量超过最大限制值的功能;
③具备限制来自相同客户端网络地址的连接频率超过最大限制值的功能;
④具备限制本地电子邮件用户一次性发送同一电子邮件发送数量的功能;
⑤具备判别电子邮件虚假路由,对伪造虚假路由的电子邮件限制发送的功能;
⑥具备关闭电子邮件服务器匿名转发或采取用户身份认证、电子邮件转发授权控制措施的功能;
⑦具备对大量群发、连发同样特征的已知垃圾电子邮件进行拦截的功能,其中特征指电子邮件长度、信头字段、信体符合特定条件。
(2)通过在线或者离线两种方式向公安机关提供有害垃圾电子邮件。
(三)互联网娱乐平台安全管理责任要求
互联网娱乐平台安全管理单位,是指以公共信息网络为平台,发行、运营互联网网络游戏的单位和互联网网络游戏开发、代理、运营的单位。
1.安全保护管理制度要求
(1)建立用户发布信息责任公告制度和有害信息用户举报渠道。
(2)发生网络安全事故、事件的报告制度。
(3)发现含有有害信息的地址、目录或者服务器时,应当通知有关单位关闭或删除。
(4)建立健全网上违法犯罪案件协查工作制度。
对各种违法事件,维护单位应当采取应急处置预案,保留有关原始记录,在24小时内向当地公安网监部门报告。
(6)联络制度。
2.安全保护技术措施要求
(1)留存用户注册信息,记录用户登录和退出的网络地址、时间,并留存60天。
用户自己注销帐户后,该帐户信息及其之前上网记录应保留60天后再删除。
(2)有害信息过滤、删除、留存措施。
(3)联网报警措施。
(4)网络游戏用户虚拟财产保护技术措施。
(四)点对点信息服务安全管理责任要求
点对点信息服务安全管理单位,是指以点对点共享网络为平台,进行点对点文件共享和数据交互及其他点对点信息服务的单位。
(2)建立信息安全管理人员教育和培训制度。
(3)报警制度。
对各种违法事件,维护单位应当采取应急处置预案,保留有关原始记录,在24小时内向所在地公安网监部门报告。
(4)联络制度。
(2)信息发布、信息搜索、消息广播和文件共享服务中对有害信息的过滤。
(五)互联网短信息安全管理责任要求
互联网短信息服务安全管理单位,是指以互联网信息服务单位提供的信息交换平台进行文字、图片等短信息交流的单位。
(1)留存用户注册信息,记录用户登录和退出的网络地址、时间,记录用户发送的短信息时间、源地址和目标地址,并留存60天。
(2)具有对同一用户大量发送短信息、发送有害短信息的发现报警和限制功能。
(六)网上公共信息场所安全管理责任要求
网上公共信息场所安全管理单位,是指通过互联网向上网用户提供信息或者电子公告、BBS、论坛、网络聊天室、网页制作、即时通讯等交互形式,为上网用户提供信息发布条件,为市民提供公共信息场所的单位。
(1)信息先审后发制度。
通过人工或者技术的方式,对用户发布在网上公共信息场所的信息实行先审后发。
(2)信息巡查报告制度。
实行人工信息巡查,发现有害信息时,应做好备份并及时删除,同时报告公安机关。
(3)异常情况及违法犯罪案件报告和协查制度。
落实案件、事故报告和调查协助工作机制,凡发现有违反国家法律、法规的行为,应保留有关原始记录,做好数据备份,并于24小时之内向当地公安机关报告,重大案件应立即报告,并配合做好调查处置工作。
(4)安全教育和培训制度。
对网上公共信息场所信息安全管理员、技术员等进行定期或不定期的安全教育和培训,积极参加公安机关开展的专题安全培训工作。
(5)重要网络系统的系统备份及应急预案制度。
针对网上公共信息场所实际建立信息网络重大事故案件应急预案工作机制,定期或不定期进行演练,并建立工作台账。
(1)建立BBS、论坛、留言板、聊天室等交互式栏目日志记录。
(2)留存用户登录、退出等日志记录60天以上。
(3)对发送有害信息的特定IP地址进行采取技术限制措施。
(4)对有害信息进行技术过滤。
第二节安全管理人员岗位制度
一、安全管理人员概述
(一)人员管理规则
安全管理人员的安全职责应该在聘用员工的阶段就开始实施,还应包括在合同中,并在员工的聘用期内实施监督机制。
对将要聘用的员工应该给予充分的筛选,特别是从事敏感工作的员工。
所有使用信息处理设备的员工和第三方用户都要签署保密协议。
1.工作职责中的安全要求
应该对组织信息安全方针中所规定的安全作用和责任进行恰当的表述。
这些作用和责任应该包括实施和维护安全方针的总体责任、保护特定资产和执行特定的安全流程或行为的具体责任。
2.人员任用方针
对于申请长期工作的员工,要进行资格检查,应当包括以下的管理措施:
(1)是否具有令人满意的人品推荐材料,如针对一份工作的或针对一名员工的推荐材料;
(2)对申请人的简历的完整性和准确性的检查;
(3)对申请人的学术和专业资格的认可;
(4)独立的身份检查(护照或类似的证明材料)。
管理人员应该对有权访问敏感系统的新员工或是缺乏经验的员工进行监督。
所有员工的工作应该接受定期的检查,审批程序应该由员工中的资深人员来进行。
管理人员应该意识到员工的个人环境会影响其工作。
个人问题或是经济问题会改变员工的行为或生活方式,引起精神压力或忧郁。
因此类变化会导致诈骗、盗窃、错误或其他安全隐患,所以,应该依据相应权限范围内适当的法规来处理这类问题。
3.保密协议
保密或不泄密协议的目的是对保密性的秘密信息给出声明。
员工通常都要签订此类协议,作为他们受雇的首要条件。
对于没有签订保密协议的临时员工和第三方用户,应要求他们在有权访问信息处理设备之前签订保密协议。
在雇用条款或合同发生变化时,特别是员工要离开组织或合同到期时都应对保密协议进行审查。
4.员工守则
员工守则应该说明员工在信息安全方面的责任。
如
升级会员 