科技有限公司ICP年检资汇编.docx

1、#科技有限公司年检资汇编1. 业务介绍：提供商品交易服务，网上商品交易服务，业务开通区域为省，开通时间为2017年11月，用户20个，月活跃用户数为10个，日活跃用户为3个。2. 安全组织机构和人员：技术负责人:信息安全负责人;客户服务负责人:3. 信息安全管理制度：建立以单位领导为首的信息安全管理机构，成员包括信息管理员、技术员。设有信息安全管理保障工作组，对信息安全提供预警、救援、恢复、监控和测评，负责网络与信息安全保障体系建设的规划、协调和监督，并对相关重大事项做出决定。 建立健全的单位信息网络安全小组。安全小组由单位领导负责，网络技术、安全保卫、主页主管部门参加，并确定一名安全负责人作

2、为网站突发事件处理的联系人 。各单位及时检查网络、网站、网络节点安全保障措施。检查发现在网管、实时监测、防火墙、防病毒等方面存在问题，网站管理部门将督促整改，探索和建立互联网信息安全管理长效工作机制。 信息安全管理工作组负责公司的信息安全工作，并对执行情况进行检查监督。各部门根据各自的职能分工负责与部门信息安全相关的具体工作。 遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息

3、或网页。 公司其他部门员工在使用计算机过程中需寻求技术帮助时，技术部人员一律不得拒绝。 网络管理员必须定期了解、检查网络运行情况并作如实记录，发现问题及时分析解决，对各类网络记录不得擅自删除。 我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。 各岗位员工应严格遵守保密制度，对各自的系统口令保密，禁止越权操作；为保障公司数据、信息、资料的准确、安全、可靠，应对重要的信息处理系统加

4、设系统口令，防止泄露机密信息。 网络管理员应当依据公司制定的计算机安全保密管理的具体措施对上传信息严格审查，严禁将涉及国家秘密、公司秘密的信息在网络上传输。 网络管理员负有安全管理和规范操作的义务。若因违反操作而引发的事故, 公司将按有关规定追究其责任。 明确各级信息安全保障管理人员的工作职责，严格把握各个环节的信息安全。 公司为确保网站安全运行，对网站的更新及资料上传下载实行专人负责。如有违反本规定者，公司将视其情节轻重并结合有关规定给予相应的处理。 公司制定相应的安全审核领导小组，负责公司的信息安全工作，并对执行情况进行检查监督。各部门根据各自的职能分工负责与部门信息安全相关的具体工作。

5、制定完善的安全审核流程，从每个环节上严格把关，一旦发现问题，迅速查清是哪个部门出现的漏洞和失误，并予以立刻解决，并且对相应的负责人进行严格教育，必要时给予相应的处分。 信息安全管理领导、执行机构的职责、专职安全人员职责流程说明： 1、信息安全管理工作，由总经理负责, 产品总监与技术总监具体负责。各执行机构和部门专门设立信息安全员，具体信息安全事务可直接向产品总监汇报，信息安全员可以由部门负责人兼任。 2、服务内容策划由产品策划部完成，策划方案由信息安全审核小组审核后由产品策划部的制作部门制作。 3、制作部门将任务分配给美工和编辑人员，制作完成后的信息服务内容经产品总监签字确认并由总经理签字确认

6、，交给技术部上传4. 网络安全管理制度：1、提高认识，建立健全信息系统安全保障体系要充分认识到加强信息系统安全工作的必要性和重要意义，正确处理发展与安全的关系，一手抓信息化建设，一手抓网络信息安全，按照统一标准建立起完善的信息系统安全保障体系。 2、加强领导，落实信息安全责任制 各部门要进一步增强信息安全意识，严格落实信息安全责任制，由“一把手”总经理及部门主管领导全面负责本单位的信息安全工作，建立信息网络安全管理机构，设立专职管理人员，切实扭转和解决信息安全责任落实不到位的状况。各中心要积极做好信息安全工作的组织领导和指导监督工作。从信息安全责任制、安全风险评估、日常安全管理制度、定期教育培

7、训、系统和数据备份制度、系统定期检测和升级、应急处理预案及其演练、安全事件报告、安全自查和安全测评等方面加强信息安全工作，确保重要信息系统的安全稳定运行。 3、加强维护、建立信息安全应急预案 各部门要高度重视信息安全工作，建立并细化信息安全应急预案，对潜在的突发事件和重大操作失误，事先要有预防措施、应急处置程序和恢复控制办法，保证关键业务和重大经营活动的连续性；明确各责任区域责任人及其工作职责；定期进行应急预案演练，检验其操作性和效果。公司将组织在一定范围内逐步开展信息系统安全测评工作5. 网络安全操作规程：1、为保证内网的安全，安装了防火墙、网络隔离卡等网络安全设备，将内网与外网实行物理隔离

8、。 在防火墙使用上，采取内网与外网相结合的方式，一台用于管理外部网络的连接，一台用于管理内部网络的连接，对内外网实行严格的管理。 鉴于内部局域网的有关微机（终端接收机）需要连接互联网，容易发生泄密将有关微机分成了两台虚拟计算机，“双线、双硬盘、双系统”，一个系统连接内部局域网（内网），用于内部综合办公，一个系统连接外部网络（外网），用于浏览网上的信息，使内部局域网与互联网之间物理隔离，达到了安全保密的要求。 2、信息安全过滤系统。系统对处理过后的内容进行自动过滤，它能够有效识别和过滤各种非法文本信息。根据既定的语义范式和过滤词表进行自动对比，在其中发现有害信息。采用分词技术、文本内容分类关键字

9、识别、变形关键识别、锚文本分析、有害代码特征识别等技术。工作人员对自动过滤后的结果进行人工校验，人工校验后方可进行数据发布处理。6. 信息安全技术保障措施：建立和健全法人代表、总经理或行政负责人信息安全责任制，严格对信息发布的审查和监督。加强内部管理制度，做到信息安全责任到人。 （1）信息安全责任领导及员工定期参加上级部门举办的各项安全管理教育及技术培训，巩固技术安全知识。当责任人有变动时，我公司保证在2天内以书面形式上报通信管理局。 流程如下： 进入工信部备案网站申请责任人变更申请；然后整理关于责任人变更相关信息，包括责任人姓名、手机、办公电话、电子邮箱、通信地址等信息，以正式的书面形式上报

10、给通信管理局，申请相关责任人的变更。 （2）由指定检测员负责网站内的信息内容的日常检测工作,做好检测纪录。单位与检测员签定检测责任书。 （3）检测员做好有关密码和权限的保密工作，未经允许不得随意更改密码或向第三方泄露。 （4）为保密需要，定期或不定期地更换不同保密方法或密码口令。（5）经申报批准，才能查询、打印有关资料。 （6）电脑操作员对保密信息严加看管，不得遗失、私自传播。7. 网络安全技术保障措施：1、设有信息安全保障工作组，对信息安全提供预警、救援、恢复、监控和测评，负责网络与信息安全保障体系建设的规划、协调和监督，并对相关重大事项做出决定。 2、由专门人员负责计算机网络与信息安全的管

11、理工作。参与制定公司及本部门信息安全规章制度，检查内部安全管理工作情况，进行内部安全教育，向公司及相关单位汇报本部门网络信息安全管理工作情况等。专门人员必须认真执行信息发布审核管理工作，杜绝违犯计算机信息网络国际联网安全保护管理办法的情形出现。 3、本公司加强对本单位计算机信息系统日常维护与使用的管理，建立健全的各项安全和保密制度。 4、本公司采用相应的技术手段，对计算机网络与信息安全进行实时检测与监控，发现问题应当及时向网络与信息安全管理部门报告并采取处理措施。 5、本公司使用的计算机必须安装具有实时监控功能的防病毒软件并及时升级。 6、本公司计算机信息系统不使用盗版软件。 7、本公司上网信

12、息必须履行相关的审批手续，责任到人；在未取得相应的加密措施之前，不得利用电子邮件传递涉及秘密的信息8. 企业落实行业信息安全安全管理要求情况：1、建立以单位领导为首的信息安全管理机构，成员包括信息管理员、技术员，信息安全责任领导及员工定期参加上级部门举办的各项安全管理教育及技术培训，巩固技术安全知识。 2、公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守响应规章制度。做到坚持不懈，不放松警惕，将安全管理工作长期进行下去，并且不断的加以完善。 3、遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网有关法律、法规，遵守自律

13、公约，不泄密、不制作和传播有害信息，不链接有害信息或网页。 4、遵守对网站服务信息监视，保存、清除和备份制度。 5、严格遵守网站用户帐号使用登记和操作权限管理制度。 6、继续开展对网络有害信息的清理整治工作。 7、对违法犯罪案件，报告并协助公安机关查处。 8、遇到安全问题时，及时汇报上级领导，采取措施及时解决。 业务培训制度 1、培训目标：贯彻国家关于计算机网络和信息安全的有关规定，加强计算机网络的安全管理，树立网络用户的安全和保密意识，提升技术人员在计算机网络方面的专业知识与实战技能；提升员工的网络与信息安全知识水平。 2、培训内容： （1）对信息源接入单位进行安全教育和培训，使他们自觉遵守

14、和维护计算机信息网络国际互联网安全保护管理办法，杜绝发布违犯计算机信息网络国际互联网安全保护管理办法的信息内容。 （2）定期组织管理员认真学习计算机信息网络国际互联网安全保护管理办法、网络安全管理制度及信息审核管理制度，提高工作人员的维护网络安全的警惕性和自觉性。 （3）负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护计算机信息网络国际互联网安全保护管理办法，使员工具备基本的网络安全知识。 （4）不定期地邀请公安机关有关人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力。 3、培训方式 （1）实行季度考核制度，对考核不合格的的员工采取相应从处理措施

15、。 （2）企业内部定期组织各种信息安全知识培训，加强员工安全意识。 （3）必要时不定期邀请公安机关有关人员来公司对员工进行培训。9. 企业落实行业网络安全管理要求情况：一、应急处置 网络环境安全事件，包括火灾、盗窃、破坏、供电等；网络运行相关事件，包括线路中断、路由故障、流量异常、域名系统故障等。发生信息安全事件时紧急通知我公司信息主管负责人，及时消除非法信息，恢复系统。无法迅速消除或恢复系统、影响较大时实施紧急关闭，并及时上报。 二、应急事件报告制度 出现公司内所管辖的网络和信息安全事件时，一般事件在公司内报警并作相关处理；重大事件和影响超出本公司管辖范围时，向上级管理部门紧急报警。 度 一般安全事件，向入侵者所在的网络管理员投诉；遇到重大信息安全事件时 (如造成重大经济损失、涉及破坏国家信息安全的反动政治言论)，及时消除、保留证据，立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后，立即对发生的事件进行调查核实、保存相关证据，确定事件等级，上报相关材料或提出启动预案申请。整个事件过程及处理事故阶段必须落实专人负责，认真调查分析事件发生的原因、责任