3互联网信息服务业务网络与信息安全保障措施.docx

1、互联网信息服务业务网络与信息安全保障措施信息安全负责人：王鹏联系电话（手机）18666010429网络与信息安全保障措施信息安全管理组织机构设置及工作职责建立以单位领导为首的信息安全管理机构，成员包括信息管理员、技术员。设有信息安全管理保障工作组，对信息安全提供预警、救援、恢复、监控和测评，负责网络与信息安全保障体系建设的规划、协调和监督，并对相关重大事项做出决定。建立健全的单位信息网络安全小组。安全小组由单位领导负责，网络技术、安全保卫、主页主管部门参加，并确定一名安全负责人作为网站突发事件处理的联系人 。各单位及时检查网络、网站、网络节点安全保障措施。检查发现在网管、实时监测、防火墙、防病

2、毒等方面存在问题，网站管理部门将督促整改，探索和建立互联网信息安全管理长效工作机制。信息安全管理工作组负责公司的信息安全工作，并对执行情况进行检查监督。各部门根据各自的职能分工负责与部门信息安全相关的具体工作。遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。公司其他部门员工在使用计算机过程中需寻求技术帮助时，技术部人员一律不得拒绝。网络管理员必须定期了解、检查网络运行

3、情况并作如实记录，发现问题及时分析解决，对各类网络记录不得擅自删除。我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。各岗位员工应严格遵守保密制度，对各自的系统口令保密，禁止越权操作；为保障公司数据、信息、资料的准确、安全、可靠，应对重要的信息处理系统加设系统口令，防止泄露机密信息。网络管理员应当依据公司制定的计算机安全保密管理的具体措施对上传信息严格审查，严禁将涉及国家秘密、公

4、司秘密的信息在网络上传输。网络管理员负有安全管理和规范操作的义务。若因违反操作而引发的事故, 公司将按有关规定追究其责任。明确各级信息安全保障管理人员的工作职责，严格把握各个环节的信息安全。公司为确保网站安全运行，对网站的更新及资料上传下载实行专人负责。如有违反本规定者，公司将视其情节轻重并结合有关规定给予相应的处理。公司制定相应的安全审核领导小组，负责公司的信息安全工作，并对执行情况进行检查监督。各部门根据各自的职能分工负责与部门信息安全相关的具体工作。制定完善的安全审核流程，从每个环节上严格把关，一旦发现问题，迅速查清是哪个部门出现的漏洞和失误，并予以立刻解决，并且对相应的负责人进行严格教

5、育，必要时给予相应的处分。信息安全管理领导、执行机构的职责、专职安全人员职责流程说明：1、信息安全管理工作，由总经理负责, 产品总监与技术总监具体负责。各执行机构和部门专门设立信息安全员，具体信息安全事务可直接向产品总监汇报，信息安全员可以由部门负责人兼任。2、服务内容策划由产品策划部完成，策划方案由信息安全审核小组审核后由产品策划部的制作部门制作。3、制作部门将任务分配给美工和编辑人员，制作完成后的信息服务内容经产品总监签字确认并由总经理签字确认，交给技术部上传网络与信息安全管理人员配备情况及相应资质公司成立安全管理小组，设定相应的信息安全负责人，信息安全负责人必须定期组织各项安全管理教育及

6、技术培训，巩固技术安全知识；必须24小时开机，保证联络畅通，有网络安全信息及时通知。信息安全负责人在本公司主管领导的直接领导下。负有以下职责和义务：负责做好安全工作，及时进行信息反馈和修改；举例：个人信息工作经验2006年：参与常德华油燃气公司建站项目,2013年：广州联通驻地网项目及代理商多元合作项目资质：H2CSE 华为3com高级网络工程师 信息产业部认证网络工程师信息安全管理责任制建立和健全法人代表、总经理或行政负责人信息安全责任制，严格对信息发布的审查和监督。加强内部管理制度，做到信息安全责任到人。（1）信息安全责任领导及员工定期参加上级部门举办的各项安全管理教育及技术培训，巩固技术

7、安全知识。当责任人有变动时，我公司保证在2天内以书面形式上报通信管理局。流程如下：进入工信部备案网站申请责任人变更申请；然后整理关于责任人变更相关信息，包括责任人姓名、手机、办公电话、电子邮箱、通信地址等信息，以正式的书面形式上报给通信管理局，申请相关责任人的变更。（2）由指定检测员负责网站内的信息内容的日常检测工作,做好检测纪录。单位与检测员签定检测责任书。（3）检测员做好有关密码和权限的保密工作，未经允许不得随意更改密码或向第三方泄露。（4）为保密需要，定期或不定期地更换不同保密方法或密码口令。（5）经申报批准，才能查询、打印有关资料。（6）电脑操作员对保密信息严加看管，不得遗失、私自传播

8、。有害信息发现受理处置机制凡本公司工作人员，均有责任和义务监督、发现、报告、处理互联网信息系统的有害信息。发现有害信息时的处置程序如下：及时取证：包括信息全部内容及有关来源网址的信息。及时报告：应在发现后24小时内向信息安全员报告并保护相关资料，条件许可的应停机等候处理。消除有害信息：经信息安全员许可，发现单位和个人，在自己技术许可条件下，有权及时清除所发现的有害信息，以免进一步传播。相关技术人员应在接到通知后立即赶到现场，作好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。情况紧急的，应先及时采取删除等处理措施，再按程序报告。遵守对网站服

9、务信息监视，保存、清除和备份制度。继续开展对网络有害信息的清理整治工作。对违反本办法的，予以通报批评；情节严重的，追究责任人的责任；对违反有关法律、法规的，有关部门依法追究法律责任。有害信息投诉受理处置机制按照 “早发现、早报告、早处置”的原则，加强对网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。工作人员要密切监测网络状况，一旦发现异常应立即通知相关部门并及时向单位领导和应急领导小组汇报。加强内容关键字过滤，对非法关键字或其他引起信息安全问题的关键字进行过滤，尤其是政治敏感词汇，防止他人利用非法字符的谐音或者变音达到宣传非法事件的目的，确保

10、流向各公众通信网络公司网络信息源的安全和健康。（一）投诉受理1、受理投诉举报问题和案件，应本着从速从快的原则，需立案调查的，及时按案件审批程序办理。对不属我公司责职范围的，要耐心做好解释工作，并告知投诉举报人向有处理权的机关投诉或举报。2、接待投诉举报要态度和蔼，耐心听取陈诉，属受理范围的案件，要及时受理，不得推诿。3、受理举报工作人员必须为举报人保密，不得将举报人或举报材料等情况透露或转送给被举报单位和被举报人。4、受理投诉举报实行“首问责任制”，即谁接到投诉举报，谁负责做好接待（登记）和情况记录，并及时向有关领导汇报。（二）处置机制1、对投诉失实的，被投诉单位负责人应向投诉者进行解释，澄清

11、事实。 投诉者和被投诉者对投诉处理结论不服的，可向作出处理结论部门的上一级信息安全机构申请复查。2、对因特殊情况未能在规定的时限内办结有关事项而被投诉的，由被投诉单位派员上门向投诉者进行说明情况，进行解释或赔礼道歉。3、对网站所传输的信息内容难以辨别的，暂停传输，并经相关主管部门审核同意后再发布。我公司承诺自觉接受电信管理机构和有关管理部门的监督检查，积极配合相关管理部门的管理工作重大信息安全事件应急处置和报告制度本公司采用相应的技术手段，对计算机网络与信息安全进行实时检测与监控，发现问题应当及时向网络与信息安全管理部门报告并采取处理措施。采用先进的防火墻、功能强大的入侵检测系统、防病毒系统对

12、网络及系统安全方面加以保护。按照事件的严重情况分为四个等级：特别重大事件(I 级)、重大事件(级)、较大事件(III级)和一般事件(级)。（1）应急事件报告出现公司内所管辖的网络和信息安全事件时，一般事件在公司内报警并作相关处理；重大事件和影响超出本公司管辖范围时，向上级管理部门紧急报警。一般安全事件，向入侵者所在的网络管理员投诉；遇到重大信息安全事件时 (如造成重大经济损失、涉及破坏国家信息安全的反动政治言论)，及时消除、保留证据，立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后，立即对发生的事件进行调查核实、保存相关证据，确定事件等级，上报相关材料或提出启动预案申

13、请。整个事件过程及处理事故阶段必须落实专人负责，认真调查分析事件发生的原因、责任，并作出客观的评析，如实向有关部门作出汇报。（2）应急处置网络环境安全事件，包括火灾、盗窃、破坏、供电等；网络运行相关事件，包括线路中断、路由故障、流量异常、域名系统故障等。发生信息安全事件时紧急通知我公司信息主管负责人，及时消除非法信息，恢复系统。无法迅速消除或恢复系统、影响较大时实施紧急关闭，并及时上报。发生网络与信息安全突发事件的单位应当在事件发生后，首先以口头方式立即向信息化应急领导小组报告，信息化应急领导小组接到报告后，应当立即向网络与信息安全应急预案小组办公室报告。（3）保障措施高度重视网络与信息安全事

14、件应急预案工作。充分认识到网络与信息安全事件应急预案工作的重要性，落实工作责任，加强安全应急的宣传教育和技术培训，确保此项工作落到实处。建立健全指挥调度机制和信息安全通报制度，进一步完善信息安全应急协调机制。建立应急处理技术平台，进一步提高安全事件的发现和分析能力，从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。各部门要经常性地开展信息安全方面的自检自查，审核领导小组将积极做好指导、协调、服务并不定期地进行抽查。审核领导小组将对不重视信息系统安全，疏于管理严重失职而造成重大信息安全事故的有关单位及责任人特别是单位领导进行严肃追究。凡发生重大信息安

15、全事件，责任部门应及时派人到现场了解情况，准确掌握动态，并在2小时内向信息安全小组报送相关信息，并续报处置善后情况。若在规定时间内无法报送文字材料，应通过电话口头汇报事件经过，再报送文字资料。遇到重大信息安全事件，整个事件过程及处理事故阶段必须落实专人负责，认真调查分析事件发生的原因、责任，并作出客观的评析，如实向有关部门作出汇报。上报重大信息安全事件必须认真核实信息发生的时间、地点、人员、原因、处置方案、后果等相关要素，必须由分管领导签字把关，特别重要的还须由主要领导审签。信息安全管理政策和业务培训制度1、建立以单位领导为首的信息安全管理机构，成员包括信息管理员、技术员，信息安全责任领导及员工定期参加上级部门举办的各项安全管理教育及技术培训，巩固技术安全知识。2、公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守响应规章制度。做到坚持不懈，不放松警惕，将安全管理工作长期进行下去，并且不断的加以完善。3、遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网有关法律、法规，遵守自律公约，不泄密、不制作和传播有害信息，不链接有害信息或网页。4、遵守对网站服务信息监视，保存、清除和备份制度。5、严格遵守网站用户帐号使用登记和操作权限管理制度。6、继续开展对网络有害信息的清理整治工作。7、对违法犯罪案件，报