99青草青草久热精品视频,亚洲精品乱码久久久久久麻豆,亚洲男人天堂视频,精品一久久,日韩午夜免费视频,尹人香蕉,日韩精品欧美成人

當前位置:高考升學網(wǎng) > 規(guī)章制度 > 正文

公司信息安全管理制度包括哪些內(nèi)容

更新:2023-09-17 06:54:29 高考升學網(wǎng)

1.安全管理制度要求

1.1總則:為了切實有效的保證公司信息安全,提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務(wù)能力,特制定交互式信息安全管理制度,設(shè)定管理部門及專業(yè)管理人員對公司整體信息安全進行管理,以確保網(wǎng)絡(luò)與信息安全。

1.1.1建立文件化的安全管理制度,安全管理制度文件應(yīng)包括:

a)安全崗位管理制度;

b)系統(tǒng)操作權(quán)限管理;

c)安全培訓制度;

d)用戶管理制度;

e)新服務(wù)、新功能安全評估;

公司信息安全管理制度包括哪些內(nèi)容

f)用戶投訴舉報處理;

g)信息發(fā)布審核、合法資質(zhì)查驗和公共信息巡查;

h)個人電子信息安全保護;

i)安全事件的監(jiān)測、報告和應(yīng)急處置制度;

j)現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。

1.1.2安全管理制度應(yīng)經(jīng)過管理層批準,并向所有員工宣貫

2.機構(gòu)要求

2.1法律責任

2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個能夠承擔法律責任的組織或個人。

2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。 3.人員安全管理

3.1安全崗位管理制度

建立安全崗位管理制度,明確主辦人、主要負責人、安全責任人的職責:崗位管理制度應(yīng)包括保密管理。

3.2關(guān)鍵崗位人員

3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求來執(zhí)行,包括:1.個人身份核查:2.個人履歷的核查:

3.學歷、學位、專業(yè)資質(zhì)證明:

4.從事關(guān)鍵崗位所必須的能力

3.2.2應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。

3.3安全培訓

建立安全培訓制度,定期對所有工作人員進行信息安全培訓,提高全員的信息安全意識,包括:

1.上崗前的培訓;

2.安全制度及其修訂后的培訓;

3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓。

應(yīng)嚴格規(guī)范人員離崗過程:

a)及時終止離崗員工的所有訪問權(quán)限;

b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開;

c)配合公安機關(guān)工作的人員變動應(yīng)通報公安機關(guān)。 3.4人員離崗

應(yīng)嚴格規(guī)范人員離崗過程:

a)及時終止離崗員工的所有訪問權(quán)限;

b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開;

c)配合公安機關(guān)工作的人員變動應(yīng)通報公安機關(guān)。

4.訪問控制管理

4.1訪問管理制度

建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。

4.2權(quán)限分配

按以下原則根據(jù)人員職責分配不同的訪問權(quán)限:

a)角色分離,如訪問請求、訪問授權(quán)、訪問管理;

b )滿足工作需要的最小權(quán)限;

c)未經(jīng)明確允許,則一律禁止。

4.3特殊權(quán)限限制和控制特殊訪問權(quán)限的分配和使用:

a)標識出每個系統(tǒng)或程序的特殊權(quán)限;

b)按照“按需使用”、“一事一議”的原則分配特殊權(quán)限;

c)記錄特殊權(quán)限的授權(quán)與使用過程;

d)特殊訪問權(quán)限的分配需要管理層的批準。

注:特殊權(quán)限是系統(tǒng)超級用戶、數(shù)據(jù)庫管理等系統(tǒng)管理權(quán)限。

4.4權(quán)限的檢查

定期對訪問權(quán)限進行檢查,對特殊訪問權(quán)限的授權(quán)情況應(yīng)在更頻繁的時間間隔內(nèi)進行檢查,如發(fā)現(xiàn)不恰當?shù)臋?quán)限設(shè)置,應(yīng)及時予以調(diào)整。

5網(wǎng)絡(luò)與主機系統(tǒng)的安全

5.1 網(wǎng)絡(luò)與主機系統(tǒng)的安全

應(yīng)維護使用的網(wǎng)絡(luò)與主機系統(tǒng)的安全,包括:

a)實施計算機病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞后的恢復措施;

b)實施7×24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施;

c)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的恢復措施;

d)對系統(tǒng)的脆弱性進行評估,并采取適當?shù)拇胧┨幚硐嚓P(guān)的風險。注:系統(tǒng)脆弱性評估包括采用安全掃描、滲透測試等多種方式。

5.2備份5.2.1

應(yīng)建立備份策略,有足夠的備份設(shè)施,確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以恢復。

5.2.2 網(wǎng)絡(luò)基礎(chǔ)服務(wù)(登錄、消息發(fā)布等)應(yīng)具備容災(zāi)能力。

5.3安全審計

5.3.1應(yīng)記錄用戶活動、異常情況、故障和安全事件的日志。

5.3.2審計日志內(nèi)容應(yīng)包括:

a)用戶注冊相關(guān)信息,包括:

1)用戶唯一標識;

2)用戶名稱及修改記錄;

3)身份信息,如姓名、證件類型、證件號碼等;

4 )注冊時間、IP地址及端口號;

5)電子郵箱地址和于機號碼;

6 )用戶備注信息;7 )用戶其他信息。

b )群組、頻道相關(guān)信息,包括:

1)創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人IP地址及端口號;

2 )刪除時間、刪除人、刪除人IP地址及端口號;

3 )群組組織結(jié)構(gòu);

4 )群組成員列表。

c)用戶登錄信息,包括:

1)用戶唯一標識;2 )登錄時間;3 )退出時間;4 ) IP地址及端口號。

d )用戶信息發(fā)布日志,包括:1)用戶唯一標識;2 )信息標識;3)信息發(fā)布時間;4 ) IP地址及端口號;5 )信息標題或摘要,包括圖片摘要 。

e)用戶行為,包括:1 )進出群組或頻道;2 )修改、刪除所發(fā)信息;3 )上傳、下載文件。

5.3.3應(yīng)確保審計日志內(nèi)容的可溯源性,即可追溯到真實的用戶ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件、短信息、網(wǎng)絡(luò)電話、即時消息、網(wǎng)絡(luò)聊天等網(wǎng)絡(luò)消息服務(wù)提供者應(yīng)能防范偽造、隱匿發(fā)送者真實標記的消息的措施;涉及地址轉(zhuǎn)換技術(shù)的服務(wù),如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)審計轉(zhuǎn)換前后的地址與端口信息;涉及短網(wǎng)址服務(wù)的,應(yīng)審計原始URL與短UR L之間的映射關(guān)系。

5.3.4應(yīng)保護審計日志,保證無法單獨中斷審計進程,防止刪除、修改或覆蓋審計日志。

5.3.5應(yīng)能夠根據(jù)公安機關(guān)要求留存具備指定信息訪問日志的留存功能。

審計日志保存周期

a )應(yīng)永久保留用戶注冊信息、好友列表及歷史變更記錄,永久記錄聊天室(頻道、群組)注冊信息、成員列表以及歷史變更記錄;

b)系統(tǒng)維護日志信息保存12個月以上;

c)應(yīng)留存用戶日志信息12個月以上;

d )對用戶發(fā)布的信息內(nèi)容保存6個月以上;

e)已下線的系統(tǒng)的日志保存周期也應(yīng)符合以上規(guī)定。

6應(yīng)用安全

6.1用戶管理

6.1.1向用戶宣傳法律法規(guī),應(yīng)在用戶注冊時,與用戶簽訂服務(wù)協(xié)議,告知相關(guān)權(quán)利義務(wù)及需承擔的法律責任。

6.1.2建立用戶管理制度,包括:

a )用戶實名登記真實身份信息,并對用戶真實身份信息進行有效核驗,有校核驗方法可追溯到用戶登記的真實身份,如:1)身份證與姓名實名驗證服務(wù):2)有效的銀行卡:3)合法、有效的數(shù)字證書:4)已確認真實身份的網(wǎng)絡(luò)服務(wù)的注冊用戶:5)經(jīng)電信運營商接入實名認證的用戶。(如某網(wǎng)站采用已經(jīng)實名認證的第三方賬號登陸,可認為該網(wǎng)站的用戶已進行有效核驗。)

b )應(yīng)對用戶注冊的賬號、頭像和備注等信息進行審核,禁止使用違反法律法規(guī)和社會道德的內(nèi)容:

c )建立用戶黑名單制度,對網(wǎng)站自行發(fā)現(xiàn)以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶納應(yīng)入黑名單管理。

6.1.3當用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時,應(yīng)查驗其合法資質(zhì),查驗可以通過以下方法進行:a )核對行政許可文件:b )通過行政許可主管部門的公開信息: c )通過行政許可主管部門的驗證電話、驗證平臺。

6.2違法有害信息防范和處置

6.2.1公司采取管理與技術(shù)措施,及時發(fā)現(xiàn)和停止違法有害信息發(fā)布。

6.2.2公司采用人工或自動化方式,對發(fā)布的信息逐條審核。

采取技術(shù)措施過濾違法有害信息,包括且不限于:a )基于關(guān)鍵詞的文字信息屏蔽過濾;b)基于樣本數(shù)據(jù)特征值的文件屏蔽過濾;c)基于URL的屏蔽過濾。

6.2.3應(yīng)采取技術(shù)措施對違法有害信息的`來源實施控制,防止繼續(xù)傳播。

注:違法有害信息來源控制技術(shù)措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。

6.2.4公司建立724h信息巡查制度,及時發(fā)現(xiàn)并處置違法有害信息。

6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調(diào)差配合制度,包括:

a)對發(fā)現(xiàn)的違法有害信息,立即停止發(fā)布傳輸,保留相關(guān)證據(jù)(包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄),并向?qū)俚毓矙C關(guān)報告

b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向?qū)俚毓矙C關(guān)報告,同時配合公安機關(guān)做好調(diào)查取證工作

6.2.6與公安機關(guān)建立724h違法有害信息快速處置工作機制,有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個環(huán)節(jié)應(yīng)能再5min之內(nèi)刪除,相關(guān)的屏蔽過濾措施應(yīng)在10min內(nèi)生效。 6.3破壞性程序防范

6.3.1實施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施、并保留發(fā)現(xiàn)的破壞性程序的相關(guān)證據(jù)。

6.3.2對軟件下載服務(wù)提供者(包括應(yīng)用軟件商店),檢查用戶發(fā)布的軟件是否是計算機病毒等惡意代碼。

7個人電子信息保護

7.1.1制定明確、清楚的個人電子信息處置規(guī)則,并且在顯著位置予以公示。在用戶注冊時,在與用戶簽訂服務(wù)協(xié)議中明示收集與使用個人電子信息的目的、范圍與方式。

7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實現(xiàn)正當商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個人信息;收集個人電子信息時,取得用戶的明確授權(quán)同意;公司在姜個人電子信息交給第三方處理時,處理方符合本制度標準的要求,并取得用戶明確授權(quán)同意;法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。

7.1.3公司在修改個人電子信息處理時,應(yīng)告知用戶,并取得其同意。

7.2技術(shù)措施

公司建立覆蓋個人電子信息處理的各個環(huán)節(jié)的安全保護制度和技術(shù)措施,防止個人電子信息泄露、損毀、丟失,包括:

a )采用加密方式保存用戶密碼等重要信息

b )審計內(nèi)部員工對涉及個人電子信息的所有操作,并對審計進行分析,預(yù)防內(nèi)部員工故意泄露

c )審計個人電子信息上載、存儲或傳輸,作為信息泄露,毀損,丟失的查詢依據(jù)

d )建立程序來控制對涉及個人電子信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配。這些程序涵蓋用戶訪問生存周期內(nèi)的各個階段,從新用戶初始注冊到不再需要訪問信息系統(tǒng)和服務(wù)的用戶的最終撤銷

e )系統(tǒng)的安全保障技術(shù)措施覆蓋個人電子信息處理的各個環(huán)節(jié),防止網(wǎng)絡(luò)違法犯罪活動竊取信息,降低個人電子信息泄露的風險

7.3個人信息泄露事件的處理

a)當發(fā)現(xiàn)個人電子信息泄露時間后,應(yīng):

b )立即采取補救措施,防止信息繼續(xù)泄露

c )24小時內(nèi)告知用戶,根據(jù)用戶初始注冊信息重新激活賬戶,避免造成更大的損失立即告屬地公安機關(guān)

8安全事件管理

8.1安全時間管理制度

8.1.1建立安全事件的監(jiān)測、報告和應(yīng)急處置制度,確?焖儆行Ш陀行虻仨憫(yīng)安全事件.

8.1.2安全事件包括違法有害信息、危害計算機信息系統(tǒng)安全的異常情況及突發(fā)公共事件。

8.2應(yīng)急預(yù)案

制定安全事件應(yīng)急處置預(yù)案,向?qū)俚毓矙C關(guān)寶貝,并定期開展應(yīng)急演練。

8.3突發(fā)公共事件處理

突發(fā)公共事件分為四級:I級(特別重大)、II級(重大)、III級(較大)、IV級(一般),互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立相應(yīng)處置機制,當突發(fā)公共事件發(fā)生后,投入相應(yīng)的人力與技術(shù)措施開展處置工作:

a)I級:應(yīng)投入安全管理等部門80%甚至全部人力開展處置工作;

b)II級:應(yīng)投入安全管理等部門50% -80%的人力開展處置工作;

c)III級:應(yīng)投入安全管理等部門30%-50%的人力開展處置工作;

d)IV級:應(yīng)投入安全管理等部門30%的人力開展處置工作。

8.4技術(shù)接口

公司網(wǎng)站所設(shè)技術(shù)接口為公安機關(guān)提供的符合國家及公共安全行業(yè)標準的技術(shù)接口,能確保實時,有效地提供相關(guān)證據(jù)。

一、信息安全管理制度定義及內(nèi)容

二、學司法信息安全專業(yè)畢業(yè)后可以從事什么工作,有前途嗎

三、司法信息安全專業(yè)就業(yè)前景分析 就業(yè)方向有哪些

四、司法信息安全專業(yè)比較好的大學有哪些(專業(yè)大學排名)

五、司法信息安全專業(yè)學什么(附學習科目和課程)

六、信息安全技術(shù)應(yīng)用專業(yè)比較好的大學有哪些(專業(yè)大學排名)

七、學信息安全技術(shù)應(yīng)用專業(yè)畢業(yè)后可以從事什么工作,有前途嗎

八、信息安全技術(shù)應(yīng)用專業(yè)就業(yè)前景分析 就業(yè)方向有哪些

九、信息安全技術(shù)應(yīng)用專業(yè)學什么(附學習科目和課程)

十、學信息安全專業(yè)畢業(yè)后可以從事什么工作,有前途嗎

相關(guān)文章

最新圖文

達州養(yǎng)犬管理條例最新

時間:2024-02-26 07:0:12

廣安養(yǎng)犬管理條例最新

時間:2024-02-26 06:0:14

宜賓養(yǎng)犬管理條例最新

時間:2024-02-26 06:0:23

南充養(yǎng)犬管理條例最新

時間:2024-02-26 06:0:29