网络信息安全管理制度
一、信息安全管理责任制
1. 总则
1.1通过加强本公司办公设备、网站、公众号、OA办公系统等管理,保证网络信息安全正常运行,保证公司机密文件的信息安全,保障服务器和数据库的安全运行,加强本公司员工的网络信息安全意识,把相关工作做好。
2. 设备管理
2.1本公司电脑设备仅用于本公司办公使用,不得用于工作无关的内容。
2.2为保护办公电脑资料的安全,办公电脑必须设置密码,并且不能设置过于简单的密码,并应依据一定规则定期更新。
2.3电脑配置采购由上级部门统一进行,电脑软硬件更换需上级管理人同意,未经许可任何个人不得随意拆卸更换电脑设备,私自拆卸、更换电脑设备,否则按公司相关规定赔偿并处理。
3. 数据安全管理
3.1本公司工作所需的资料、数据,不得带出办公区。因外派等业务需带出的除外,但需始终注意做好相关资料的保密工作。外派等工作结束后,必须将相关资料数据及时带回,并清除保留在外面设备上的资料。
3.2个人资料及工作资料应定期做好备份工作(重要资料应随时双重备份在其他电脑和其他介质上),以防病毒侵袭、硬件损坏等造成数据丢失。
4. 网络信息安全管理
4.1新员工入职,在得到自己的账户名和密码后,应立即更改自己的密码。
4.2不得利用计算机技术侵占用户合法利益,不得制作、复制、和传播妨害公司稳定的有关信息;不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动;不访问不明网站的内容,以避免恶意网络攻击和病毒的侵扰。
4.3员工个人QQ、微信等其他网络通讯工具,在个人信息资料中不得包含公司相关(如公司电话、IP地址等)信息,在工作时间不使用QQ、微信进行与工作无关的事情。
5. 病毒防护管理
5.1配备的办公电脑必须安装防毒软件。
5.2任何人不得在公司的网络上制造、传播任何计算机病毒,不得故意引入病毒。网络使用者发现病毒应立即向上级部门报告以便获得及时处理。
6. 下载管理
6.1不准在任何时间利用公司网络下载黑客工具、解密软件,系统扫描工具,木马程序等威胁系统和网络安全的软件。
6.2本公司办公电脑不允许下载和在线观看与工作无关的软件或其他内容,如MP3、小说、电影、电视和图片等。
6.3由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致病毒传播者,一经核实,公司依据相关规定处理。
二、信息安全评估
1.信息安全风险评估(information security risk assessment)是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
2.信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
3.信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋值、已有安全措施确认、风险分析、风险评估记录等。
三、用户信息安全管理
1.相关内部人员不得对外泄露需要保密的信息;内部人员不得发布、传播国家法律禁止的内容;
3.信息发布之前应该经过相关人员审核;
4.对相关管理人员设定网站管理权限,不得越权管理网站信息;
5.一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
6.对有毒有害的信息进行过滤、用户信息进行保密。
7.登记注册表应由专人负责保管,未经授权不得复制、透露给第三方;
8.只允许用户的单一登录;即单一用户名只对应单一口令
9.对登陆用户信息阅读与发布按需要设置权限用户可自主改变登录密码,以保护用户信息的隐私权;
10.对用户在网站上的行为进行有效监控,保证内部信息安全;
11.规定用户不得传播、发布国家法律禁止的内容。
12.针对用户发布信息建立审核机制,设定信息开关,所有信息一律师事务所审核后再开放显示。
13.除用户授权外,系统管理员不得对用户信息进行复制、删改;
14.定期将用户信息备份并保存,以防用户误操作,丢失原有信息;
15.加强对用户的网络制度、法律法规的宣传;并组织集中学习与培训,加强用户相关的法律意识,提高用户的自我束约能力。
16.固定用户不得传播、发布国家法律禁止的内容。
17.如用户要求对服务器网络配置进行改动、增减信息目录结构,用户需要向系统分析员提出书面申请。
四、违法违规互联网信息服务和违法信息的巡查与处置
1.总则
1.1为了加强对网站的安全保护,根据《中华人民共和国计算机信息系统安 全保护条例》、《计算机信息网络国际联网安全保护管理办法》及其他有关法律、行政法规的规定,制定本机制。
1.2有害信息的本着“谁主管,谁负责”、遵循依法、客观公正、合理恰当 的原则。
1.3有害信息事件是指单位和个人利用网站制作、复制、查阅和传播下列的事件:
1.3.1煽动抗拒、破坏宪法和法律、行政法规实施的;
1.3.2煽动颠覆国家政权、推翻社会主义制度的;
1.3.3煽动分裂国家、破坏国家统一的;
1.3.4煽动民族仇恨、民族歧视,破坏民族团结的;
1.3.5捏造或者歪曲事实,散布谣言,扰乱社会次序的;
1.3.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶残、恐怖、教唆犯罪的;
1.3.7公然侮辱他人或者捏造事实诽谤他人的;
1.3.8损害网站形象和网站利益的;
1.3.9其他违反宪法和法律、行政法规的。
1.4有害信息发生部位:在BBS、留言板等交互式栏目,在网站首页、商品 信息页中张贴、传播有害信息。利用电子邮件发送危害安全、宣扬“法轮功”等邪教和扰乱社会秩序的各种谣言等有害信息。
1.5用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律 规定,不得利用网站侵犯用户的通信自由和通信秘密。
2. 违法违规网站信息处置程序
2.1 一旦发现网络有害信息的,应立即启动预案,采取“及时处理、下载保 存和24小时上报制度”。
2.2网络有害信息处置前期工作程序:
2.2.1发现有害信息的公司员工要立即报告公司信息部,由信息部协调处理网上突发事件,摸清情况,采取措施,最大限度地遏制有害信息在网站上传播和扩散,并在第一时间内向公司主管领导及有关部门报告。
2.2.2 信息部负责有害信息的界定及监控,一旦发现不良信息要马上删除(如遇紧 急情况,可直接关闭服务器,暂停网络运行)。
2.2.3信息部及时对有害信息予以删除,取证留样,对有害信息的来源进行调查; 在最短时间内向网络有害信息处置相关机构报告情况。
2.2.4信息部要对网络安全设备的记录留存,监督检查有害信息报告、清除等情况。
2.2.5信息安全员负责调查有害信息散布的原因、经过,收集相关证据,以有利于 事件处理时事实清楚,责任明确。
3. 网络有害信息处置后期工作程序:
3.1. 信息部要利用网络与信息安全技术平台,对网上有害信息和公共有害短信及 时进行封堵:对违规从事网上业务或传播有害信息的用户,依法采取责任令整顿,予以封禁用户等行政处罚措施。
3.2.在事实清楚、责任明确的情况下,公司网络安全管理领导小组要对事件做出 处理决定。
3.3有关事件的处置经过、结论等相关事宜,一律由信息部统一对外宣传。
3.4做好经费保障工作和技术开发工作。公司划拨一定的网络安全管理经费投入,要在技术管理和软件开发利用上下工夫,提高网络信息安全管理技能。网站服务器必须安装必要的信息安全软件。
4. 处置后期工作
4.1有害信息的责任认定与后期工作按照有关法律和规定确定。
4.2对于在上述事件中对处理不服的,由信息部做好思想教育疏导工作。
4.3各职能部门继续做好网站有害信息的收集监控工作。
五、重大信息安全事件应急处置和报告制度
1. 总则
1.1为预防和及时处置网络突发事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案。
在公司领导的统一管理下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
2. 信息网络安全事件定义
2.1网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然侮辱他人或者捏造事实诽谤他人;宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖;发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。
2.2网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
2.3在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。
3. 信息安全事件应急处置办法
3.1加大培训和宣传力度,加强和完善互联网安全管理,设置专门管理部门,采取统一管理体制,落实负责人。各部门要建立健全内部安全保障制度,按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络与信息安全。加强我公司互联网络信息安全管理,连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。
3.2加强信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日志分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏目的专人管理,交互式栏目内容发布实行审核制度。对于非法网站要做到:发现一个,禁止一个,并及时向主管领导汇报,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
3.3网络部对互联网实施24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录在案,并对其警告和批评教育,严重违法行为立即上报有关部门。
3.4加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到以下几点。
3.4.1及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
3.4.2保护现场,立即与网络隔离,防止影响扩大。
3.4.3及时取证,分析、查找原因。
3.4.4消除有害信息,防止进一步传播,将事件的影响降到最低。
3.4.5在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
3.4.6追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
3.5及时整顿,加强防范。各部门要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现公司信息安全管理,创造良好的网络环境。
3.6在重要、敏感时期,加大网络安全教育宣传力度,加强员工的法律意识和安全意识教育,提高其安全意识和防范能力;开展安全文明上网的教育引导工作,净化互联网网上环境,及时收集信息,排查不安定因素;坚持24小时值班制度,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系,积极做好预防工作,发现问题及时处理,防患于未然。
3.7做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
4. 网络安全事件报告与处置:
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。
六、信息安全教育培训
1.定期组织网络安全管理人员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员的维护网络安全的警惕性和自觉性。
2.定期对本公司网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3.对本单位网络用户进行安全教育和培训,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。
4.不定期地进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防犯能力。
5.定期对职工进行网络安全教育,强化网络安全意识, 增强守法观念。
七、客户举报和投诉处理等制度
1.总则
1.1为提高公司客户服务质量和服务水平,规范客户投诉处理程序,形成有效的投诉管理机制,根据公司相关制度和规定,制定本制度。
1.2对客户投诉的处理应以有关规章制度为依据,以实事求是、公平合理、处理及时为原则,最大限度地满足客户的正当要求,认真解决客户提出的问题,改进工作,优化服务,及时发现客户纠纷风险和不稳定因素,维护公司信誉和合法权益。
2.客户投诉
2.1公司各部门的经理为公司一般投诉事项的处理负责人。涉及违规行为和导致诉讼的投诉事件,由公司总经理负责处理。公司总经理为投诉事件的最终处理负责。
2.2公司如遇到客户拨打电话或上门投诉的情况,应当稳定客户情绪,耐心听取意见,做好投诉记录并立即报告客服中心。
2.3客户投诉的具体事项应当按照公司有关部门和领导的要求,配合投诉事项的调查、反馈等工作。
2.4在处理投诉过程中,如发现公司各部门相关责任人存在违规行为的,应当立即报告上级领导核实。
2.5每周将投诉记录情况提交运营部。
3.处理原则
3.1客户投诉时,投诉受理人应做到耐心听取、认真审阅,做到及时、专业、礼貌,体现良好的职业道德和服务意识,坚持“冷处理”原则。
3.2客户投诉时,投诉受理人须注意方式方法,耐心说服教育,切忌态度粗暴生硬,切忌随意表态、许愿,对于客户的不合理要求,也要耐心解释和说服防止矛盾激化;对扬言采取过激行为的对象要落实专人负责看管,对可能被报复的人员和被破坏的目标,采取有效的防范措施;
3.3投诉受理须与客户在合法、合理、自愿的基础上积极协商,妥善解决,不得简单了事,力争把矛盾和问题在公司内部解决和消化。
4.基本处理程序
4.1投诉按方式可分为电话投诉、上门投诉等。
4.2各类客户投诉的受理及处理的基本程序如下:
4.2.1受理:客服人员及投诉受理人员需了解客户投诉事情的过程,记录投诉事件内容,对客户进行必要和适当的解释及安抚。如客户对受理人的解释、回复表示满意,并表示不再就同一事件继续投诉,则将客户投诉处理情况记录完整,处理完毕;
4.2.2转发:客服人员对受理的投诉事件需要公司其他部门协助核查或转办的,投诉受理人在受理客户投诉后1小时内,转发给相关投诉事件责任部门;
4.2.3处理:相关责任部门应在收到客户投诉处理通知后的24小时内与客户进行联系,妥善处理客户投诉,特殊情况下应在3个工作日内处理完毕。对不能立即回复的投诉,应主动告知客户目前的处理进度;
4.2.4记录:投诉事件记录相关的电子文档整理保存完整;
5.不同内容投诉的处理
5.1对于影响公司形象和声誉的重大投诉,投诉受理人员应先上报分管领导及公司总经理后进行投诉处理。
5.2对客户的信函投诉,要分清投诉信件和举、检信件。如举、检信件则应及时向分管领导汇报,并及时通报公司总经理。
5.3投诉按内容可区分为服务质量投诉(服务态度)、业务投诉(员工工作失误、系统及机具故障、公司内部协调)、非公司责任投诉等。
5.4对因服务质量和服务态度而引起的投诉,经调查如确属员工服务态度或操作技能问题,当事人和主管领导应主动向客户道歉,取得客户谅解。
5.5对因部门之间沟通、协调不足引起的投诉,应首先协调将客户业务办理完毕,然后由投诉时间受理人提交建议,建议相关上级领导进行部门协调,提出解决方法,理顺内部关系。
5.6对非公司责任的投诉,如因客户对有关规定不理解或因操作不当引起的投诉,判断客户的要求是否超出或违反公司规定及政策的,应向客户做耐心解释和说明,化解矛盾和排除不合理要求。
★四川两化融合★四川CMMI认证★四川GJB5000A认证★四川CCRC认证★四川ISO27001认证★四川ISO20000认证★四川ISO22301认证★四川ISO27701认证★四川ITSS认证★四川CS认证★
|