信息安全管理制度

网络信息安全管理制度

一、信息安全管理责任制

1.总则

1.1通过加强本公司办公设备、网站、公众号、OA办公系统等管理，保证网络信息安全正常运行，保证公司机密文件的信息安全，保障服务器和数据库的安全运行，加强本公司员工的网络信息安全意识，把相关工作做好。

2.设备管理

2.1本公司电脑设备仅用于本公司办公使用，不得用于工作无关的内容。

2.2为保护办公电脑资料的安全，办公电脑必须设置密码，并且不能设置过于简单的密码，并应依据一定规则定期更新。

2.3电脑配置采购由上级部门统一进行，电脑软硬件更换需上级管理人同意，未经许可任何个人不得随意拆卸更换电脑设备，私自拆卸、更换电脑设备，否则按公司相关规定赔偿并处理。

3.数据安全管理

3.1本公司工作所需的资料、数据，不得带出办公区。因外派等业务需带出的除外，但需始终注意做好相关资料的保密工作。外派等工作结束后，必须将相关资料数据及时带回，并清除保留在外面设备上的资料。

3.2个人资料及工作资料应定期做好备份工作（重要资料应随时双重备份在其他电脑和其他介质上），以防病毒侵袭、硬件损坏等造成数据丢失。

4.网络信息安全管理

4.1新员工入职，在得到自己的账户名和密码后，应立即更改自己的密码。

4.2不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害公司稳定的有关信息；不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动；不访问不明网站的内容，以避免恶意网络攻击和病毒的侵扰。

4.3员工个人QQ、微信等其他网络通讯工具，在个人信息资料中不得包含公司相关（如公司电话、IP地址等）信息，在工作时间不使用QQ、微信进行与工作无关的事情。

5.病毒防护管理

5.1配备的办公电脑必须安装防毒软件。

5.2任何人不得在公司的网络上制造、传播任何计算机病毒，不得故意引入病毒。网络使用者发现病毒应立即向上级部门报告以便获得及时处理。

6.下载管理

6.1不准在任何时间利用公司网络下载黑客工具、解密软件，系统扫描工具，木马程序等威胁系统和网络安全的软件。

6.2本公司办公电脑不允许下载和在线观看与工作无关的软件或其他内容，如MP3、小说、电影、电视和图片等。

6.3由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致病毒传播者，一经核实，公司依据相关规定处理。

二、信息安全评估

1.信息安全风险评估（information security risk assessment）是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

2.信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。

3.信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋值、已有安全措施确认、风险分析、风险评估记录等。

三、用户信息安全管理

1.相关内部人员不得对外泄露需要保密的信息；内部人员不得发布、传播国家法律禁止的内容；

3.信息发布之前应该经过相关人员审核；

4.对相关管理人员设定网站管理权限，不得越权管理网站信息；

5.一旦发生网站信息安全事故，应立即报告相关方并及时进行协调处理；

6.对有毒有害的信息进行过滤、用户信息进行保密。

7.登记注册表应由专人负责保管，未经授权不得复制、透露给第三方；

8.只允许用户的单一登录；即单一用户名只对应单一口令

9.对登陆用户信息阅读与发布按需要设置权限用户可自主改变登录密码，以保护用户信息的隐私权；

10.对用户在网站上的行为进行有效监控，保证内部信息安全；

11.规定用户不得传播、发布国家法律禁止的内容。

12.针对用户发布信息建立审核机制，设定信息开关，所有信息一律师事务所审核后再开放显示。

13.除用户授权外，系统管理员不得对用户信息进行复制、删改；

14.定期将用户信息备份并保存，以防用户误操作，丢失原有信息；

15.加强对用户的网络制度、法律法规的宣传；并组织集中学习与培训，加强用户相关的法律意识，提高用户的自我束约能力。

16.固定用户不得传播、发布国家法律禁止的内容。

17.如用户要求对服务器网络配置进行改动、增减信息目录结构，用户需要向系统分析员提出书面申请。

四、违法违规互联网信息服务和违法信息的巡查与处置

1.总则

1.1为了加强对网站的安全保护，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》及其他有关法律、行政法规的规定，制定本机制。

1.2有害信息的本着“谁主管，谁负责”、遵循依法、客观公正、合理恰当的原则。

1.3有害信息事件是指单位和个人利用网站制作、复制、查阅和传播下列的事件：

1.3.1煽动抗拒、破坏宪法和法律、行政法规实施的；

1.3.2煽动颠覆国家政权、推翻社会主义制度的；

1.3.3煽动分裂国家、破坏国家统一的；

1.3.4煽动民族仇恨、民族歧视，破坏民族团结的；

1.3.5捏造或者歪曲事实，散布谣言，扰乱社会次序的；

1.3.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶残、恐怖、教唆犯罪的；

1.3.7公然侮辱他人或者捏造事实诽谤他人的；

1.3.8损害网站形象和网站利益的；

1.3.9其他违反宪法和法律、行政法规的。

1.4有害信息发生部位：在BBS、留言板等交互式栏目，在网站首页、商品信息页中张贴、传播有害信息。利用电子邮件发送危害安全、宣扬“法轮功”等邪教和扰乱社会秩序