信息安全管理制度
- 格式:docx
- 大小:17.11 KB
- 文档页数:5
信息安全管理制度
一、信息安全管理责任制
为确保本公司的信息安全管理责任落实到位,严格执行“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,特制定此制度。
1、事前审查管理
负责部门:信息安全领导小组
主要负责人:吕一
部门职责:
(1)建立健全本公司网络与信息安全组织机构;
(2)建立健全网络与信息安全责任体系;
(3)建立健全网络与信息安全管理、保密、检查等制度;
(4)严格审查各部门信息管理情况,确保将严重的信息安全问题出现率控制到1次/年下。
2、事中监督管理
负责部门:技术部
主要负责人:赵二
部门职责:
(1)对整个公司的网络系统安全问题负责,接受信息安全领导小组的领导和管理。与网络安全员和专职信息安全管理人员进行有效合作;
(2)负责网络系统安全策略、计划和事件处理程序的制定;
(3)负责安全建设和运营的方案的制定;
(4)承担安全事件的处理。
3、事后查处管理
负责部门:信息安全工作组
主要负责人:纪三
部门职责:
(1)认真查处各部门的信息管理情况;
(2)严格执行公司制定的各项信息安全管理制度,确保在信息安全管理中做好收尾工作,认真总结事件发生的原因,制定防卫措施; (3)负责对公司全体人员的信息安全培训。
二、信息安全评估及用户信息安全管理
1、相关内部人员不得对外泄露需要保密的信息;
2、内部人员不得发布、传播国家法律禁止的内容;
3、信息发布之前应该经过相关人员审核;
4、对相关管理人员设定管理权限,不得越权管理信息;
5、一旦发生信息安全事故,应立即报告相关方并及时进行协调处理;
6、对有毒有害的信息进行过滤、用户信息进行保密。
7、规定用户不得传播、发布国家法律禁止的内容。
8、针对用户发布信息建立审核机制,设定信息开关,所有信息一律师事务所审核后再开放显示。
9、除用户授权外,系统管理员不得对用户信息进行复制、删改;
10、定期将用户信息备份并保存,以防用户误操作,丢失原有信息;
11、加强对用户的网络制度、法律法规的宣传;并组织集中学习与培训,加强用户相关的法律意识,提高用户的自我束约能力。
12、固定用户不得传播、发布国家法律禁止的内容。
13、如用户要求对服务器网络配置进行改动、增减信息目录结构,用户需要向系统分析员提出书面申请
三、违法违规互联网信息服务和违法信息的巡查与处置
为了有力查处违法违规互联网信息服务和违法信息,公司特成立违法违规互联网信息服务和违法信息发现工作小组。公司严格建立专人审核信息发布制度。公司各部门业务所有信息发布前,均需经过专人审核,确保信息的合法,安全。
1、审核的广度和深度:审核涉及的面较广,要想真正起作用,不能只对信息系统的“皮毛”进行审计,否则就达不到真正保护系统安全的效力。
2、审核的环节:从信息系统安全保障体系的各个层次着手,一环套一环地进行审核。安全环节是很多系统平台本身就提供的,如对建立的相关安全档案进行审核,分析信息安全工作组织与管理情况,对业务处理用机操作系统或者数据库等进行检查,以分析系统的日志管理机制是否合理、有效。 3、关键字的设立、过滤与更新
公司保证采用的互联网信息平台具有信息内容的过滤功能。信息过滤包括对发布的信息内容、页面内容进行有效过滤。关键字的过滤功能,具体包括关键字设定、修改、查询功能,并提供相应的测试端口,并具有严格的权限管理功能。在发现的有害内容时按有关规定及时向有关部门汇报,并从技术上予以保证,包括有害信息的内容、发现时间、发现来源。
四、重大信息安全事件应急处置和报告制度
为确保发生网络安全问题时各项应急工作高效、有序地进行,最大限度地减少损失,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等相关法律法规,结合本公司信息网络实际情况,制定本制度。
1、事件等级:
根据信息安全事件的影响程度等因素将重大信息安全事件分为三个等级:
第三等级:特大信息安全事件,涉及国家安全和社会稳定,造成恶劣影响和严重后果。
第二等级:重大信息安全事件,涉及国家安全和社会稳定,造成较大社会影响和较严重后果。
第一等级:一般信息安全事件,造成一定社会影响的信息安全事件。
2、报告时限:
公司发生以上信息安全事件时,根据等级的不同分别向上级主管部门报告,报告分为口头报告、简要书面报告和专题书面报告:
发生特大信息安全事件时,公司在2小时内做出口头报告,24小时内做出简要书面报告,事件处理结束后5日内做出专题书面报告。
发生重大信息安全事件时,公司在4小时内做出口头报告,24小时内做出简要书面报告,相关事件处理结束后5日内做出专题书面报告。
发生一般信息安全事件时,公司在48小时内做出专题书面报告。
3、处置流程:
由于公司网络环境安全事件(包括火灾、盗窃、破坏、供电等)、网络运行相关事件(包括线路中断、路由障碍、流量异常、域名系统故障等)引发信息安全时,紧急通知我公司信息主管负责人,及时消除非法信息,恢复系统,无法迅速消除或恢复系统、影响较大时实施紧急关闭,并及时上报。 一般信息安全事件发生时,向入侵者所在的网络管理员投诉。
重大信息安全事件及特大信息安全事件发生时(如造成重大经济损失,破坏国家信息安全的反动政治言论),及时清除、保留证据,立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后,立即对发生的事件进行调查核实、保留相关证据,确定事件等级,向上级主管部门上报相关材料。
五、信息安全教育培训:
1、公司各级领导和信息安全管理人员定期(每年至少一至二次)学习《中华人民共和国治安管理处罚条例》、《计算机信息网络国际互联网安全保护管理办法》等有关法律、行政法规的规定,提高员工维护网络安全的警惕性和自觉性。
2、在开展信息安全教育活动中,必须结合先进的典型事例进行正面教育,以利取长补短。信息安全教育要求体现“六性”,即全员性、全面性、针对性以及成效性、发展性、经常性。
3、教育培训目标:不断提高公司人员信息安全意识、信息技术素质,提高信息安全政策业务水平。
4、教育培训内容:包括事故教育、法制教育。事故教育可以使其从事故教训中吸取有益的东西,可预防类似事故的发生,法制教育可以激发人们自觉地遵纪守法,这类信息安全教育可以定期或不定期地进行实施。
5、教育培训方式:信息安全教育、培训将采取多种方式进行。如设培训班、上信息安全课、信息安全知识讲座、报告会、智力竞赛、图片展、书画剪贴、电视片、黑板报、墙报、简报、通报、广播等等使信息安全教育培训形象生动,获得更好的效果。
6、公司网站必须接受并配合通信管理局和公安机关的安全监督、检查和指导,如实向以上两个部门提供有关安全保护的信息、资料和数据文件,协助公安机关查处通过国际互联网的计算机信息网络的违法犯罪行为。
六、用户举报和投诉处理等制度
1.举报投诉中心设在公司信息安全部。举报投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设置举报箱。 2.举报投诉受理中心对公众举报、投诉事件,按集中管理、登记的原则办理,由信息部带领网络安全小组集中处理,并将处理结果备案。对较重大有害信息事件,应立即上报主管领导。
3.举报投诉受理中心受理的事件,要做到即接快办;夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记。
4.负责查办的相关人员接到交办的投诉举报事件后应及时安排办理,要求在法定时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明理由,可适当延长处理时间;处理结果应及时反馈给举报投诉受理中心,由举报投诉受理中心反馈给举报人。
5.在处理有害信息投诉事件的记录、登记、交办工作流程时,应填写相应表单,并随结果报告一同存档。
6.处理人员应对重大有害信息事件举报人或要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。