信息安全技術(shù)互聯(lián)網(wǎng)交互式服務(wù)安全保護(hù)管理制度.doc

銳理信息安全管理制度目 錄1.安全管理制度要求1.1總則：為了切實(shí)有效的保證公司信息安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營(yíng)的服務(wù)能力，特制定交互式信息安全管理制度，設(shè)定管理部門及專業(yè)管理人員對(duì)公司整體信息安全進(jìn)行管理，以確保網(wǎng)絡(luò)與信息安全。1.1.1建立文件化的安全管理制度，安全管理制度文件應(yīng)包括：a) 安全崗位管理制度；b)系統(tǒng)操作權(quán)限管理；c)安全培訓(xùn)制度；d)用戶管理制度；e)新服務(wù)、新功能安全評(píng)估；f)用戶投訴舉報(bào)處理；g)信息發(fā)布審核、合法資質(zhì)查驗(yàn)和公共信息巡查；h)個(gè)人電子信息安全保護(hù)；i)安全事件的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度；j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。1.1.2安全管理制度應(yīng)經(jīng)過(guò)管理層批準(zhǔn)，并向所有員工宣貫2.機(jī)構(gòu)要求2.1 法律責(zé)任2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個(gè)能夠承擔(dān)法律責(zé)任的組織或個(gè)人。2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。3.人員安全管理3.1 安全崗位管理制度 建立安全崗位管理制度，明確主辦人、主要負(fù)責(zé)人、安全責(zé)任人的職責(zé)：崗位管理制度應(yīng)包括保密管理。3.2 關(guān)鍵崗位人員3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求來(lái)執(zhí)行，包括：1.個(gè)人身份核查：2.個(gè)人履歷的核查：3.學(xué)歷、學(xué)位、專業(yè)資質(zhì)證明：4.從事關(guān)鍵崗位所必須的能力3.2.2 應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。3.3 安全培訓(xùn)建立安全培訓(xùn)制度，定期對(duì)所有工作人員進(jìn)行信息安全培訓(xùn)，提高全員的信息安全意識(shí)，包括：1.上崗前的培訓(xùn)；2.安全制度及其修訂后的培訓(xùn)；3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓(xùn)。應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程：a)及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)；c)配合公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。3.4 人員離崗應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程：a)及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)；c)配合公安機(jī)關(guān)工作的人員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。4.訪問(wèn)控制管理4.1訪問(wèn)管理制度 建立包括物理的和邏輯的系統(tǒng)訪問(wèn)權(quán)限管理制度 。4.2權(quán)限分配按以下原則根據(jù)人員職責(zé)分配不同的訪問(wèn)權(quán)限 ：a)角色分離 ，如訪問(wèn)請(qǐng)求 、訪問(wèn)授權(quán)、訪問(wèn)管理；b )滿足工作需要的最小權(quán)限 ；c)未經(jīng)明確允許 ，則一律禁止 。4.3特殊權(quán)限限制和控制特殊訪問(wèn)權(quán)限的分配和使用：a)標(biāo)識(shí)出每個(gè)系統(tǒng)或程序的特殊權(quán)限；b)按照“按需使用”、“一事一議”的原則分配特殊權(quán)限；c)記錄特殊權(quán)限的授權(quán)與使用過(guò)程；d)特殊訪問(wèn)權(quán)限的分配需要管理層的批準(zhǔn)。注：特殊權(quán)限是系統(tǒng)超級(jí)用戶、數(shù)據(jù)庫(kù)管理等系統(tǒng)管理權(quán)限。4.4權(quán)限的檢查定期對(duì)訪問(wèn)權(quán)限進(jìn)行檢查，對(duì)特殊訪問(wèn)權(quán)限的授權(quán)情況應(yīng)在更頻繁的時(shí)間間隔內(nèi)進(jìn)行檢查，如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)及時(shí)予以調(diào)整。5網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全 5.1網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全應(yīng)維護(hù)使用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全，包括：a)實(shí)施計(jì)算機(jī)病毒等惡意代碼的預(yù)防、檢測(cè)和系統(tǒng)被破壞后的恢復(fù)措施；b)實(shí)施724h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測(cè)與響應(yīng)措施；c)適用時(shí)，對(duì)重要文件的完整性進(jìn)行檢測(cè)，并具備文件完整性受到破壞后的恢復(fù)措施；d)對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險(xiǎn)。注：系統(tǒng)脆弱性評(píng)估包括采用安全掃描、滲透測(cè)試等多種方式。5.2備份5.2.1應(yīng)建立備份策略 ，有足夠的備份設(shè)施 ，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時(shí)可以恢復(fù) 。5.2.2網(wǎng)絡(luò)基礎(chǔ)服務(wù)（登錄 、消息發(fā)布等）應(yīng)具備容災(zāi)能力 。5.3安全審計(jì)5.3.1應(yīng)記錄用戶活 動(dòng) 、異常情況 、故障和安全事件的 日志。5.3.2審計(jì) 日志內(nèi)容應(yīng)包括 ：a)用戶注冊(cè)相關(guān)信息 ，包括 ：1)用戶唯一標(biāo)識(shí) ；2)用戶名稱及修改記錄 ；3)身份信息 ，如姓名 、證件類型、證件號(hào)碼等 ；4 )注冊(cè)時(shí)間 、IP 地址及端口號(hào) ；5)電子郵箱地址和于機(jī)號(hào)碼 ；6 )用戶備注信息 ；7 )用戶其他信息 。b )群組 、頻道相關(guān)信息 ，包括 ：1)創(chuàng)建時(shí)間 、創(chuàng)建人、創(chuàng)建人IP 地址及端口號(hào) ；2 )刪除時(shí)間 、刪除人、刪除人IP 地址及端口號(hào) ；3 )群組組織結(jié)構(gòu) ；4 )群組成員列表 。c)用戶登錄信息 ，包括 ：1)用戶唯一標(biāo)識(shí) ；2 )登錄時(shí)間 ；3 )退出時(shí)間 ；4 )IP 地址及端口號(hào) 。d )用戶信息發(fā)布日志 ，包括 ：1)用戶唯一標(biāo)識(shí) ；2 )信息標(biāo)識(shí) ；3)信息發(fā)布時(shí)間 ；4 )IP 地址及端口號(hào) ；5 )信息標(biāo)題或摘要 ，包括圖片摘要 。e)用戶行為 ，包括 ：1 )進(jìn)出群組或頻道 ；2 )修改 、刪除所發(fā)信息；3 )上傳 、下載文件 。5.3.3應(yīng)確保審計(jì)日志內(nèi)容的可溯源性，即可追溯到真實(shí)的用戶 ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件 、短信息、網(wǎng)絡(luò)電話、即時(shí)消息 、網(wǎng)絡(luò)聊天等網(wǎng)絡(luò)消息服務(wù)提供者應(yīng)能防范偽造 、隱匿發(fā)送者真實(shí)標(biāo)記的消息的措施 ；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動(dòng)上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng) 審計(jì)轉(zhuǎn)換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的,應(yīng)審計(jì)原始 URL 與短 UR L 之間的映射關(guān)系 。5.3.4應(yīng)保護(hù)審計(jì)日志，保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，防止刪除、修改或覆蓋審計(jì)日志。5.3.5應(yīng)能夠根據(jù)公安機(jī)關(guān)要求留存具備指定信息訪問(wèn)日志的留存功能。審計(jì)日志保存周期：a )應(yīng)永久保留用戶注冊(cè)信息 、好友列表及歷史變更記錄 ，永久記錄聊天室（頻道 、群組）注冊(cè)信息、成員列表以及歷史變更記錄 ；b)系統(tǒng)維護(hù)日志信息保存 12 個(gè)月以上 ；c)應(yīng)留存用戶日志信息 12 個(gè)月以上 ；d )對(duì)用戶發(fā)布的信息內(nèi)容保存 6 個(gè)月以上 ；e)已下線的系統(tǒng)的 日志保存周期也應(yīng)符合以上規(guī)定 。6應(yīng)用安全6.1用戶管理6.1.1 向用戶宣傳法律法規(guī) ，應(yīng)在用戶注冊(cè)時(shí) ，與用戶簽訂服務(wù)協(xié)議 ，告知相關(guān)權(quán)利義務(wù)及需承擔(dān)的 法律責(zé)任 。6.1.2 建立用戶管理制度，包括：a )用戶實(shí)名登記真實(shí)身份信息 ，并對(duì)用戶真實(shí)身份信息進(jìn)行有效核驗(yàn) ，有校核驗(yàn)方法可追溯到用 戶登記的真實(shí)身份，如 ：1)身份證與姓名實(shí)名驗(yàn)證服務(wù)：2)有效的銀行卡：3)合法、有效的數(shù)字證書：4) 已確認(rèn)真實(shí)身份的網(wǎng)絡(luò)服務(wù)的注冊(cè)用戶：5) 經(jīng)電信運(yùn)營(yíng)商接入實(shí)名認(rèn)證的用戶。（如某網(wǎng)站采用已經(jīng)實(shí)名認(rèn)證的第三方賬號(hào)登陸，可認(rèn)為該網(wǎng)站的用戶已進(jìn)行有效核驗(yàn)。）b ) 應(yīng)對(duì)用戶注冊(cè)的賬號(hào)、頭像和備注等信息進(jìn)行審核，禁止使用違反法律法規(guī)和社會(huì)道德的內(nèi)容：c )建立用戶黑名單制度，對(duì)網(wǎng)站自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報(bào)的多次、大量發(fā)送傳播違法有害信息的用戶納應(yīng)入黑名單管理。6.1.3 當(dāng)用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時(shí)，應(yīng)查驗(yàn)其合法資質(zhì)，查驗(yàn)可以通過(guò)以下方法進(jìn)行：a )核對(duì)行政許可文件：b )通過(guò)行政許可主管部門的公開(kāi)信息:c )通過(guò)行政許可主管部門的驗(yàn)證電話、驗(yàn)證平臺(tái)。6.2違法有害信息防范和處置6.2.1 公司采取管理與技術(shù)措施，及時(shí)發(fā)現(xiàn)和停止違法有害信息發(fā)布。6.2.2 公司采用人工或自動(dòng)化方式，對(duì)發(fā)布的信息逐條審核。 采取技術(shù)措施過(guò)濾違法有害信息，包括且不限于基于關(guān)鍵詞的文字信息屏蔽過(guò)濾；b)基于樣本數(shù)據(jù)特征值的文件屏蔽過(guò)濾；c)基于URL的屏蔽過(guò)濾。6.2.3 應(yīng)采取技術(shù)措施對(duì)違法有害信息的來(lái)源實(shí)施控制，防止繼續(xù)傳播。注：違法有害信息來(lái)源控制技術(shù)措施包括但不限于：封禁特定帳號(hào)、禁止新建帳號(hào)、禁止分享、禁止留言及回復(fù)、控制特定發(fā)布來(lái)源、控制特定地區(qū)或指定IP帳號(hào)登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。6.2.4 公司建立7*24h信息巡查制度，及時(shí)發(fā)現(xiàn)并處置違法有害信息。6.2.5 建立涉嫌違法犯罪線索、異常情況報(bào)告、安全提示和案件調(diào)差配合制度，包括：a/對(duì)發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶注冊(cè)信息、用戶登錄信息、用戶發(fā)布信息等記錄），并向?qū)俚毓矙C(jī)關(guān)報(bào)告b/對(duì)于煽動(dòng)非法聚集、策劃恐怖活動(dòng)、揚(yáng)言實(shí)施個(gè)人極端暴力行為等重要情況或重大緊急事件立即向?qū)俚毓矙C(jī)關(guān)報(bào)告，同時(shí)配合公安機(jī)關(guān)做好調(diào)查取證工作6.2.6 與公安機(jī)關(guān)建立7*24h違法有害信息快速處置工作機(jī)制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個(gè)環(huán)節(jié)應(yīng)能再5min之內(nèi)刪除，相關(guān)的屏蔽過(guò)濾措施應(yīng)在10min內(nèi)生效。6.3破壞性程序防范6.3.1實(shí)施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施、并保留發(fā)現(xiàn)的破壞性程序的相關(guān)證據(jù)。6.3.2對(duì)軟件下載服務(wù)提供者（包括應(yīng)用軟件商店），檢查用戶發(fā)布的軟件是否是計(jì)算機(jī)病毒等惡意代碼。7個(gè)人電子信息保護(hù)7.1.1 制定明確、清楚的個(gè)人電子信息處置規(guī)則，并且在顯著位置予以公示。在用戶注冊(cè)時(shí)，在與用戶簽訂服務(wù)協(xié)議中明示收集與使用個(gè)人電子信息的目的、范圍與方式。7.1.2 湖南凱美醫(yī)療網(wǎng)站僅收集為實(shí)現(xiàn)正當(dāng)商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個(gè)人信息；收集個(gè)人電子信息時(shí)，取得用戶的明確授權(quán)同意；公司在姜個(gè)人電子信息交給第三方處理時(shí)，處理方符合本制度標(biāo)準(zhǔn)的要求，并取得用戶明確授權(quán)同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。7.1.3公司在修改個(gè)人電子信息處理時(shí)，應(yīng)告知用戶，并取得其同意。7.2 技術(shù)措施公司建立覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)的安全保護(hù)制度和技術(shù)措施，防止個(gè)人電子信息泄露、損毀、丟失，包括：a )采用加密方式保存用戶密碼等重要信息b )審計(jì)內(nèi)部員工對(duì)涉及個(gè)人電子信息的所有操作，并對(duì)審計(jì)進(jìn)行分析，預(yù)防內(nèi)部員工故意泄露c )審計(jì)個(gè)人電子信息上載、存儲(chǔ)或傳輸，作為信息泄露，毀損，丟失的查詢依據(jù)d )建立程序來(lái)控制對(duì)涉及個(gè)人電子信息的系統(tǒng)和服務(wù)的訪問(wèn)權(quán)的分配。這些程序涵蓋用戶訪問(wèn)生存周期內(nèi)的各個(gè)階段，從新用戶初始注冊(cè)到不再需要訪問(wèn)信息系統(tǒng)和服務(wù)的用戶的最終撤銷e )系統(tǒng)的安全保障技術(shù)措施覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)，防止網(wǎng)絡(luò)違法犯罪活動(dòng)竊取信息，降低個(gè)人電子信息泄露的風(fēng)險(xiǎn)7.3個(gè)人信息泄露事件的處理1、 當(dāng)發(fā)現(xiàn)個(gè)人電子信息泄露時(shí)間后，應(yīng)：b )立即采取補(bǔ)救措施，防止信息繼續(xù)泄露c )24小時(shí)內(nèi)告知用戶，根據(jù)用戶初始注冊(cè)信息重新激活賬戶，避免造成更大的損失立即告屬地公安機(jī)關(guān)8安全事件管理8.1安全時(shí)間管理制度 8.1.1建立安全事件的監(jiān)測(cè)、報(bào)告和應(yīng)急處置制度，確?？焖儆行Ш陀行虻仨憫?yīng)安全事件.8.1.2安全事件包括違法有害信息、危害計(jì)算機(jī)信息系統(tǒng)安全的異常情況及突發(fā)公共事件。8.2應(yīng)急預(yù)案制定安全事件應(yīng)急處置預(yù)案，向?qū)俚毓矙C(jī)關(guān)寶貝，并定期開(kāi)展應(yīng)急演練。8.3突發(fā)公共事件處理突發(fā)公共事件分為四級(jí)：I級(jí)（特別重大）、II級(jí)（重大）、III級(jí)（較大）、IV級(jí)（一般），互聯(lián)網(wǎng)交互式服務(wù)提