信息安全管理制度

信息安全管理制度 信息安全监控制度 1、建立以单位法人代表为主的信息安全管理机制 2、相关责任人定期或不定期检查网站信息内容，实施有效监控 3、不得利用国际互联网制作、复制、发布和传播下列信息： (一)反对宪法确定的基本原则的； (二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； (三)损害国家荣誉和利益的； (四)煽动民族仇恨、民族歧视，破坏民族团结的； (五)煽动地域歧视、地域仇恨的； (六)破坏国家宗教政策，宣扬邪教和迷信的； (七)散布谣言，扰乱社会秩序、破坏社会稳定的； (八)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； (九)侮辱或者诽谤他人，侵害他人合法权益的； (十)对他人进行暴力恐吓、威胁，实施人肉搜索的； (十一)未获得未满 18 周岁未成年人法定监护人的书面同意，传播该未成年人的隐私 信息的； (十二)散布污言秽语，损害社会公序良俗的； (十三)侵犯他人知识产权的； (十四)散布商业广告，或类似的商业招揽信息； (十五)使用本网站常用语言文字以外的其他语言文字评论的； (十六)与所评论的信息毫无关系的； (十七)所发表的信息毫无意义的，或刻意使用字符组合以逃避技术审核的； (十八)法律、法规和规章禁止传播的其他信息。 4、建立内容关键字管理制度，对于互动性内容使用关键字拦截技术避免不良信息的出现， 对于用户投稿内容实行先审后发。 5、 采用用户分级管理功能及黑名单措施避免有害账号重复发布不良信息，对于多次发 布不良信息或发布严重违法信息的将永久封号。 6、进行日常检测工作和系统漏洞测试。 7、指定安全监控工作的直接责任人。 信息安全管理制度 网络与信息的安全不仅关系到单位业务的开展，还将影响到国家的安全、社会的稳定。 我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理 制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户 信息进行保密，确保网络与信息安全。 一、网站运行安全保障制度 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击，保 障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件，对计算机病毒、有害电子 邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记 录功能，内容包括 IP 地址及使用情况，主页维护者、对应的 IP 地址情况等。 4、交互式栏目具备有 IP 地址、身份登记和识别确认功能，对非法贴子或留言能做到 及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制，一旦主系统遇到故障或受到攻击导致不能正 常运行，可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期 查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码, 并绑定 IP,以防他人登入。 8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管 理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不 同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗 位职责设定，并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设，内有必备的独立 UPS 不间断电源，能定期进行 电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起 确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的 原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施 办法，确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好, 有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息 将严格遵守国家的有关法律、法规和相关规定。严禁通过我校网站散布互联网信息管理 办法等相关法律法规明令禁止的信息（即“九不准”），一经发现，立即删除。 3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理 整治工作，对违法犯罪案件，报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定，网站将保存 6 个月内系统运行日志和 用户使用日志记录。 5、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自 觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或 网页。 三、用户信息安全管理制度 1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站 服务条款以及其他公布的准则规定的情况下，未经用户授权我校不会随意公布与用户个人 身份有关的资料，除非有法律或程序要求。 2、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格 保密，未经允许不得向他人泄露。 公司定期对相关人员进行网络信息安全培训并进行考核，使相关人员能够充分认识到 网络安全的重要性，严格遵守相应规章制度。 我公司将严格执行本规章制度，并形成规范 化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等 部门参加，并确定至少一名安全负责人作为突发事件处理的联系人。 四、设备安全保障措施 1、对于机房设备，要做到及时检查，值班人员必须每天安全对机器设备进行监测，并 做好值班记录，发现异常立即向责任领导汇报，并开始故障修复工作。常规故障需在 2 小 时内解决，重大故障在向领导汇报后视情况部署恢复工作。 2、充分利用硬件防火墙的防护功能，科学合理的配置安全规则，在不影响系统正常运 行的前提下，依照最小权限最大安全进行规则配置。每天进行 4-5 次周期性防火墙日志检 查，发现问题及时汇报，并拿出有效处理措施。 五、软件安全保障措施 1、对于信息系统平台软件体系，要做好周期性安全保护工作，主要包括系统安全补丁、 最新系统漏洞保护，病毒防护、木马防护等方面的工作。其次要做好系统日志分析工作， 包括 IIS 日志、系统日志等，发现问题及时汇报，并拿出有效的处理措施。 2、对于信息系统要通过合理科学的手段，对程序的运行进行监控，及时修补程序 Bug，最好安全方面的设置工作，要保障系统管理员与程序员的通信畅通，发现问题联动 处理，以确保安全。 3、对于发现存在重大安全隐患的信息系统，必要时可以申请停机调试。 六、权限安全保障措施 1、严格安装信息安全管理制度执行，对于所有系统管理员、信息工作者的管理都 必须科学严格，不滥发帐户，不乱开权限。并要保证对各帐户的日常操作进行跟踪，以备 查询。 2、周期性的对各帐号资源进行分析审查，发现越权行为，立即追查。 七、技术人员保障措施 1、公司技术部由多名资深技术人员组成，分设两个小组： 平台及软件系统维护小 组 设备及网络维护小组； 2、实行故障快速响应机制，值班人员发现问题需立即向负责领导汇报，并拿出解决措 施，常规故障需要在 2 小时内解决，如在 2 小时内无法解决，须尽早与单位领导取得联系 并通知相关技术人员； 3、实行 7*24 小时值班制度，为相关各项工作提供有力保障； 八、设备监看管理措施 1、机房实现 24 小时监控管理，值班人员在岗时间不得擅离岗位，并严格按照机房 管理条例进行值班管理。 2、值班人员还需要对机房所属机器的信息内容进行监控，并依据信息安全监控制度 对内容进行审查，发现有害信息立即处理，必要时可直接关闭有害信息所在服务器。 3、值班人员要最好值班记录。 九、备份措施 周期性对重要数据、信息系统程序进行的异地备份，尽量将灾难损失缩减到最小，备 份频率原则上要求 1 周一次，具体视网络及存储情况而定，但备份周期不得超过 1 个月。 十、责任追究 出现故障，要分析故障原因，属人为因素需对相关责任人进行追究。 机房管理制度 一、出入管理 1、 严禁非机房工作人员进入机房，特殊情况需经中心值班负责人批准，并认真填写 登记表后方可进入。 2、 进入机房人员应遵守机房管理制度。 3、 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等 对设备正常运行构成威胁的物品。 二、安全管理 1、 操作人员随时监控中心设备运行状况，发现异常情况应立即按照预案规程进行操 作，并及时上报和详细记录。 2、 非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。 3、 严格执行密码管理规定，对操作密码定期更改，超级用户密码由系统管理员掌握。 4、 机房工作人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。 5、 中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。 6、 不定期对机房内设置的消防器材、监控设备进行检查，以保证其有效性。 三、操作管理 1、 中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。 2、 值班人员必须认真、如实、详细填写机房日志等各种登记簿，以备后查。 3、 严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应 事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。 4、 每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备 吸尘清洁。 5、 值班人员必须密切监视中心设备运行状况以及各网点运行情况，确保安全、高效 运行。 6、 严格按规章制度要求做好各种数据、文件的备份工作。中心服务器数据库要定期 进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管， 以备后查。 四、运行管理 1、 中心机房和开发调试机房隔离分设。未经负责人批准，不得在中心机房设备上编 写、修改、更换各类软件系统及更改设备参数配置