交互式服务安全检查制度.doc

目 录安全检查制度2总则：2安全管理制度2文件管理控制2机构要求3法律责任3信息安全组织4人员安全管理6安全岗位管理6关键岗位人员7安全培训管理7人员离岗管理8访问控制管理8访问管理制度8权限分配9特权管理9权限检查10网络与操作安全10网络与主机系统的安全10备份11审计安全11应用安全12安全评估12用户管理13违法有害信息防范和处置14破坏性程序防范15个人电子信息保护15技术措施15个人信息泄露事件的处理15投诉16投诉制度16投诉渠道16分包商17基本要求17安全事件管理18安全事件管理制度18应急预案18突发公共事件处理19技术接口19安全检查制度总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。安全管理制度文件管理控制1.使用范围：适用公司所有内部文件和外部文件。2.文件分为四个等级：一级文件：质量手册二级文件：公司资质文件三级文件：部门管理制度，技术文档，检验标准等。四级文件：公告，合同等。3.文件管理：一级文件和二级文件管控权限归总经办，行政人事部负责存档。三四级文件由相关部门负责，管控选项归总经办。部门管理制度，通知，公告文件由行政人事部门负责。4.文件编码：根据规定内容进行编码并且编码是唯一的如：2017年制定的 APP充电手册，JSB-2017-APP-V1。5.文件的借阅： 使用要在OA上填写文件申请表 审批.。 通过审批。 去相关部门领用。6.文件归档整理检查： 公司每季度进行文件的整理、归档记录的检查 如发现有异常现象，体惩罚到相关责任人。7.惩罚的标准： 一二级文件惩罚标准，当月绩效-10分，视情况承担相关责任。 三四级文件惩罚标准，当月绩效-5分,进行部门内处罚。机构要求法律责任1. 使用范围：公司全体员工2. 法律责任支持： 法务部担任公司的法律服务支持 为公司提供相应的法律援助。3.法律提供适用事项： 采购合同 销售合同 设备租赁合同 场地使用合同4.审核流程： 在OA上提交流程给法务部进行审核。 法务部进行审核。 审核通过后才能与其进行合同签订。 合同审核不合格的，需要重新与第三方公司协议后，再进行提交。5.惩罚标准： 如未进行合同审核流程的。 私自与第三方公司签订合同的。 公司将进行辞退处理。 如有违法，将移交公安机关。 信息安全组织1. 信息安全组织架构2. 信息安全管理小组职责： 信息安全组长负责公司的总体安全规划，工作正常进行。 信息安全管理员协调组长进行工作，并带领安全负责人负责公司网络，系统，项目上线安全风险评估。 信息安全专员配合公安机关工作，并将计算机，系统漏洞报告通知给全体员工。3.信息安全工作开展： 安全小组每月对公司平台和员工计算机系统进行安全漏洞扫描。 发现线上出现BUG，或者安全漏。提交给开发团队 开发团队接收到漏洞信息，和BUG进行修复处理。 修复完成之后。进行第二次扫描。 每月进行安全漏洞的讨论事项。减少再次发生。4.处罚措施： 因个人原因造成计算机网络瘫痪的，将交由行政部门视情节进行处罚。 多次出现开发漏洞，多次相同的BUG，当月绩效论不及格处理。 个人原因计算机中毒，并传播给员工的，造成不可逆的后果，公司将进行辞退。人员安全管理安全岗位管理1.使用范围：适用公司所有在职员工。2.等级划分： 一级岗位：安全主办人 二级岗位：主要负责人 三级级岗位：安全责任人3. 岗位安全管理： 制定安全总体的规划 网络安全应急策略 记录系统安全事项 信息安全分析报告4.岗位安全职责 并做好成员的行为观察。 任务记录， 督促成员有效的开展安全工作。 组织制定并实施安全事故应急救援预案。关键岗位人员1. 人员信息审核： 计算机专业。 工作三年以上。 具备专科以上学历。2. 专业考核： 信息安全岗位人员上岗前，调查其工作背景，是否符合公司其职位。 安全技术岗位工作人员进行其相关专业知识的考核，确保有岗位必须的能力。3.签订协议： 公司信息保密协议， 安全管理协议 员工离职协议。安全培训管理1.员工培训总体规划： 安全小组根据年度工作计划作出安排。 不少于 20个课时的安全教育培训。 完成布置的学习安排，并将完成表交由行政部门。2.培训内容： 公司计算机软件安装的限制。 岗位知识培训。 对不良网页浏览的限制。 计算机安全使用规范。 上网安全意思，识别含有病毒的网站。3.培训结果验收： 利用公司电脑发布虚假等有害信息。 制造和传播计算机病毒。 人事部门每天不定时进行随机检查。 访问无关网站，将在全公司进行通报处理。人员离岗管理 员工在OA上申请离职流程提交。 部门主管审批通过。 IT人员进行员工相关账户关闭. 离职人员进行保密教育。 离岗人员如发生泄露公司机密的，需承担相应的法律责任。惩罚措施： 不遵守公司安全管理规范的 对安全培训不重视的l 部门负责人需对其进行安全教育学习。 故意制作、传播计算机病毒等破坏性程序的， 违反法律规定， 利用互联网侵犯用户的通信自由和通信秘密l 交由公安机关处理。访问控制管理访问管理制度使用范围：全体员工权限分配 用户申请上网登录用户。 部门责任人核实身份。 用户提交到IT责任人。 系统管理员和普通权限。1.访问控制 控制从外部对网络的访问 拒绝任何类型的未授权的外部访问 使用防火墙2.访问记录管理 访问监控 系统日志 日志保存特权管理为了适当地管理网络系统、操作系统和应用系统， IT 负责人在各部门管理者协商的基础上，可以任命特权管理员 并授权他们拥有在需要的时候更改系统配置的特权。 在选择特权管理员时， IT 负责人和各部门管理者必须仔细审查他们的能力和资质； 特权管理员的数量必须处于最低限度。 特权管理员的用户账户和密码管理 特权管理员的用户账户和密码必须进行比一般用户更加严格的管理，详细的要求参见文件管理制定的规定。 外部相关方访问组织信息资产时， IT 责任人作为该外部相关方的管理者必须保证采取适当的访问控制。1.使用步骤： 制定系统管理员和普通员工账户分配表 各部门员工通过OA申请相应权限。2.管理员审核： 选择特权管理员时，必须审查他们的能力和资质。 特权管理员口令比一般用户更加严格。 特权管理员数量处于最低限度。权限检查 每月进行管理员账户审查。 清理，关闭离职管理员账号。 及时收回不需要管理的账号。3.处罚措施1 密码设置不安全的，部门安全教育2 管理员账户丢失的,当月绩效-20分3 赋予特权的账户，记住、忘记、更改密码的当月绩效为C。4 超越权限，或者私自变更权限的，情节严重者将进行辞退。网络与操作安全网络与主机系统的安全适用范围：全体员工为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行制定本制度。1.员工电脑的安全防御。 IT部门每月进行员工电脑病毒扫描。 记录使用异常的电脑。 报告给信息中心。 信息中心根据情况后，制定更安全的预防办法2网络安全防御 使用硬件防火墙。 屏蔽不需要的端口。 更改常用端口号 定期更换登录密码 监控服务器网络情况。备份3. 备份类型 完全备份：对备份的内容全体备份 增量备份：仅备份相对于上一次备份后新增加和修改过的数据 差异备份：仅备份相对于上一次完全备份之后新增加和修改过的数据。 按需备份：仅备份应用系统需要的部分数据。4.备份管理 每月进行所有数据库异地备份。 备份哇嘎包括虚脱所有关键数据。包括操作系统。软件。 备份数据设置管理标识。进行存档。审计安全5.安全管理相关标准： ISO IEC27000 COSO COBIT ITIL NISTSP8006. 行为分析： 人工记录与分析 利用程序记录行为和分析7.安全审计类型： 通过日志应用系统及数据库进行日志采集，将数据发送到信息安全小组，进行审计记录，进行数据备份，分析然后生成报告。 开启上网行为管理器，对员工的上网行为监控，可达到安全漏洞，合法，非法的操作。 机房服务器利用防火墙和主机IDS/IPS的安全审计功能。进行漏洞扫描。有效控制服务器安全。8.审计日志内容： 用户的注册信息， 用户登录信息，IP 用户发布内容9.审计日志保存时间 系统日志信息保存12个月。 用户发布内容日志时间保存36个月。10.处罚标准： 员工电脑不当求使用电脑,导致中毒的对重要文件丢失的罚款500元 机房管理员不按要求进行数据备份的，当月绩效扣10分。 安全审计日志保存不按要求的，信息安全小组将在年终报告点名提出并罚款1000元。应用安全安全评估适用范围：技术部1. 新功能上线评估制度 产品书面申请描述新功能的具体作用及展现模块。 新功能说明书需提交部门负责人签字确认。 估算新功能的开发成本，确定开发环节。 根据会议最终决定新功能是否开发，并制定开发计划表，进行开发进度跟踪。用户管理1.用户申请，注销，权限申请。 申请人提交账户申请流程。 部门领导确认进行审批， 审批通过后。 系统管理人员创建账号。做好账号分级权限设置。2.账户的管理 系统管理员记录用户申请，停用，变更情况。 定期修改登录密码，不得将账户，密码泄露给他人。 用户账户出现不明登录地点时，应及时报告，和修改密码。 登记账户使用人，3用户审核： 注册用户需要登记身份证信息，上传有限证件 用户的头像，备注进行审核 用户资质验证。 4.违法处理措施： 对用户设置黑名单机制， 用户举报 网站巡检内容审核发现 发送大量违法信息。 该用户自动加入黑名单。 禁止该账户使用。违法有害信息防范和处置1. 有害信息的防范： 对委托发布信息的单位和个人进行登记并存档 检查，杜绝隐含不法言论内容出现。 使用的电脑没有病毒，上传完毕信息后及时关闭后台。 对所有用户输入而且有可能显示给其他用户的信息进行内容检测和严格过滤。 对于用户涉及财产，风险投资相关的操作，必须开具相关的资产证明2.有害信息的监控： 用户的大额交易必须由后台提供审核。 对所有上网行为进行监控，增加摄像头，监控用户的行为。 设立及时报警机制，一旦发生违法行为，保留现场证据，立马报警 采用人工或自动化方式，对发布的信息逐条审核。 技术措施过滤违法有害信息 技术措施对有害信息源实施控制，防止继续传播3.7X24h信息巡查： 人工信息寻查。 利用机器对关键字进行巡查。 用户发布的信息审查机制。4.对违法信息的处置 涉嫌违法犯罪线索、异常情况报告给信息安全小组 安全小组根据制度进行处理 对于犯罪的提交给公安机关进行处理。， 破坏性程序防范 检查用户发布的软件是否是计算机病毒等恶意代码 员工电脑安装360杀毒软件 计算机系统及时打上最新补丁。 对重要文件做好及时备份，以便破坏及时恢复。 个人电子信息保护技术措施 每月开展员工信息安全培训，做到时刻树立安全保护意识。 搜集，使用用户的个人信息，应遵守法律，行政法规的有关归定。 通过加密手段进行用户信息保存。 建立数据分类使用，数据安全开发规范来管理个人信息。个人信息泄露事件的处理1.网络安全事件应急预案 安全事件发送时立即报告给信息安全小组 组长根据信息安全规章通知组员进行预案处置。 通知相关部门。 情节严重的通知公安机关。2. 泄露事件处理 当发现个人电子信息泄露事件后，立即采取补救措施，。 关闭相应漏洞。防止信息继续泄露 通过与全量用户发送通知短信提醒修改密码。投诉投诉制度1. 目的：为了规范公司投诉事件的处理程序，使得投诉事件能够得到及时公正合理的解决，提升公司对外形象，特制定本制度。2. 适用范围： 本制度适用于公司所有的投诉事件。3.客户投诉管理部门是处理客户、员工投诉的责任部门，对客户、员工投诉的事件具有调查、取证、做出判定和处罚的权利。4.投诉受理人职责 受理人收到员工通过电话或直接到投诉部门的投诉，必须做好详细登记。 负责责任归属判定和事件汇总、汇报 负责事件回复、追踪。 投诉电话的接听及案件的登记。 投诉案件的责任归属判定。 协助有关部门处理投诉案件及追踪处理结果。 负责对投诉事件的处理结果的回访。投诉渠道1投诉类型 电话投诉 传真投诉 电子邮件投诉 网上留言。 上门投诉处罚标准： 客户投诉需要在30分钟之内给出答复。 对投诉的问题延迟处理，托延的 不对问题解决情况，回访的。 按照公司奖惩管理制度进行执行。分包商基本要求为进一步规范公司分包商管理， 吸收、整合外部优势资源， 充分发挥竞争功效，打造一支资质合规、诚实守信、规模适度、共赢发展、具有相当抗风险能力和履约实力的分包商队伍， 满足公司需求， 促进企业长期可持续健康发展，特制定本管理办法。1. 分包商选用： 签订合同 进行资质，履行能力审核 活得分包商资格 承揽任务2竞争原则： 分包进行招标 进行资质审核 择优选择 3.分包商分类 广告承包 后台系统 技术支持 4.处罚措施： 分包商应按照国家法律，法规进行项目内容分包， 一旦发现违规行为，公司立即与其解除合同，违法犯罪的将移交公安机关。安全事件管理安全事件管理制度1.目的 减少公司安全事件发生, 保障平台安全运行。2. 适用范围：全体员工 公司应对信息安全中心实施24小时值班制度，并时刻监控公司各网络核心设备服务。 每日需记录值班情况，若发现异常情况，立即向安全应急小组和有关部门报告。 制定安全事件应对处置计划书，组织人员学习并进行安全事件演练。 事件得到确认后，应立即报告有关领导，若有违法事件，需移交公安机关处理。应急预案 公司应成紧急故障处理小组 系统突发故障后，应立即通知相关领导。 应急小组及时恢复系统，并确保正常运行。 应急处理结束后应将