互联网信息内容安全管理制度

互联网信息内容安全管理制度我国的互联网信息内容安全管理制度主要体现在《计算机信息网络国际联网安全保护管理办法》中，该办法第10条规定：“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；（四）对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核；（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。”互联网信息发布单位包括网络接入单位，从事信息服务的联网单位，开办电子公告版、新闻组、提供广播式发送电子邮件功能的联网单位等，这些信息发布单位必须建立和完善自己单位的互联网信息内容安全管理制度，严格依照法律规定进行信息内容安全管理，否则要承担相应的责任。《计算机信息网络国际联网安全保护管理办法》第21条规定：“有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。（一）未建立安全保护管理制度的；（二）未采取安全技术保护措施的；（三）未对网络用户进行安全教育和培训的；（四）未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的；（五）对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的；（六）未建立电子公告系统的用户登记和信息管理制度的；（七）未按照国家有关规定，删除网络地址、目录或者关闭服务器的；（八）未建立公用帐号使用登记制度的；（九）转借、转让用户帐号的。”第一节互联网信息内容安全管理责任一、互联网信息服务单位安全管理的法律责任《计算机信息网络国际联网安全保护管理办法》第5条规定：“任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： （一）煽动抗拒、破坏宪法和法律、行政法规实施的； （二）煽动颠覆国家政权，推翻社会主义制度的； （三）煽动分裂国家、破坏国家统一的； （四）煽动民族仇恨、民族歧视，破坏民族团结的； （五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的； （六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； （七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的； （九）其他违反宪法和法律、行政法规的。” 第6条规定：“任何单位和个人不得从事下列危害计算机信息网络安全的活动：（一）未经允许，进入计算机信息网络或者使用计算机信息网络资源的； （二）未经允许，对计算机信息网络功能进行删除、修改或者增加的； （三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； （四）故意制作、传播计算机病毒等破坏性程序的；（五）其他危害计算机信息网络安全的。”第7条规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”第10条规定：“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；（四）对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核；（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。”第12条规定：“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。”《互联网信息服务管理办法》第14条规定：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”第16条规定：“互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。”二、互联网单位备案责任互联网单位，是指在中华人民共和国境内，通过专线或接入网络与互联网相连接的单位。互联网单位包括互联网运营单位、互联网信息服务单位、联网单位等。《计算机信息网络国际联网安全保护管理办法》第11条规定：“用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。”第12条规定：“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。”第23条规定：“违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不超过六个月的处罚。”互联网接入服务单位、互联网数据中心、互联网信息服务单位、互联网联网单位均为备案对象。以上单位凡服务器托管地与维护地不在同一行政区划内的，都必须向服务器托管地和维护地的公安网监部门申请备案。备案要求如下：（一）互联网接入服务单位（ISP）备案互联网接入服务单位的界定互联网接入服务单位（InternetServiceProvider，简称ISP），是指负责提供互联网接入网络运行的单位。接入网络，是指通过接入互联网络进行国际联网的计算机信息网络；接入网络可以是多级连接的网络。互联网接入服务单位备案提交的材料（1） 公安部统一制定的备案表一式两份（加盖备案单位公章）；（2） 本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）；（3） 信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件；（4） 本单位的计算机信息网络安全保护管理制度，包括互联网公用帐号登记制度、互联网安全保护管理制度、互联网安全应急处置制度等；（5） 互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等;（6） 本单位的网络拓扑图（标明内部IP使用情况）；（7） 本单位的IP分配、使用和变更情况；（8） 本单位的接入方式，使用、新增和变更情况；（9） 本单位的用户注册登记、使用与变更情况（包括固定IP用户、动态IP用户、托管主机用户）。（二） 互联网数据中心（IDC）备案互联网数据中心的界定互联网数据中心（InternetDataCenter，简称IDC），是指向企业、商户或网站服务器群提供大规模、高质量、安全可靠的专业化服务器托管、虚拟空间租用、网络带宽出租等业务的平台。互联网数据中心备案提交的材料（1） 公安部统一制定的备案表一式两份（加盖备案单位公章）。（2） 本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）。（3） 信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件。（4） 本单位的计算机信息网络安全保护管理制度，包括信息发布审核制度、24小时交互式栏目信息巡查制度、互联网公用帐号登记制度、互联网安全管理制度、互联网安全应急处置制度等。（5） 互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等。（6） 本单位的网络拓扑图（标明内部IP使用情况）。（7） 本单位IP分配、使用和变更情况。（8） 本单位所有托管主机服务用户的基本情况，包括网站相关资料、负责人信息、联系方式等。（三） 互联网信息服务单位（ICP）备案互联网信息服务单位的界定互联网信息服务单位（InternetContentProvider，简称ICP），是指通过互联网向上网用户提供信息服务活动的单位。互联网信息服务单位备案提交的材料（1） 公安部统一制定的备案表一式两份（加盖备案单位公章）。（2） 本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）；个人网站应提交计算机安全员名单及联系方式。（3） 信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件。（4） 本单位的计算机信息网络安全保护管理制度，包括信息发布审核制度、24小时交互式栏目信息巡查制度、互联网公用帐号登记制度、互联网安全保护管理制度、互联网安全应急处置制度等。（5） 互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等。（6） 本单位的网络拓扑图（标明内部IP使用情况）。（7） 网站网页基本情况，网页栏目设置与变更及栏目负责人的情况。（8） 提供服务或开办栏目的种类，重点说明新闻、交互式栏目、邮件服务、搜索引擎等情况；针对各种服务类型制定的安全保护管理制度及安全保护技术措施等。（四）互联网联网单位备案互联网联网单位备案的界定互联网联网，是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络，以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相连接。互联网联网单位，是指通过接入网络与互联网连接的计算机信息网络用户。社区、学校、图书馆、宾馆、咖啡馆、娱乐休闲中心等向特定对象提供上网服务的场所也应纳入互联网联网单位管理。互联网联网单位备案提交的材料（1） 公安部统一制定的备案表一式两份（加盖备案单位公章）；（2） 本单位的计算机信息网络安全组织成员名单，包括本单位负责人、两名计算机安全员（含联系方式）；（3） 信息网络安全专业技术人员继续教育证书（或计算机安全员证书）复印件；（4） 本单位的计算机信息网络安全保护管理制度，包括互联网安全保护管理制度、互联网安全应急处置制度等；（5） 互联网安全保护技术措施，包括网络安全审计、防病毒防黑客攻击措施等；（6） 本单位的网络拓扑图（标明内部IP使用情况）。三、互联网信息服务单位安全管理责任（一）互联网信息服务单位建立安全管理制度的责任要求（1）建立用户、个人上网日志记录保存制度。交互式栏目记录发帖用户IP地址、时间；主页修改访问记录访问者的IP地址、起始时间和终止时间。以上原始记录应至少保留60天，并在公安机关依法检查或查询时，予以提供。（2）建立信息发布和链接网站审核、登记制度。网站对委托发布信息源的单位和个人进行登记，信息源单位须凭单位介绍信，个人须凭有效身份证件办理委托发布信息的手续;对信息源单位提供的信息内容要依照《计算机信息网络国际联网安全保护管理办法》中第4条和第5条的规定进行审核；对本网站上的宣传主页及链接站点要经常进行检查，发现问题后应在24小时内报告当地公安网监部门，备份后删除。（3）建立聊天室、电子公告栏、留言板、个人主页上传服务等交互式栏目的信息监视、保存、清除和备份制度。网站应建立由信息审核员（开办单位）、站长（BBS站）、栏目主持人（各类栏目）组成的三级管理，分级负责制。开设BBS的网站应设专职的BBS站长，站长负责对栏目的设置、栏目主持人的资格进行严格考察，明确规定开办的栏目内容和范围；栏目主持人要加强对用户的正确引导和管理，对栏目信息要经常检查，发现重大事件及时报告。实行信息监控制度，发现有害信息做好备份并及时删除，同时报告公安机关：①栏目明确制度。网站应明确BBS开设的各具体栏目和类别，如时事论坛、网民聊天室、文化艺术类留言板、IT行业布告板、新闻跟帖等。②实行版主负责制度。网站开设BBS时应有专门人员对BBS实施有效管理。获准开展BBS的网站必须对获得批准的各个BBS栏目指定专门人员作为版主，并实行版主责任制。版主负责监管该栏目的信息内容，除采取必要的技术手段外，应对登载的信息负有人工过滤、筛选和监控的责任。一旦发现BBS栏目中有违法违规的内容，将追究网站和该栏目版主的责任并予以处理。③对BBS用户发出的信息应预先进行技术和人工审核。（4） 建立搜索引擎安全保护管理制度。（5） 建立异常情况及违法犯罪案件报告和协查制度。落实案件、事故报告和调查协助工作机制，凡发现有违反国家法律、法规的行为，应保留有关原始记录，做好数据备份，并于24小时之内向当地公安机关报告，重大案件和事故应立即报告，并配合公安机关做好调查处置工作。（6） 建立安全教育和培训制度。对网站相关部门的安全专管员、技术员等进行定期或不定期的安全教育和培训，积极参加公安机关开展的专题安全培训工作，并建立培训台账。（7） 建立重要网络系统的系统备份及应急预案制度。针对网站实际建立信息网络重大事故案件应急预案工作机制，定期或不定期进行演习，并建立工作台账。（二）电子邮件服务安全管理责任要求电子邮件服务安全管理责任（1）应当将电子邮件服务和使用规则告知用户，并向用户提供举报和投诉垃圾电子邮件的方式。（2） 电子邮件服务器应当使用固定IP地址。（3） 应当及时堵塞电子邮件服务器安全漏洞。（4） 向用户提供群组发送电子邮件服务的，应当建立相应的管理制度。（5） 提供公众电子邮件服务的，应当向用户提供自行屏蔽垃圾电子邮件的方式。（6） 应当遵守国家相关管理规定和技术标准。（7） 应当对用户的电子邮件内容和个人信息采取保密措施，除国家有关机关依法检查外，不得向他人提供用户的电子邮件内容和个人信息，不得将用户的个人信息用于获取目的以外的其他用途。安全保护管理制度要求（1） 网络安全漏洞检测和系统升级管理制度。必须定期对电子邮件服务器进行安全漏洞检测，同时对系统进行升级。（2） 操作权限管理制度。规范管理电子邮件服务器管理员的管理权限，确保责任落实到人。（3） 用户登记、验证制度。用户必须注册后才可使用电子邮箱。对外提供电子邮件服务的，用户的注册资料必须包括用户的手机号码或常用的电子邮箱，网站必须对用户注册的手机号码或电子邮箱进行验证；对单位内部提供电子邮件服务的，负责电子邮件服务开设的管理员必须妥善保管用户递交的电子邮件开通申请或开通登记表中用户的姓名及联系方式等信息。（4） 建立应急处置预案。有关单位应当建立对网络突发事件的应急处置预案。（5） 报警制度。对电子邮件服务器中发生的安全事故及各种违法事件，维护单位应当采取应急处置预案，保留有关原始记录，在24小时内向当地公安网监部门报告。（6） 协查制度。公安机关行政执法过程中，有关单位应当如实提供有关资料，并提供相关技术支持和必要协助。（7） 联络制度。设定专人24小时与公安机关保持畅通的联系渠道，联系方式必须包括手机、值班电话、电子邮箱，如有变更，应及时与公安机关联系。（8） 告知制度。应当将电子邮件服务和使用规则告知用户，服务商应向用户公示举报和投诉有害垃圾电子邮件的方式，建立反有害垃圾电子邮件工作制度；同时还应公布公安机关的举报电话和举报电子邮箱。安全保护技术措施要求（1） 垃圾电子邮件清理功能技术要求：①具备对发送垃圾电子邮件的特定网络地址、电子邮箱进行屏蔽的功能；②具备限制来自相同客户端网络地址的并发连接数量超过最大限制值的功能；③具备限制来自相同客户端网络地址的连接频率超过最大限制值的功能;④具备限制本地电子邮件用户一次性发送同一电子邮件发送数量的功能;⑤具备判别电子邮件虚假路由，对伪造虚假路由的电子邮件限制发送的功能；⑥具备关闭电子邮件服务器匿名转发或采取用户身份认证、电子邮件转发授权控制措施的功能；⑦具备对大量群发、连发同样特征的已知垃圾电子邮件进行拦截的功能，其中特征指电子邮件长度、信头字段、信体符合特定条件。（2） 通过在线或者离线两种方式向公安机关提供有害垃圾电子邮件。（三） 互联网娱乐平台安全管理责任要求互联网娱乐平台安全管理单位，是指以公共信息网络为平台，发行、运营互联网网络游戏的单位和互联网网络游戏开发、代理、运营的单位。安全保护管理制度要求（1） 建立用户发布信息责任公告制度和有害信息用户举报渠道。（2） 发生网络安全事故、事件的报告制度。（3） 发现含有有害信息的地址、目录或者服务器时，应当通知有关单位关闭或删除。（4） 建立健全网上违法犯罪案件协查工作制度。（5） 报警制度。对各种违法事件，维护单位应当采取应急处置预案，保留有关原始记录，在24小时内向当地公安网监部门报告。（6） 联络制度。设定专人24小时与公安机关保持畅通的联系渠道，联系方式必须包括手机、值班电话、电子邮箱，如有变更，应及时与公安机关联系。安全保护技术措施要求（1） 留存用户注册信息，记录用户登录和退出的网络地址、时间，并留存60天。用户自己注销帐户后，该帐户信息及其之前上网记录应保留60天后再删除。（2） 有害信息过滤、删除、留存措施。（3） 联网报警措施。（4） 网络游戏用户虚拟财产保护技术措施。（四） 点对点信息服务安全管理责任要求点对点信息服务安全管理单位，是指以点对点共享网络为平台，进行点对点文件共享和数据交互及其他点对点信息服务的单位。安全保护管理制度要求（1） 建立用户发布信息责任公告制度和有害信息用户举报渠道。（2） 建立信息安全管理人员教育和培训制度。（3） 报警制度。对各种违法事件，维护单位应当采取应急处置预案，保留有关原始记录，在24小时内向所在地公安网监部门报告。（4） 联络制度。设定专人24小时与公安机关保持畅通的联系渠道，联系方式必须包括手机、值班电话、电子邮箱，如有变更，应及时与公安机关联系。安全保护技术措施要求（1） 留存用户注册信息，记录用户登录和退出的网络地址、时间，并留存60天。（2） 信息发布、信息搜索、消息广播和文件共享服务中对有害信息的过滤。（3） 联网报警措施。（五） 互联网短信息安全管理责任要求互联网短信息服务安全管理单位，是指以互联网信息服务单位提供的信息交换平台进行文字、图片等短信息交流的单位。安全保护管理制度要求（1） 建立用户发布信息责任公告制度和有害信息用户举报渠道。（2） 建立信息安全管理人员教育和培训制度。（3） 报警制度。对各种违法事件，维护单位应当采取应急处置预案，保留有关原始记录，在24小时内向当地公安网监部门报告。（4） 联络制度。设定专人24小时与公安机关保持畅通的联系渠道，联系方式必须包括手机、值班电话、电子邮箱，如有变更，应及时与公安机关联系。安全保护技术措施要求（1） 留存用户注册信息，记录用户登录和退出的网络地址、时间，记录用户发送的短信息时间、源地址和目标地址，并留存60天。（2） 具有对同一用户大量发送短信息、发送有害短信息的发现报警和限制功能。（3） 联网报警措施。（六） 网上公共信息场所安全管理责任要求网上公共信息场所安全管理单位，是指通过互联网向上网用户提供信息或者电子公告、BBS、论坛、网络聊天室、网页制作、即时通讯等交互形式，为上网用户提供信息发布条件，为市民提供公共信息场所的单位。安全保护管理制度要求（1） 信息先审后发制度。通过人工或者技术的方式，对用户发布在网上公共信息场所的信息实行先审后发。（2） 信息巡查报告制度。实行人工信息巡查，发现有害信息时，应做好备份并及时删除，同时报告公安机关。（3） 异常情况及违法犯罪案件报告和协查制度。落实案件、事故报告和调查协助工作机制，凡发现有违反国家法律、法规的行为，应保留有关原始记录，做好数据备份，并于24小时之内向当地公安机关报告，重大案件应立即报告，并配合做好调查处置工作。（4） 安全教育和培训制度。对网上公共信息场所信息安全管理员、技术员等进行定期或不定期的安全教育和培训，积极参加公安机关开展的专题安全培训工作。（5） 重要网络系统的系统备份及应急预案制度。针对网上公共信息场所实际建立信息网络重大事故案件应急预案工作机制，定期或不定期进行演练，并建立工作台账。安全保护技术措施要求（1） 建立BBS、论坛、留言板、聊天室等交互式栏目日志记录。（2） 留存用户登录、退出等日志记录60天以上。（3） 对发送有害信息的特定IP地址进行采取技术限制措施。（4） 对有害信息进行技术过滤。第二节安全管理人员岗位制度一、安全管理人员概述（一）人员管理规则安全管理人员的安全职责应该在聘用员工的阶段就开始实施，还应包括在合同中，并在员工的聘用期内实施监督机制。对将要聘用的员工应该给予充分的筛选，特别是从事敏感工作的员工。所有使用信息处理设备的员工和第三方用户都要签署保密协议。工作职责中的安全要求应该对组织信息安全方针中所规定的安全作用和责任进行恰当的表述。这些作用和责任应该包括实施和维护安全方针的总体责任、保护特定资产和执行特定的安全流程或行为的具体责任。人员任用方针对于申请长期工作的员工，要进行资格检查，应当包括以下的管理措施：（1） 是否具有令人满意的人品推荐材料，如针对一份工作的或针对一名员工的推荐材料；（2） 对申请人的简历的完整性和准确性的检查；（3） 对申请人的学术和专业资格的认可；（4） 独立的身份检查（护照或类似的证明材料）。管理人员应该对有权访问敏感系统的新员工或是缺乏经验的员工进行监督。所有员工的工作应该接受定期的检查，审批程序应该由员工中的资深人员来进行。管理人员应该意识到员工的个人环境会影响其工作。个人问题或是经济问题会改变员工的行为或生活方式，引起精神压力或忧郁。因此类变化会导致诈骗、盗窃、错误或其他安全隐患，所以，应该依据相应权限范围内适当的法规来处理这类问题。保密协议保密或不泄密协议的目的是对保密性的秘密信息给出声明。员工通常都要签订此类协议，作为他们受雇的首要条件。对于没有签订保密协议的临时员工和第三方用户，应要求他们在有权访问信息处理设备之前签订保密协议。在雇用条款或合同发生变化时，特别是员工要离开组织或合同到期时都应对保密协议进行审查。员工守则员工守则应该说明员工在信息安全方面的责任。如有必要，这些责任在雇佣关系结束后的一段时间内仍然有效。员工守则还应该包括员工违反安全要求时所采取的行为。员工守则中应明确说明和涵盖员工的合法责任和权利，如版权法和数据保护法方面的权利。员工在数据分类和管理方面的责任也应包含在内。如有必要，员工守则还应声明：这些责任可以外延到组织范围之外和正常的工作时间之外，如家庭工作的情况。（二）安全培训组织中所用员工以及必要情况下的第三方用户，都应该接受适当的培训，并了解安全管理方针和流程的经常性更新。这包括安全要求、法律责任和运营控制，以及在授权访问信息和服务之前的正确使用信息处理系统方面的培训，如登录流程、软件的使用等。用户培训需贯穿于组织实体的建设、持续运营的全过程。无论是岗位调度、设备更新还是移动办公，都需要开展广泛、反复的培训计划和实施工作。可以认为，本章前两节所述均是贯彻于用户培训的内容。（三）安全事故和故障处理中的员工职责安全事件报告安全事件应该通过适当的管理渠道尽快地汇报上去。应建立一套汇报流程，并实践之。要确定接到事故汇报后所应该采取的行动。所有的员工和签约者都应了解汇报安全事件的流程，并要求在发生安全事件之后尽快进行汇报。实施适当的反馈流程来确保在安全事件处理结束之后及时反馈处理结果。发生的事件可以用作用户安全意识培训，用以说明会发生哪些事件，对这些事件做出何种反应以及以后如何避免再发生此类事件。安全漏洞汇报要求使用信息服务的用户记录并汇报所观察到的或所怀疑的系统或服务中的安全漏洞或安全威胁，并把此类事件尽快汇报到他们的管理人员处或直接汇报给服务提供商。但应向用户强调，在任何情况下他们都不应试图对所怀疑的安全漏洞进行论证。这对他们自身有益处，因为测试安全漏洞的行为有可能被认为是对系统潜在的误用。软件故障报告建立一套汇报软件故障的流程，应考虑以下行为：（1） 出现问题的征兆和任何在屏幕上显示的信息都要被记录下来。（2） 如有可能，计算机应被隔离，并停止对其的使用。如果要对设备进行检查，应在重新启动之前将其从组织的网络上隔离下来。使用的软盘不得应用于其他计算机。（3） 有关事故应该尽快汇报给信息安全经理。用户如果未经授权不得试图删除所怀疑的软件，应该由经过适当培训并有经验的员工来执行恢复工作。违规处理要求建立相应的机制，对事故的类型、数量、成本进行量化和监督。这类信息可用作以后鉴别重大事故或有重大危害的事故，这也表示有必要提高或增加额外的控制措施来限制以后安全事故发生的频率、损失程度和成本，或是在安全方针的审查流程中加以考虑。应建立正式的违规处理流程来处理违反组织安全方针的员工。该流程可以对那些可能忽视组织安全方针流程的员工起到威慑作用。另外，要确保对怀疑制造严重或持续性安全破坏的员工的处理的正确性和公平性。二、安全管理人员的岗位职责各单位应根据自己的实际情况制定出本单位的安全管理人员岗位责任制度。下面我们先看一个单位自行制定的安全管理人员岗位责任制度。安全管理人员岗位责任制度第一条组织工作人员认真学习《计算机信息网络国际联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。第二条负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际联网安全保护管理办法》，使他们具备基本的网络安全知识。第三条加强对信源单位的信息发布和电子公告系统的信息发布的审核管理工作，杜绝违反《计算机信息网络国际联网安全保护管理办法》的内容出现。第四条一旦发现从事下列危害计算机信息网络安全的活动的，做好记录并立即向当地公安机关报告：（一） 未经允许，进入计算机信息网络或者使用计算机信息网络资源的；（二） 未经允许，对计算机信息网络功能进行删除、修改或者增加的；（三） 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；（四） 故意制作、传播计算机病毒等破坏性程序的；（五） 从事其他危害计算机信息网络安全的。第五条在信息发布的审核过程中，如发现有以下行为的，将一律不予以发布，并保留有关原始记录，在二十四小时内向当地公安机关报告：（一） 煽动抗拒、破坏宪法和法律、行政法规实施的；（二） 煽动颠覆国家政权，推翻社会主义制度的；（三） 煽动分裂国家、破坏国家统一的；（四） 煽动民族仇恨、民族歧视，破坏民族团结的；（五） 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（六） 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七） 公然侮辱他人或者捏造事实诽谤他人的；（八） 损害国家机关信誉的；（九） 其他违反宪法和法律、行政法规的行为。第六条接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络实施的违法犯罪行为。这个安全管理人员岗位责任制度实际上是比较简单的，其规定也比较原则化，实际操作性不强。互联网安全管理人员及其岗位责任具有非常具体而细致的内容。一般来说，互联网安全管理人员根据其岗位的不同可以被划分为以下几类：安全管理责任人、安全管理员、信息审核员和信息管理员。下面分别介绍他们各自的岗位责任。（一） 安全管理责任人互联网联网单位应确定安全管理责任人。安全管理责任人实行领导责任制。安全管理责任人应履行下列职责:组织宣传信息安全管理方面的法律、法规和有关政策；拟订并组织实施本单位信息安全管理的各项规章制度；定期组织检查信息安全情况，及时排除各种安全隐患;负责组织安全稽核;负责组织本单位信息网络安全人员的安全教育和培训；发生安全事故或计算机犯罪案件时，立即向公安机关、主管部门报告并采取妥善措施，保护现场，避免危害的扩大。（二） 安全管理员安全管理员是负责互联网联网单位的信息安全管理工作的人员。一般来说，安全管理员应具备以下条件：遵守国家法律、法规，无违法犯罪记录；具有一定的信息网络专业技术知识；经过信息网络安全专业技术人员继续教育培训，并考试合格；基本掌握国家信息网络安全方面的法律、法规和有关政策。安全管理员的职责一般是：依据国家有关法规政策，从事本单位的信息网络安全保护工作，确保网络安全运行；在公安机关公共信息网络安全监察部门的监督、指导下进行信息网络安全检查和安全宣传工作；向公安机关及时报告发生在本单位网络上的有关信息、安全违法犯罪案件，并协助公安机关做好现场保护和技术取证工作；有关危害信息网络安全的计算机病毒、黑客等方面的情报信息及时向公安机关报告;与信息网络安全保护有关的其他工作。安全管理员的安全责任一般包括：第一，要认真学习党的教育方针，认真学习专业知识，刻苦钻研业务。要有高度的事业心和责任感，严格遵守各项规章制度，认真履行自己的职责，服从单位安全组织的领导，担负单位网络和信息安全保护工作。第二，加强防范意识和措施，确保网络设备的安全。密切与单位各有关人员的联系，执行各项安全规章。第三，安全管理员要熟悉掌握设备的性能、使用方法及具备排除一般故障的能力，要定期对设备进行安全检查。第四，按照计算机安全管理行业技术规范要求，定期对单位计算机信息系统进行安全检查测试，及时排除各种安全隐患。第五，接受公安机关的安全技术培训，加强与公安机关的联系。发生计算机犯罪案件时，应采取妥善措施，保护现场，避免危害的扩大，及时向单位主管部门汇报。（三）信息审核员信息审核员是负责对互联网信息发布进行审核的专门人员。单位的信息审核员具体负责本单位的信息发布，对所在单位上网发布的信息进行审核，并签发同意发布意见，要求对发布信息的申请人姓名、信息的内容、发布的时间进行检查和登记，对过时的信息应要求所属信息管理员进行及时的删除，同时进行登记和备份，并进行硬盘或光盘的备份。（四）信息管理员信息管理员主要负责单位的网站管理，定期更新单位网站内容。单位信息管理员应监视本单位网站内容，防止有害信息的传播，发现有害信息的应立即报告。发生计算机违法犯罪案件时，立即向当地公安网监部门报告并采取妥善措施，保护现场，避免危害扩大。信息管理员要确保与公安网监部门联系渠道的畅通，发现有害信息能及时报告。信息管理员应承担以下工作责任：负责本单位网站安全运行；负责本单位网站的信息安全；熟悉计算机网络应用技术及正常使用方法，做好信息提供服务；不断学习计算机网络技术和信息安全等有关知识，努力提高自身的工作水平；对上传的信息认真检查，合格后方可发布，并且填好有关记录；有独立服务器的单位，所属信息发布设备不得随意提供给他人使用，并定期检查设备和操作系统安全。第三节信息发布、审核、登记制度信息发布、审核，是指互联网信息发布单位在发布互联网信息时应进行审核，所发布的信息不得含有色情信息及色情图片，不允许以散布暴力、凶杀或者教唆犯罪为目的，不能包含色情、反动、赌博、六合彩、影响民族关系、进行人身攻击或其他非法内容和令人反感的内容，且不能含有指向这些内容的链接。首先，色情内容包括：任何面向18岁以上成年人的内容；成人色情内容；包含裸体或色情活动的图片、影像以及链接；粗俗或下流的语言。其次，信息内容必须符合中国宪法的基本原则，杜绝出现损害国家荣誉、破坏社会安定的内容，如涉嫌分裂祖国、鼓吹“法轮功”等非法组织、反党反政府的内容一律不予通过。最后，含有法律、行政法规禁止的其他内容的，均不予审核通过。信息发布、审核的主体为信息发布单位。在我国通常包括网络接入单位，从事信息服务的联网单位，开办电子公告版、新闻组、提供广播式发送电子邮件功能的联网单位，使用公用帐号的联网单位等。具体的审核工作由单位设立的信息审核员完成。信息发布单位对本单位制作的信息或者委托其发布的信息要有审核手续。一般应由各权

限部门、单位的负责人填写各单位《信息发布审核登记表》后，方可对外发布。制作和发布信息的单位和个人必须对其提供信息资料的合法性、真实性负责。下面是一个单位《信息发布审核登记表》范本。信息发布审核登记表填表时间：年月曰申请发布单位填写单位名称申请时间年月曰联系人联系电话联系信箱发布介质□1.网站 口2.电子屏标题主要内容（可另附页）负责人意见负责人签名： 年月日提供形式□1.U盘 口2.电子邮件 口3,软盘有效期1.短期 （年月日时至年月日时）2.长期审核单位填写单位分管领导审核意见信息中心填写接收时间年月日接收人信息中心意见签名：年月日上网时间年月日办理人是否发布口是□否是否备案口是□否信息发布单位对委托发布信息的单位和个人应进行登记，登记内容包括单位名称、委托人姓名、个人有效身份证号码、联系电话和委托发布信息类别及题目。一般来说，信息的信源单位须凭单位介绍信，个人须凭有效身份证件办理委托发布信息的手续。信息的信源单位对提供的信息进行程序限定，限制带有某些不良词汇的信息发布。发现有害信息，信息发布单位应拒绝办理并及时报告当地公安机关。对以虚拟主机方式接入的单位，系统要做好用户权限设定工作，不能开放其信息目录以外的其他目录的操作权限。所有使用本网发布信息的用户必须进行登记注册，签订服务协议，并在本网登记包括Email在内的其他相关信息，并在数据库中记录IP地址。信息内容的审核标准为《计算机信息网络国际联网安全保护管理办法》第5条的规定：“任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家、破坏国家统一的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。”根据《计算机信息网络国际联网安全保护管理办法》制定本单位的信息发布、审核、登记制度。下面是一个信息发布单位自己制定的信息发布、审核、登记制度，可以作为参考：信息发布、审核、登记制度一、 在网站发布的信息必须符合国家法律和法规，不得含有下列内容：违反宪法所确定的基本原则；危害国家安全，泄露国家秘密，煽动颠覆国家政权，破坏国家统一；损害国家的荣誉和利益；煽动民族仇恨、民族歧视，破坏民族团结；破坏国家宗教政策，宣扬邪教，宣扬封建迷信；散布谣言，编造和传播假新闻，扰乱社会秩序，破坏社会稳定；散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪；侮辱或者诽谤他人，侵害他人合法权益；法律、法规禁止的其他内容。二、 信息中心设立信息发布管理小组，由中心领导和相关管理人员组成，负责对信息的审核与管理。三、 管理小组对上网内容要严格审核、管理，以确保网上信息的合法性、真实性、准确性、及时性，坚决禁止不健康的信息上网。四、 各部门指派一人担任信息员（兼专职均可），主要负责采集、编录本部门的信息并向网站提供。信息员对所提供的信息内容负责。五、信息员采集的信息经部门负责人校审并签字后交由信息发布管理小组审核，根据分级发布和分级负责原则，对照有关规定审定方可提交网站上网发布。六、 上网的信息必须经审核，并以电子文档形式进行登记。未经审签的信息不得以任何理由或借口在网上发布。否则，一经发现视情节给予当事人批评教育、扣发奖金、行政记过等处分。七、 网上发布的文件、数据、文字及图像等信息统一由