信息安全管理制度

网络信息安全管理制度信息安全管理责任制总则1.1通过加强本公司办公设备、网站、公众号、OA办公系统等管理，保证网络信息安全正常运行，保证公司机密文件的信息安全，保障服务器和数据库的安全运行，加强本公司员工的网络信息安全意识，把相关工作做好。设备管理2.1本公司电脑设备仅用于本公司办公使用，不得用于工作无关的内容。2.2为保护办公电脑资料的安全，办公电脑必须设置密码，并且不能设置过于简单的密码，并应依据一定规则定期更新。2.3电脑配置采购由上级部门统一进行，电脑软硬件更换需上级管理人同意，未经许可任何个人不得随意拆卸更换电脑设备，私自拆卸、更换电脑设备，否则按公司相关规定赔偿并处理。数据安全管理3.1本公司工作所需的资料、数据，不得带出办公区。因外派等业务需带出的除外，但需始终注意做好相关资料的保密工作。外派等工作结束后，必须将相关资料数据及时带回，并清除保留在外面设备上的资料。3.2个人资料及工作资料应定期做好备份工作（重要资料应随时双重备份在其他电脑和其他介质上），以防病毒侵袭、硬件损坏等造成数据丢失。网络信息安全管理4.1新员工入职，在得到自己的账户名和密码后，应立即更改自己的密码。4.2不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害公司稳定的有关信息；不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动；不访问不明网站的内容，以避免恶意网络攻击和病毒的侵扰。4.3员工个人QQ、微信等其他网络通讯工具，在个人信息资料中不得包含公司相关（如公司电话、IP地址等）信息，在工作时间不使用QQ、微信进行与工作无关的事情。病毒防护管理5.1配备的办公电脑必须安装防毒软件。5.2任何人不得在公司的网络上制造、传播任何计算机病毒，不得故意引入病毒。网络使用者发现病毒应立即向上级部门报告以便获得及时处理。下载管理6.1不准在任何时间利用公司网络下载黑客工具、解密软件，系统扫描工具，木马程序等威胁系统和网络安全的软件。6.2本公司办公电脑不允许下载和在线观看与工作无关的软件或其他内容，如MP3、小说、电影、电视和图片等。6.3由于擅自进行下载/上传造成网络堵塞甚至瘫痪或致病毒传播者，一经核实，公司依据相关规定处理。信息安全评估1.信息安全风险评估（informationsecurityriskassessment）是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。2.信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。3.信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋值、已有安全措施确认、风险分析、风险评估记录等。三、用户信息安全管理1.相关内部人员不得对外泄露需要保密的信息；内部人员不得发布、传播国家法律禁止的内容；3.信息发布之前应该经过相关人员审核；4.对相关管理人员设定网站管理权限，不得越权管理网站信息；5.一旦发生网站信息安全事故，应立即报告相关方并及时进行协调处理；

6.对有毒有害的信息进行过滤、用户信息进行保密。7.登记注册表应由专人负责保管，未经授权不得复制、透露给第三方；8.只允许用户的单一登录；即单一用户名只对应单一口令时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。3.3网络部对互联网实施24小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控，若发现有异常行为应立即关闭该用户的网络连接，及时记录在案，并对其警告和批评教育，严重违法行为立即上报有关部门。3.4加强突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到以下几点。3.4.1及时发现、及时报告，在发现后在第一时间向上一级领导或部门报告。3.4.2保护现场，立即与网络隔离，防止影响扩大。3.4.3及时取证，分析、查找原因。3.4.4消除有害信息，防止进一步传播，将事件的影响降到最低。3.4.5在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。3.4.6追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交公司及国家司法机关处理，追究部门负责人和直接责任人的行政或法律责任。3.5及时整顿，加强防范。各部门要积极配合上级网络安全管理部门的例行检查，并接受其技术指导。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，完善网络安全机制，防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制，实现公司信息安全管理，创造良好的网络环境。3.6在重要、敏感时期，加大网络安全教育宣传力度，加强员工的法律意识和安全意识教育，提高其安全意识和防范能力；开展安全文明上网的教育引导工作，净化互联网网上环境，及时收集信息，排查不安定因素；坚持24小时值班制度，开通值班电话，保证与上级主管部门、电信部门和当地公安机关的热线联系，积极做好预防工作，发现问题及时处理，防患于未然。3.7做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。网络安全事件报告与处置：事件发生并得到确认后，有关人员应立即将情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，有关违法事件移交公安机关处理。六、信息安全教育培训1.定期组织网络安全管理人员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》，提高工作人员的维护网络安全的警惕性和自觉性。2.定期对本公司网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。3.对本单位网络用户进行安全教育和培训，杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。4.不定期地进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力。5.定期对职工进行网络安全教育，强化网络安全意识,增强守法观念。七、客户举报和投诉处理等制度1.总则1.1为提高公司客户服务质量和服务水平，规范客户投诉处理程序，形成有效的投诉管理机制，根据公司相关制度和规定，制定本制度。1.2对客户投诉的处理应以有关规章制度为依据，以实事求是、公平合理、处理及时为原则，最大限度地满足客户的正当要求，认真解决客户提出的问题，改进工作，优化服务，及时发现客户纠纷风险和不稳定因素，维护公司信誉和合法权益。2.客户投诉2.1公司各部门的经理为公司一般投诉事项的处理负责人。涉及违规行为和导致诉讼的投诉事件，由公司总经理负责处理。公司总经理为投诉事件的最终处理负责。2.2公司如遇到客户拨打电话或上门投诉的情况，应当稳定客户情绪，耐心听取意见，做好投诉记录并立即报告客服中心。2.3客户投诉的具体事项应当按照公司有关部门和领导的要求，配合投诉事项的调查、反馈等工作。2.4在处理投诉过程中，如发现公司各部门相关责任人存在违规行为的，应当立即报告上级领导核实。2.5每周将投诉记录情况提交运营部。3.处理原则3.1客户投诉时，投诉受理人应做到耐心听取、认真审阅，做到及时、专业、礼貌，体现良好的职业道德和服务意识，坚持“冷处理”原则。3.2客户投诉时，投诉受理人须注意方式方法，耐心说服教育，切忌态度粗暴生硬，切忌随意表态、许愿，对于客户的不合理要求，也要耐心解释和说服防止矛盾激化；对扬言采取过激行为的对象要落实专人负责看管，对可能被报复的人员和被破坏的目标，采取有效的防范措施；3.3投诉受理须与客户在合法、合理、自愿的基础上积极协商，妥善解决，不得简单了事，力争把矛盾和问题在公司内部解决和消化。4.基本处理程序4.1投诉按方式可分为电话投诉、上门投诉等。4.2各类客户投诉的受理及处理的基本程序如下：4.2.1受理：客服人员及投诉受理人员需了解客户投诉事情的过程，记录投诉事件内容，对客户进行必要和适当的解释及安抚。如客户对受理人的解释、回复表示满意，并表示不再就同一事件继续投诉，则将客户投诉处理情况记录完整，处理完毕；4.2.2转发：客服人员对受理的投诉事件需要公司其他部门协助核查或转办的，投诉受理人在受理客户投诉后1小时内，转发给相关投诉事件责任部门；4.2.3处理：相关责任部门应在收到客户投诉处理通知后的24小时内与客户进行联系，妥善处理客户投诉，特殊情况下应在3个工作日内处理完毕。对不能立即回复的投诉，应主动告知客户目前的处理进度；4.2.4记录：投诉事件记录相关的电子文档整理保存完整；5.不同内容投诉的处理5.1对于影响公司形象和声誉的重大投诉，投诉受理人员应先上报分管领导及公司总经理后进行投诉处理。5.2对客户的信函投诉，要分清投诉信件和举、检信件。如举、检信件则应及时向分管领导汇报，并及时通报公司总经理。5.3投诉按内容可区分为服务质量投诉（服务态度）、业务投诉（员工工作失误、系统及机具故障、公司内部协调）、非公司责任投诉等。5.4对因服务质量和服务态度而引起的