交互式服务安全检查制度

目录平安检查制度3总则：3平安管理制度3文件管理控制3机构要求3法律责任3信息平安组织3人员平安管理3平安岗位管理3关键岗位人员3平安培训管理3人员离岗管理3访问控制管理3访问管理制度3权限分配3特权管理3权限检查3网络与操作平安3网络与主机系统的平安3备份3审计平安3应用平安3平安评估3用户管理3有害信息防和处置3破坏性程序防3个人电子信息保护3技术措施3个人信息泄露事件的处理3投诉3投诉制度3投诉渠道3分包商3根本要求3平安事件管理3平安事件管理制度3应急预案3突发公共事件处理3技术接口3平安检查制度总则：为了切实有效的保证公司信息平安，提高信息系统为公司生产经营的效劳能力，特制定交互式信息平安管理制度，设定管理部门及专业管理人员对公司整体信息平安进展管理，以确保网络与信息平安。平安管理制度文件管理控制1.使用围：适用公司所有部文件和外部文件。2.文件分为四个等级：一级文件：质量手册二级文件：公司资质文件三级文件：部门管理制度，技术文档，检验标准等。四级文件：公告，合同等。3.文件管理：一级文件和二级文件管控权限归总经办，行政人事部负责存档。三四级文件由相关部门负责，管控选项归总经办。部门管理制度，通知，公告文件由行政人事部门负责。4.文件编码：根据规定容进展编码并且编码是唯一的如：2017年制定的APP充电手册，JSB-2017-APP-V1。5.文件的借阅：使用要在OA上填写文件申请表审批.。通过审批。去相关部门领用。6.文件归档整理检查：公司每季度进展文件的整理、归档记录的检查如发现有异常现象，体惩罚到相关责任人。7.惩罚的标准：一二级文件惩罚标准，当月绩效-10分，视情况承当相关责任。三四级文件惩罚标准，当月绩效-5分,进展部门处分。机构要求法律责任使用围：公司全体员工法律责任支持：法务部担任公司的法律效劳支持为公司提供相应的法律援助。3.法律提供适用事项：采购合同销售合同设备租赁合同场地使用合同4.审核流程：在OA上提交流程给法务部进展审核。法务部进展审核。审核通过后才能与其进展合同签订。合同审核不合格的，需要重新与第三方公司协议后，再进展提交。5.惩罚标准：如未进展合同审核流程的。私自与第三方公司签订合同的。公司将进展辞退处理。如有，将移交公安机关。信息平安组织信息平安组织架构信息平安管理小组职责：信息平安组长负责公司的总体平安规划，工作正常进展。信息平安管理员协调组长进展工作，并带着平安负责人负责公司网络，系统，工程上线平安风险评估。信息平安专员配合公安机关工作，并将计算机，系统漏洞报告通知给全体员工。3.信息平安工作开展：平安小组每月对公司平台和员工计算机系统进展平安漏洞扫描。发现线上出现BUG，或者平安漏。提交给开发团队开发团队接收到漏洞信息，和BUG进展修复处理。修复完成之后。进展第二次扫描。每月进展平安漏洞的讨论事项。减少再次发生。4.处分措施：因个人原因造成计算机网络瘫痪的，将交由行政部门视情节进展处分。屡次出现开发漏洞，屡次一样的BUG，当月绩效论不及格处理。个人原因计算机中毒，并传播给员工的，造成不可逆的后果，公司将进展辞退。人员平安管理平安岗位管理1.使用围：适用公司所有在职员工。2.等级划分：一级岗位：平安主办人二级岗位：主要负责人三级级岗位：平安责任人岗位平安管理：制定平安总体的规划网络平安应急策略记录系统平安事项信息平安分析报告4.岗位平安职责并做好成员的行为观察。任务记录，催促成员有效的开展平安工作。组织制定并实施平安事故应急救援预案。关键岗位人员人员信息计算机专业。工作三年以上。具备专科以上学历。专业考核：信息平安岗位人员上岗前，调查其工作背景，是否符合公司其职位。平安技术岗位工作人员进展其相关专业知识的考核，确保有岗位必须的能力。3.签订协议：公司信息协议，平安管理协议员工离职协议。平安培训管理1.员工培训总体规划：平安小组根据年度工作方案作出安排。不少于20个课时的平安教育培训。完成布置的学习安排，并将完成表交由行政部门。2.培训容：公司计算机软件安装的限制。岗位知识培训。对不良网页浏览的限制。计算机平安使用规。上网平安意思，识别含有病毒的。3.培训结果验收：利用公司电脑发布虚假等有害信息。制造和传播计算机病毒。人事部门每天不定时进展随机检查。访问无关，将在全公司进展通报处理。人员离岗管理员工在OA上申请离职流程提交。部门主管审批通过。IT人员进展员工相关账户关闭.离职人员进展教育。离岗人员如发生泄露公司的，需承当相应的法律责任。惩罚措施：不遵守公司平安管理规的对平安培训不重视的部门负责人需对其进展平安教育学习。成心制作、传播计算机病毒等破坏性程序的，违反法律规定，利用互联网侵犯用户的通信自由和通信秘密交由公安机关处理。访问控制管理访问管理制度使用围：全体员工权限分配用户申请上网登录用户。部门责任人核实身份。用户提交到IT责任人。系统管理员和普通权限。1.访问控制控制从外部对网络的访问拒绝任何类型的未授权的外部访问使用防火墙2.访问记录管理访问监控系统日志日志保存特权管理为了适当地管理网络系统、操作系统和应用系统，IT负责人在各部门管理者协商的根底上，可以任命特权管理员并授权他们拥有在需要的时候更改系统配置的特权。在选择特权管理员时，IT负责人和各部门管理者必须仔细审查他们的能力和资质；特权管理员的数量必须处于最低限度。特权管理员的用户账户和密码管理特权管理员的用户账户和密码必须进展比一般用户更加严格的管理，详细的要求参见"文件管理制定"的规定。外部相关方访问组织信息资产时，IT责任人作为该外部相关方的管理者必须保证采取适当的访问控制。1.使用步骤：制定系统管理员和普通员工账户分配表各部门员工通过OA申请相应权限。2.管理员选择特权管理员时，必须审查他们的能力和资质。特权管理员口令比一般用户更加严格。特权管理员数量处于最低限度。权限检查每月进展管理员账户审查。清理，关闭离职管理员账号。及时收回不需要管理的账号。3.处分措施密码设置不平安的，部门平安教育管理员账户丧失的,当月绩效-20分赋予特权的账户，记住、忘记、更改密码的当月绩效为C。超越权限，或者私自变更权限的，情节严重者将进展辞退。网络与操作平安网络与主机系统的平安适用围：全体员工为加强计算机的平安监察工作，预防和控制计算机病毒，保障计算机系统的正常运行制定本制度。1.员工电脑的平安防御。IT部门每月进展员工电脑病毒扫描。记录使用异常的电脑。报告给信息中心。信息中心根据情况后，制定更平安的预防方法2．网络平安防御使用硬件防火墙。屏蔽不需要的端口。更改常用端口号定期更换登录密码监控效劳器网络情况。备份备份类型完全备份：对备份的容全体备份增量备份：仅备份相对于上一次备份后新增加和修改正的数据差异备份：仅备份相对于上一次完全备份之后新增加和修改正的数据。按需备份：仅备份应用系统需要的局部数据。4..备份管理每月进展所有数据库异地备份。备份哇嘎包括虚脱所有关键数据。包括操作系统。软件。备份数据设置管理标识。进展存档。审计平安5.平安管理相关标准：ISOIEC27000COSOCOBITITILNISTSP8006.行为分析：人工记录与分析利用程序记录行为和分析7.平安审计类型：通过日志应用系统及数据库进展日志采集，将数据发送到信息平安小组，进展审计记录，进展数据备份，分析然后生成报告。开启上网行为管理器，对员工的上网行为监控，可到达平安漏洞，合法，非法的操作。机房效劳器利用防火墙和主机IDS/IPS的平安审计功能。进展漏洞扫描。有效控制效劳器平安。8.审计日志容：用户的注册信息，用户登录信息，IP用户发布容9.审计日志保存时间系统日志信息保存12个月。用户发布容日志时间保存36个月。10.处分标准：员工电脑不当求使用电脑,导致中毒的对重要文件丧失的罚款500元机房管理员不按要求进展数据备份的，当月绩效扣10分。平安审计日志保存不按要求的，信息平安小组将在年终报告点名提出并罚款1000元。应用平安平安评估适用围：技术部1..新功能上线评估制度产品书面申请描述新功能的具体作用及展现模块。新功能说明书需提交部门负责人签字确认。估算新功能的开发本钱，确定开发环节。根据会议最终决定新功能是否开发，并制定开发方案表，进展开发进度跟踪。用户管理1.用户申请，注销，权限申请。申请人提交账户申请流程。部门领导确认进展审批，审批通过后。系统管理人员创立账号。做好账号分级权限设置。2.账户的管理系统管理员记录用户申请，停用，变更情况。定期修改登录密码，不得将账户，密码泄露给他人。用户账户出现不明登录地点时，应及时报告，和修改密码。登记账户使用人，3．用户注册用户需要登记信息，上传有限证件用户的头像，备注进展审核用户资质验证。4.处理措施：对用户设置黑机制，用户举报巡检容审核发现发送大量信息。该用户自动参加黑。制止该账户使用。有害信息防和处置有害信息的防：对委托发布信息的单位和个人进展登记并存档检查，杜绝隐含不法言论容出现。使用的电脑没有病毒，上传完毕信息后及时关闭后台。对所有用户输入而且有可能显示给其他用户的信息进展容检测和严格过滤。对于用户涉及财产，风险投资相关的操作，必须开具相关的资产证明2.有害信息的监控：用户的大额交易必须由后台提供审核。对所有上网行为进展监控，增加摄像头，监控用户的行为。设立及时报警机制，一旦发生行为，保存现场证据，立马报警采用人工或自动化方式，对发布的信息逐条审核。技术措施过滤有害信息技术措施对有害信息源实施控制，防止继续传播3.7*24h信息巡查：人工信息寻查。利用机器对关键字进展巡查。用户发布的信息审查机制。4.对信息的处置涉嫌犯罪线索、异常情况报告给信息平安小组平安小组根据制度进展处理对于犯罪的提交给公安机关进展处理。，破坏性程序防检查用户发布的软件是否是计算机病毒等恶意代码员工电脑安装360杀毒软件计算机系统及时打上最新补丁。对重要文件做好及时备份，以便破坏及时恢复。个人电子信息保护技术措施每月开展员工信息平安培训，做到时刻树立平安保护意识。搜集，使用用户的个人信息，应遵守法律，行政法规的有关归定。通过加密手段进展用户信息保存。建立数据分类使用，数据平安开发规来管理个人信息。个人信息泄露事件的处理1.网络平安事件应急预案平安事件发送时立即报告给信息平安小组组长根据信息平安规章通知组员进展预案处置。通知相关部门。情节严重的通知公安机关。泄露事件处理当发现个人电子信息泄露事件后，立即采取补救措施，。关闭相应漏洞。防止信息继续泄露通过与全量用户发送通知短信提醒修改密码。投诉投诉制度目的：为了规公司投诉事件的处理程序，使得投诉事件能够得到及时公正合理的解决，提升公司对外形象，特制定本制度。适用围：本制度适用于公司所有的投诉事件。3.客户投诉管理部门是处理客户、员工投诉的责任部门，对客户、员工投诉的事件具有调查、取证、做出判定和处分的权利。4.投诉受理人职责受理人收到员工通过或直接到投诉部门的投诉，必须做好详细登记。负责责任归属判定和事件汇总、汇报负责事件回复、追踪。投诉的接听及案件的登记。投诉案件的责任归属判定。协助有关部门处理投诉案件及追踪处理结果。负责对投诉事件的处理结果的回访。投诉渠道1．投诉类型投诉投诉电子投诉网上留言。上门投诉处分标准：客户投诉需要在30分钟之给出答复。对投诉的问题延迟处理，托延的不对问题解决情况，回访的。按照公司"奖惩管理制度"进展执行。分包商根本要求为进一步规公司分包商管理，吸收、整合外部优势资源，充分发挥竞争成效，打造一支资质合规、老实守信、规模适度、共赢开展、具有相当抗风险能力和履约实力的分包商队伍，满足公司需求，促进企业长期可持续健康开展，特制定本管理方法。分包商选用：签订合同进展资质，履行能力审核活得分包商资格承揽任务2竞争原则：分包进展招标进展资质审核择优选择3.分包商分类广告承包后台系统技术支持4.处分措施：分包商应按照国家法律，法规进展工程容分包，一旦发现违规行为，公司立即与其解除合同，犯罪的将移交公安机关。平安事件管理平安事件管理制度1.目的减少公司平安事件发生,保障平台平安运行。适用围：全体员工公司应对信息平安中心实施24小时值班制度，并时刻监控公司各网络核心设备效劳。每日需记录值班情况，假设发现异常情况，立即向平安应急小组和有关部门报告。制定平安事件应对处置方案书，组织人员学习并进展平安事件演练。事件得到确认后，应立即报告有关领导，假设有事件，需移交公安机关处理。应急预案公司应成紧急故障处理小组系统突发故障后，应立即通知相关领导。应急小组及时恢复系统，并确保正常运行。应急处理完毕后应将故障