电信公司信息安全管理八项制度
电信信息管理制度
电信信息管理制度一、总则为规范和管理电信信息的采集、处理、传输和存储,保护用户隐私和信息安全,提高信息管理效率,制定本制度。
二、适用范围本制度适用于公司内部所有与电信信息相关的工作和业务。
三、电信信息的定义电信信息是指通过通信网络传输的信息,包括但不限于电话通话记录、短信内容、在线聊天记录、电子邮件内容等。
四、信息采集与处理1. 只有在法律规定或用户允许的情况下,才能采集过程中没有用户明示同意的信息。
2. 在采集和处理信息时,必须符合相关法律法规,保障用户隐私和信息安全。
3. 严禁公司员工私自收集、处理和使用用户信息,如有违反将追究责任。
五、信息传输与存储1. 传输和存储电信信息时,必须采取加密和其他措施,确保信息不被窃取或泄露。
2. 严格控制信息的存储时间和范围,过期信息需及时销毁。
六、信息安全管理1. 设立信息安全管理团队,负责电信信息的安全管理和监控工作。
2. 强化员工信息安全教育和培训,提高员工信息安全意识。
3. 定期对信息系统进行安全检查和漏洞修复,杜绝安全风险。
4. 建立信息安全事件应急预案,一旦发生安全事件,能够及时处理和报告。
七、监督与处罚1. 针对违反本制度的行为,将进行严肃处理,包括口头警告、书面警告、罚款等。
2. 对严重违规情况,将追究责任人的法律责任。
八、其他1. 公司将不定期对本制度进行修订和完善,确保制度的及时性和有效性。
2. 公司将定期对员工进行审核和考核,确保制度的执行情况。
以上是公司电信信息管理制度的内容,希望所有员工能够严格遵守,确保信息安全和用户隐私的保护。
同时,公司也将持续改进和完善制度,提高管理水平和效率。
电信信息安全管理制度
一、总则为保障电信信息安全,促进电信信息通信行业的健康发展,确保国家信息通信网络安全,根据《中华人民共和国电信条例》和《中华人民共和国网络安全法》等法律法规,制定本制度。
二、适用范围本制度适用于国内电信企业及其从事电信业务的各级分支机构,包括固定通信网、移动通信网、互联网等各类通信网络。
三、信息安全管理责任1. 企业领导层负有最高的信息安全管理责任,确保信息安全政策的制定和实施。
2. 信息安全管理委员会由企业领导层成立,负责制定信息安全管理策略、规范和流程。
3. 信息安全部门负责具体的信息安全管理工作,包括安全风险评估、安全技术支持、安全事件处置等。
四、信息安全管理政策1. 信息安全管理政策要与企业的整体发展战略相一致,确保信息安全管理与业务发展的协调。
2. 信息安全管理政策要贯彻全员参与原则,促使每个员工都有责任和义务保护公司的信息资源安全。
3. 信息安全管理政策要具体明确各种信息安全措施的实施要求,包括网络安全、设备安全、数据安全、身份认证安全等方面。
五、信息安全风险评估与管理1. 定期进行信息安全风险评估,包括对各类信息系统、网络设备、数据存储设备等的安全风险评估。
2. 对确认的安全风险,要立即制定相应的风险管理计划,包括风险的防范、预警、应急处理等措施。
六、信息安全技术及设备管理1. 采购和使用的信息安全技术和设备必须通过安全认证,确保符合国家或行业安全标准。
2. 信息安全技术和设备必须定期进行维护和更新,确保其安全功能的持续性。
1. 对发生的信息安全事件,要立即启动应急预案,迅速进行处置,确保事件不会对业务和用户带来重大影响。
2. 对重大的信息安全事件,要及时向主管部门和相关用户通报,并进行后续的调查和处理。
八、信息安全培训与教育1. 对全体员工进行信息安全意识培训,包括信息安全政策、安全操作规范、应急处理流程等内容。
2. 对信息安全管理人员和技术人员进行专业的信息安全管理和技术培训,提高其应对各类安全威胁和事件的能力。
电信业信息安全管理规章制度手册
电信业信息安全管理规章制度手册第一章总则第一条为加强电信业信息安全管理,在保障信息安全的前提下,提高服务质量,维护用户权益,制定本规章制度手册。
第二条本规章制度手册适用于电信业信息安全管理工作,包括电信企业、电信用户和相关合作伙伴。
第三条信息安全管理应持续性、全面性、实时性原则,确保信息系统和信息资产不受未经授权的访问、使用、泄露、破坏等威胁。
第四条本规章制度手册的编制、修订和实施须遵循相关法律法规和标准要求。
第二章信息安全管理职责第五条电信企业1. 建立健全信息安全管理体系,明确信息安全管理的组织架构和职责划分。
2. 提供信息安全培训和教育,提高员工信息安全意识和技能。
3. 制定和完善信息安全管理制度和技术规范,确保信息系统和信息资产的保密性、完整性和可用性。
4. 建立漏洞管理和事件响应机制,及时发现、处置和防范安全威胁。
5. 进行定期的信息安全风险评估和演练,改进信息安全管理工作。
第六条电信用户1. 遵守合同约定,妥善使用和保管个人账号、密码等信息。
2. 不使用未经授权的软件和设备,不传播病毒、木马等恶意程序。
3. 发现安全漏洞或异常情况,及时向电信企业报告,不进行网络攻击和滥用行为。
第三章信息安全管理措施第七条电信企业应建立规范的用户身份认证和授权机制,确保用户访问的合法性和权限的可控性。
第八条电信企业应采用加密技术,保障用户通信的机密性。
第九条电信企业应建立完善的安全审计和监控机制,实时监测和分析网络流量和安全事件。
第十条电信企业应定期进行信息安全评估和演练,及时修复安全漏洞和弱点。
第四章信息安全风险管理第十一条电信企业应进行安全风险评估,确定关键信息系统和信息资产,制定相应的保护措施。
第十二条电信企业应建立应急预案和处置机制,及时应对信息安全事故和突发事件。
第十三条电信企业应加强对供应商和合作伙伴的风险管理,确保与其的信息交换和合作安全可靠。
第五章法律责任和监督管理第十四条电信用户和电信企业违反法律法规和合同约定,造成信息泄露或其他安全事件的,应承担相应的法律责任。
电信服务信息安全管理制度
一、总则为保障电信用户个人信息安全,防止电信服务中的信息泄露、篡改、破坏,维护国家安全和社会公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合我司实际情况,特制定本制度。
二、适用范围本制度适用于我司所有从事电信服务的员工、外包服务商、合作伙伴等,以及与电信服务相关的业务活动。
三、信息安全管理制度内容1. 信息安全责任制(1)各部门负责人为本部门信息安全第一责任人,负责组织落实本部门信息安全工作。
(2)员工应严格遵守信息安全相关规定,对工作中接触到的用户个人信息严格保密。
2. 用户个人信息保护(1)严格遵循“合法、正当、必要”的原则,收集、使用、存储、传输、处理用户个人信息。
(2)建立健全用户个人信息收集、存储、使用、传输、处理、删除等环节的规范流程。
(3)对用户个人信息进行分类分级管理,采取加密、脱敏、匿名化等技术手段,确保用户个人信息安全。
3. 信息安全风险评估(1)定期对电信服务系统进行安全风险评估,及时发现和消除安全隐患。
(2)对重要信息系统和关键设备,定期进行安全检测和漏洞扫描,确保系统安全稳定运行。
4. 信息安全事件应对(1)建立健全信息安全事件报告、调查、处理、整改等流程。
(2)发生信息安全事件时,立即启动应急预案,采取必要措施,减少损失。
5. 信息安全培训与宣传(1)定期组织员工进行信息安全培训,提高员工信息安全意识和技能。
(2)通过多种渠道,广泛宣传信息安全知识,提高用户信息安全意识。
6. 合作伙伴与外包服务商管理(1)与合作伙伴、外包服务商签订信息安全协议,明确双方信息安全责任。
(2)对合作伙伴、外包服务商进行信息安全评估,确保其符合信息安全要求。
四、监督与检查1. 信息安全管理部门负责对信息安全管理制度执行情况进行监督、检查。
2. 对违反信息安全管理制度的行为,将依法依规进行处理。
五、附则1. 本制度由信息安全管理部门负责解释。
2. 本制度自发布之日起施行。
电信服务信息安全管理制度
电信服务信息安全管理制度第一章总则第一条为进一步规范电信服务信息安全管理,保障电信网络安全,防范网络攻击和数据泄露,提高电信服务的可靠性和安全性,制定本管理制度。
第二条本制度适用于从事电信服务的各类单位和个人。
其中,电信服务包括但不限于固定电话、移动通信、宽带上网等服务。
第三条电信服务信息安全管理应遵循“全面预防,即时响应,科学处置,追究责任”的原则,建立健全各项管理制度,确保信息系统和网络的安全运行。
第四条电信服务提供者应当认真贯彻国家相关法律法规和政策,严格遵守保密义务,加强信息安全管理,防范各种安全风险,确保用户信息安全。
第五条电信服务提供者应当建立信息安全管理机构,明确信息安全管理职责,负责信息系统和网络安全管理工作。
第六条为了防范电信服务信息安全风险,电信服务提供者应当制定并不断完善信息安全管理制度,包括但不限于网络安全管理制度、数据安全管理制度、应急响应制度等。
第二章网络安全管理第七条电信服务提供者应当对所提供的电信网络进行全面安全评估,发现安全隐患及时采取措施加以修复。
第八条电信服务提供者应当建立网络安全监控系统,实时监测网络流量和安全事件,及时发现并处理网络安全威胁。
第九条电信服务提供者应当加强对网络设备的管理,制定设备使用规范,及时更新和维护设备,确保设备的安全运行。
第十条电信服务提供者应当定期对网络系统进行安全漏洞扫描和检查,及时修复漏洞,提升系统的安全性。
第十一条电信服务提供者应当建立网络安全事件应急预案,做好网络安全事件的处置工作,及时通报相关部门和受影响的用户。
第三章数据安全管理第十二条电信服务提供者应当对用户数据进行保护,制定数据加密和备份政策,保证用户数据的机密性和完整性。
第十三条电信服务提供者应当建立严格的数据访问权限管理制度,保障用户数据的安全使用和访问轨迹可溯。
第十四条电信服务提供者应当建立数据备份和灾难恢复机制,确保用户数据遭受损失时能够及时恢复。
第十五条电信服务提供者应当建立用户数据合规管理制度,严格遵循用户数据保护法律法规,保障用户数据合法使用。
电信信息安全管理制度模板
电信信息安全管理制度模板第一章总则第一条为了加强电信信息安全管理,保障国家安全、公共利益和社会秩序,保护用户信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国电信条例》等法律法规,制定本制度。
第二条本制度适用于我国电信业务经营者开展的信息安全管理工作,包括网络信息安全、用户信息安全、业务安全、数据安全等方面。
第三条电信业务经营者应当依法合规经营,建立健全信息安全管理制度,落实信息安全责任,采取有效措施,确保电信网络和信息安全。
第四条电信业务经营者应当加强信息安全风险评估和监测,提高信息安全防护能力,及时处置信息安全事件,保障电信网络和信息安全。
第二章组织管理和责任落实第五条电信业务经营者应当设立信息安全管理部门,负责信息安全管理工作的组织和实施。
第六条电信业务经营者的最高管理层应当承担信息安全工作的最终责任,制定信息安全战略和政策,监督信息安全工作的实施。
第七条电信业务经营者应当明确各级管理人员和员工的信息安全职责,建立健全信息安全责任追究制度。
第八条电信业务经营者应当定期对信息安全管理人员进行培训和考核,确保其具备相应的专业知识和技能。
第三章网络信息安全第九条电信业务经营者应当建立网络信息安全管理制度,包括网络设备、软件、数据等方面的安全管理制度。
第十条电信业务经营者应当采取技术措施和管理措施,确保网络设备、软件的安全性,防止网络攻击、入侵、破坏等行为。
第十一条电信业务经营者应当对网络数据进行分类管理,采取有效措施保护数据安全,防止数据泄露、篡改、丢失等风险。
第四章用户信息安全第十二条电信业务经营者应当建立用户信息安全管理制度,包括用户信息采集、存储、使用、传输、删除等方面的安全管理制度。
第十三条电信业务经营者应当遵循合法、正当、必要的原则,收集和使用用户信息,明确用户信息的收集范围、使用目的和方式。
第十四条电信业务经营者应当采取技术和管理措施,保护用户信息的安全,防止用户信息泄露、篡改、丢失等风险。
电信信息安全管理制度
第一章总则第一条为加强电信信息安全管理工作,保障电信用户合法权益,维护国家安全和社会公共利益,根据《中华人民共和国电信条例》、《中华人民共和国网络安全法》等相关法律法规,制定本制度。
第二条本制度适用于我国电信行业,包括电信运营商、设备制造商、服务商、电信用户等。
第三条电信信息安全管理工作应当遵循以下原则:(一)依法行政,严格规范电信信息安全管理;(二)保障电信用户合法权益,维护国家安全和社会公共利益;(三)科学管理,技术保障,提高电信信息安全防护能力;(四)加强协作,共同维护电信信息安全。
第二章电信信息安全管理体系第四条建立健全电信信息安全管理体系,明确各部门、各岗位的职责,确保信息安全管理工作有序进行。
第五条电信运营商应当建立健全信息安全组织架构,设立信息安全管理部门,负责电信信息安全的规划、组织、协调和监督工作。
第六条电信运营商应当制定信息安全管理制度,明确信息安全管理的范围、内容、流程和要求。
第七条电信运营商应当建立健全信息安全技术保障体系,包括网络安全、数据安全、应用安全等方面。
第八条电信运营商应当加强信息安全人员队伍建设,提高信息安全人员的业务素质和技能水平。
第三章电信信息安全保障措施第九条电信运营商应当加强网络安全防护,确保网络设施安全稳定运行。
(一)建立网络安全监测预警机制,及时发现和处理网络安全事件;(二)加强网络安全设备管理,定期对网络设备进行安全检查和升级;(三)加强对网络攻击、病毒、恶意软件等网络安全威胁的防范和应对。
第十条电信运营商应当加强数据安全保护,确保用户数据安全。
(一)建立健全数据安全管理制度,明确数据安全保护的责任和义务;(二)采取数据加密、访问控制、数据备份等措施,确保数据安全;(三)定期对数据安全进行审计,及时发现和整改安全隐患。
第十一条电信运营商应当加强应用安全防护,确保应用系统安全稳定运行。
(一)加强应用系统安全设计,提高应用系统的安全性;(二)定期对应用系统进行安全检查和升级,及时修复安全漏洞;(三)加强对应用系统运行状态的安全监控,确保应用系统安全稳定。
电信信息安全管理制度内容范文
电信信息安全管理制度内容范文电信信息安全管理制度一、总则为增强电信信息安全保护,规范电信运营商的信息安全管理行为,维护国家经济安全和社会稳定,制定本电信信息安全管理制度。
二、管理原则1. 法律合规:遵守相关法律法规,保护用户个人信息,不得非法收集、使用、泄露用户信息。
2. 全员参与:全员员工参与信息安全管理,增强安全意识,共同维护电信信息系统的安全。
3. 分工负责:明确各岗位的信息安全责任和权限,实行分层管理,并制定相关的管理流程和规定。
4. 风险防控:制定严格的风险识别、评估和防控机制,及时发现并处理潜在的安全威胁。
5. 持续改进:建立信息安全管理体系,定期进行安全漏洞检测和业务风险评估,并不断完善和优化管理制度。
三、信息资源管理1. 用户信息保护:依法保护用户个人信息,不得非法收集、使用、泄露用户信息。
对于使用用户信息的部门和员工,需进行必要的授权和审查,并建立相应的访问日志和审计机制。
2. 信息备份与恢复:制定信息备份和恢复计划,对重要的信息资产进行定期备份,并进行备份测试和数据恢复演练。
3. 信息安全审计:定期进行信息安全审计,对电信信息系统的风险和漏洞进行评估,并针对评估结果进行相应的改进和加固。
4. 保密管理:建立信息保密制度,确保信息资源的机密性和完整性。
对进行内部和外部合作的单位和个人,签订保密协议,并加强对其的监管。
四、系统安全管理1. 网络安全:建立网络安全防护系统,包括防火墙、入侵检测系统等,及时发现和阻止网络攻击。
2. 访问控制:采用多层次访问控制措施,确保只有经过授权的人员才能访问敏感信息。
3. 系统监控与报警:建立系统监控和报警机制,对异常行为和安全事件进行实时监测和应对。
4. 安全漏洞管理:建立安全漏洞管理流程,及时修补和升级系统中的漏洞,防止黑客利用漏洞进行攻击。
五、应急响应管理1. 应急预案制定:制定完善的信息安全应急预案,明确应急响应流程和责任人,并进行应急演练。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于下发《**电信公司信息安全管理八项制度(试行)》的通知县级分公司、公司各部门:根据中电信黑[2011] 793 号《黑龙江电信信息安全管理八项制度(试行)》,制定了《**电信公司信息安全管理八项制度(试行)》,请认真遵照执行。
并将执行过程中出现的新情况,新问题及时反馈至运行维护部。
各相关职能部门要按照本制度规范尽快落实本部门的信息安全工作及责任人。
附件 1:**电信公司业务经营、合作的信息安全评估保障制度附件 2:**电信公司违法违规信息应急处置流程附件 3:**电信公司信息安全工作(资金、人员)保障制度附件 4:**电信公司信息安全管理考核和奖惩制度附件 5:**电信公司信息安全技术保障制度附件 6:**电信公司信息安全事件报告制度附件 7:**电信公司信息安全事件应急处置制度附件 8:**电信公司信息安全组织机构管理制度附件 1:**电信公司基础业务经营、合作的信息安全评估保障制度一、公司产品内容上线前应当由专人对相关内容的合法合规性进行审核,做到先审后发,产品中未通过审核的相关内容不得上线运营。
需要审核的产品内容包括但不仅限于各产品中以公司名义对外发布的以及客户通过公司自营网站对外发布的图片、文字、流媒体等信息内容。
二、公司自营网站、自营业务业务板块或栏目新增、变更,须经各级公司部门负责人同意,报公司分管领导审批。
三、与合作方(含代收费)进行业务合作前,各部门业务运营部门(中心)应当严格审核其电信业务经营许可证或备案许可证、营业执照等经营资质材料,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。
在签订合作协议时,必须要求合作方签订《信息安全承诺书》,明确其负责合作涉及业务的信息安全,约定信息安全考核制度和违法违规处罚标准。
四、合作业务涉及合作方需进行 IP 地址和域名备案的,在业务开通前,必须要求合作方出具 IP 地址和域名已经备案的书面证明函件。
五、各部门不得为无经营许可证的单位或个人提供用于经营电信业务的电信资源,不得为未办理备案手续的部门或个人提供网络接入服务。
在提供 IDC、互联网接入(含专线、虚拟拨号等)等接入类业务时,接入公司网络的部门或个人(以下简称接入方)开展互联网信息服务的,接入服务业务运营部门(中心)应审查其经营许可证或相关备案手续、主体信息和接入信息,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。
六、各部门提供网络接入服务时,应当与接入方签订接入服务协议,在协议中约定信息安全考核制度和违法违规处罚标准,并在协议中明确约定以下事项及相应的违约责任:(一)接入方的网络信息安全责任与义务。
(二)接入方不得向其他从事网站接入服务的增值电信业务经营者转租所获得的网络接入等电信资源。
(三)接入方不得为未经许可或未备案的网站提供接入或代收费等服务。
公司分配 IP 地址给接入方的,在接入服务业务开通前,应要求对方出具确认已经报备 IP 地址的书面函件,业务部门应当对 IP 地址是否对应进行核查,核查不符的,不得开通接入服务。
七、业务运营部门应安排专人对自营业务、合自营网站及IDC 和专线等方式接入的网站内容等进行日常监测。
发现违法有害信息和低俗信息,应立即保存有关记录,对相关内容和业务进行移除或屏蔽,并报信息安全业务管理部门和信息安全工作办公室,属于合作业务的,立即下线,情节严重的,应停止合作。
信息明显属于《中华人民共和国电信条例》第五十七条所列内容或明显违反国家相关规定的,应当同时向省公司信息安全工作办公室办公室、省通信管理局报告。
八、对合作方和接入方违反国家信息安全管理规定的行为的处理决定由本部门信息安全业务管理部门负责人审核后作出,并向公司信息安全主管部门备案。
信息安全主管部门对处理决定有异议的,可对处理决定作出变更,并通知信息安全业务主管部门组织实施。
九、IDC 接入商、IDC 自有客户、专线接入经营性网站、WAP网站合作 SP 等客户的经营资质、信息安全承诺书签订情况、合同名称,并以清单形式列表存档备案。
附件 2:**电信公司违法违规信息网站应急处置流程一、市公司成立信息安全牵头部门,信息安全负责人和联络人保持24小时通讯畅通。
二、接收到省公司停止网站接入的处置指令后,立即进行处置,处置完毕时间为接到管局通知的2小时内。
接到省通信管理局停止域名解析的处置指令后,在30分钟内停止公司域名服务器对该域名的解析指向。
三、违法违规信息网站应急处置流程**电信公司信息安全工作(资金、人员)保障制度一、市分公司各相关部门应设置信息安全专职联系人,负责本部门内部信息安全的管理、协调和对口联络工作,并报市公司信息安全工作领导小组备案。
二、信息安全联系人应保持相对稳定,人员发生变更的,应当做好交接工作,并在变动后的 2 个工作日内报市公司信息安全工作领导小组备案。
三、从事信息安全工作的人员应政治过硬、遵纪守法、恪尽职守;具备较强的政治敏感性、工作责任感和保密意识;应熟练掌握国家相关法律法规和政策以及业务知识,具备较强的问题分析、处理和学习能力。
四、信息安全工作人员应保持 24 小时通信畅通。
五、公司用于日常信息安全管理、技术保障措施建设、人员教育等的配套资金投入应当根据公司规模、网络覆盖、业务范围及用户数量在公司年度预算中相应编制,保证信息安全管理和技术保障手段建设顺利开展。
**电信公司信息安全管理考核和奖惩制度一、总则为切实有效落实公司各项信息安全管理制度,加强重大信息安全事的协调组织及相关事件的应急响应处理能力,结合公司实际,制定本考核制度。
二、适用范围本考核制度适用于**电信公司市公司各部门、下属各区县公司。
三、细则(一)总体要求:公司信息安全主管部门应当采取定期检查或者抽查方式对各部门信息安全工作开展、落实情况进行指导和监督。
(二)考核管理:公司负责信息安全工作人员的绩效考核应当与信息安全考评结果挂钩。
对于信息安全工作综合考评结果不达标的部门,将由信息安全工作领导小组提出考核意见,并按照公司相关考核机制实施处理。
(三)对信息安全管理工作不力、执行不到位,导致信息安全事件的,或发生信息安全事件后迟报、瞒报或谎报的,应当根据事件影响程度,追究相关部门领导责任并可对相关责任人员处以警告、记过、记大过直至解除劳动合同。
(四)各部门对主动采取有效措施预防并降低信息安全风险,及时发现并消除重大信息安全隐患,在违规问题及突发事件处置过程中表现突出的下级部门与个人,应予以表彰奖励。
附件 5:**电信公司信息安全技术保障制度一、各部门要加强本部门信息内容安全技术研究,实施对归口管理的业务、平台等的信息安全评估,发现安全隐患,及时整改。
二、各部门要以技术手段为支撑,健全信息内容安全管理和公共信息服务内容日常核查手段,按要求使用相关信息内容安全系统。
三、要提升日常监测系统的能力,增强对新业务形态、网络突发流量、接入轨迹、协议类型等的数据监测功能,建立分级预警机制。
四、建立并完善本部门部门事前预防、事中管控、事后追溯的网络信息安全技术保障体系,做到及时发现、快速响应和处置。
附件 6:**电信公司信息安全事件报告制度一、总则为规范和加强**电信公司重大信息安全事件的信息报告管理工作,及时了解掌握和评估分析重大信息安全事件有关情况,协调组织相关力量进行事件的应急响应处理,从而降低重大信息安全事件带来的损失和影响,根据有关法律、法规的规定,结合本公司实际情况,制定本制度。
二、适用范围本制度适用于**电信公司各职能部门及区县公司的网络与信息系统信息安全事件的报告。
三、细则本制度所称的信息安全事件是指由于自然灾害、设备软硬件故障、人为失误或破坏等原因严重影响到本公司网络与信息系统的正常运行,出现业务中断、系统破坏、数据破坏或信息失窃密或泄密等,从而在公司名誉、稳定或公众利益等方面造成不良影响以及造成一定程度直接和间接经济损失的事件。
四、根据工业和信息化部的规定,实施信息安全事件等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下三级:(一)特大信息安全事件:指涉及国家安全和稳定,造成恶劣影响和严重后果,或被中央有关部门通报,社会反响强烈的信息安全事件。
(二)重大信息安全事件:指涉及国家安全和社会稳定、造成较大社会影响和较严重后果,或被省级有关部门通报的信息安全事件。
(三)一般信息安全事件:指被大量用户集中投诉等可能对公司造成一定负面影响的信息安全事件。
五、信息安全事件的处理原则统一领导、归口负责、综合协调、快速处理。
六、发生信息安全事件处理具体要求(一)发生特大信息安全事件,当事部门应当在事件发生后5分钟内将有关情况上报本公司信息安全领导小组,在10分钟内屏蔽信息源,保留事件的相关材料,并向省公司信息安全领导小组报告。
如属重大事项,并需按照公司的重大事项上报制度的规定进行上报。
当事部门应当在事件发生后12小时内向省公司信息安全领导小组提交简要书面报告,在相关事件处理结束后2日内提交专题书面报告。
(二)发生重大信息安全事件,当事部门应当在事件发生后15分钟内将有关情况上报本公司信息安全领导小组,在30分钟内屏蔽信息源,保留事件的相关材料,并向省公司信息安全领导小组报告。
如属重大事项,并需按照公司的重大事项上报制度的规定进行上报。
当事单位应当在事件发生后12小时内向省公司信息安全领导小组提交简要书面报告,在相关事件处理结束后2日内提交专题书面报告。
(三)发生一般信息安全事件,当事部门应当在30分钟内屏蔽信息源,保留事件的相关材料,并在事件发生后1小时内将有关情况报告公司信息安全领导小组。
当事单位应在事件发生后2小时内向省公司信息安全领导小组报告,24小时内作出简要书面报告,相关事件处理结束后2日内作出专题书面报告。
(四)对于被媒体曝光或存在媒体曝光风险的信息安全事件,公司的信息安全主管部门应向公司的综合部进行事件通报,由省公司综合部负责组织对信息安全事件的新闻发布及媒体应对。
各部门及个人应当严格执行公司新闻宣传纪律和保密规定,不得擅自对外发布信息安全事件的相关信息。
附件 7:**电信公司信息安全事件应急处置制度为建立健全应急处置和信息通报制度,快速反映,及时应对处理信息安全事件,特制订本制度。
一、应急处置原则(一)全面监控指定专人全面搜索监控网络中含有淫秽色情等有害信息内容的栏目、论坛、页面、图片、视频、文字等,并监控关键网络设施,防止不法分子利用网络传播有害信息,做到及早发现苗头、动态,提前做好应急处置工作。
指定专人全面监控电视、广播、报纸及互联网等各类媒体的舆论动态,发现问题及时向主管领导和省公司综合办公室报告。
(二)快速反应发生紧急突发事件时,各相关部门可在迅速上报的同时,及时采取有针对性的应急处理措施,防止事态进一步扩展蔓延。