信息安全管理制度
信息系统安全管理制度范文(5篇)
信息系统安全管理制度范文第一章总则第一条为保证本单位信息系统的操作系统和数据库系统的安全,根据《____计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。
第二条本制度适用于本单位____部门及所有系统使用部门和人员。
第三条____部门是本单位系统管理的责任主体,负责____单位系统的维护和管理。
第二章系统安全策略第四条____部门负责单位人员的权限分配,权限设定遵循最小授权原则。
1)管理员权限。
维护系统,对数据库与服务器进行维护。
系统管理员、数据库管理员应权限分离,不能由同一人担任。
2)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。
3)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。
4)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例如退费操作等。
第五条加强____策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。
用户使用的口令应满足以下要求:-____个字符以上;-使用以下字符的组合。
a-z、a-z、0-9,以及。
@#$%^&____-+;-口令每三个月至少修改一次。
第六条定期____系统的最新补丁程序,在____前进行安全测试,并对重要文件进行备份。
第七条每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。
第八条关闭信息系统不必要的服务。
第九条做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。
第三章系统日志管理第十一条对于系统重要数据和服务器配值参数的修改,必须征得____领导批准,并做好相应记录。
第十二条对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内容等详细信息。
第十三条审计日志应包括但不局限于以下内容。
包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。
信息安全管理制度范本(3篇)
信息安全管理制度范本一、总则为了有效保护企业的信息资产、确保信息系统的正常运行和信息安全,特制定本信息安全管理制度(以下简称“本制度”)。
本制度适用于企业内的所有信息系统、网络设备、信息资产,以及企业内所有员工和外部用户在使用企业信息系统时应遵守的各项规定。
二、信息安全管理目标1.保护企业信息资产的机密性、完整性和可用性,防止信息泄露、损坏和非法使用。
2.确保信息系统的安全运行,防止病毒、木马等威胁和攻击。
3.加强员工的信息安全意识,提高信息安全管理水平。
三、信息安全管理要求1.建立健全信息安全管理制度,确保信息安全管理的全面性、连续性和有效性。
2.明确信息资产的分类、归属和责任,制定相应的保护措施。
3.制定密码管理制度,对信息系统进行可靠的身份认证和访问控制。
4.建立网络安全管理制度,加强网络设备的配置和管理,防止网络攻击和非法入侵。
5.制定备份和恢复管理制度,保证信息系统数据的安全备份和快速恢复。
6.建立事件处理和应急响应机制,及时发现和处理安全事件,减少损失。
7.加强员工的信息安全教育培训,提高员工的信息安全意识和能力。
8.定期进行安全演练和评估,发现和修复系统漏洞和安全隐患。
四、信息安全责任1.企业负责人应当明确信息安全的重要性,并将其纳入企业的经营战略之中。
2.信息安全部门负责制定、实施和维护信息安全管理制度,并监督和检查各部门的信息安全工作。
3.各部门负责指定信息安全管理员,负责本部门的信息安全工作。
4.员工应当遵守本制度的各项规定,妥善保管个人账号和密码,不得私自泄露、更改或共享。
五、信息安全监督与检查1.企业信息安全部门负责对各部门的信息安全情况进行定期检查和评估。
2.企业内部和外部专业机构可以被委托进行信息安全审计。
3.对发生的信息安全事件和违规行为,进行调查和处理,并采取相应的纠正和预防措施。
六、其他本制度的解释权归企业负责人和信息安全部门负责人所有。
本制度自发布之日起生效。
信息安全管理制度
信息安全管理制度信息安全管理制度(通用7篇)信息安全管理制度篇1近年来,随着计算机技术和信息技术的飞速发展,社会的需求不断进步,企业传统的手工生产模式和管理模式迈入了一个全新的时代——信息化时代。
随着信息化程度的日益推进,企业信息的脆弱性也日益暴露。
如何规范日趋复杂的信息安全保障体系建设,如何进行信息风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
一、前言:企业的信息及其安全隐患。
在我公司,我部门对信息安全做出整体规划:通过从外到内、从广义到狭义、从总体到细化、从战术到战略,从公司的整体到局部的各个部门相结合一一剖析,并针对信息安全提出解决方案。
涉及到企业安全的信息包括以下方面:A. 技术图纸。
主要存在于技术部、项目部、质管部。
.B. 商务信息。
主要存在于采购部、客服部。
C. 财务信息。
主要存在于财务部。
D 服务器信息。
主要存在于信管部。
E 密码信息。
存在于各部门所有员工。
针对以上涉及到安全的信息,在企业中存在如下风险:1 来自企业外的风险①病毒和木马风险。
互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染企业用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。
②不法分子等黑客风险。
计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,他们利用所学的计算机编程语言编译有特定功能的木马插件,经过层层加壳封装技术,用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠,从漏洞进入电脑,然后在电脑中潜伏,依照不法分子设置的特定时间运行,开启远程终端等常用访问端口,那么这台就能被不法分子为所欲为而不被用户发觉,尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。
信息安全保密管理制度(五篇)
信息安全保密管理制度1、配备____至____名计算机安全员(由技术负责人和技术操作人员组成),履行下列职责:严格审核系统所发布消息:根据法律法规要求,必须监视本系统的信息,对本系统的信息实行____小时审核巡查,防止有人通过本系统发布有害信息。
如发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告;同时应配合公安机关追查有害信息的来源,协助做好取证工作。
其中,网站发布的信息不得包含以下内容:煽动抗拒、破坏宪法和法律、行政法规实施的;煽动____、推翻____制度的;煽动分裂国家、破坏国家统一的;煽动民族仇恨、民族歧视,____的;捏造或者歪曲事实,散布谣言,扰乱社会秩序的;宣扬封建____、____秽、____、____、____、凶杀、____、教唆犯罪的;公然侮辱他人或者捏造事实诽谤他人的,或者进行其他恶意攻击的;损害国家机关信誉的;其他违反宪法和法律行政法规的;2、对电脑文件、数据进行加密处理。
3、定期对网站上的信息进行备份,对数据库进行定期的备份和保存。
实行每天进行增量备份,每周实行一次全备份。
并且每月把备份的内容刻录成光盘进行存储3、经申报批准,才能查询、打印有关资料。
4、对发布的信息,我们会对信息日志的记录至少保存____个月的记录,并建立有害信息过滤等管理制度。
遵守国家有关规定,实行关键字过滤,对敏感的字和词组进行过滤5、对相关管理人员设定网站管理权限,不得越权管理网站信息,对保密信息严加看管,不得遗失、私自传播。
6、采用多种硬件、软件技术对网站信息数据进行加密。
(1)从中国境内向外传输技术性资料时必须符合中国有关法规。
(2)使用网络服务不作非法用途。
(3)不干扰或混乱网络服务。
(4)遵守所有使用网络服务的网络协议、规定、程序和惯例。
信息安全保密管理制度(二)是企业或组织制定的一套规范和措施,旨在确保信息安全并保护敏感信息的机密性、完整性和可用性。
信息化安全管理制度范文(三篇)
信息化安全管理制度范文第一章总则第一条根据公司业务特点和信息化安全需求,制定本制度,以保障公司信息系统和信息资产的安全性,规范员工的信息化行为,确保公司业务的稳定运行。
第二条本制度适用于所有公司员工和外聘人员,包括全职员工、兼职员工、实习生、临时工等,并适用于公司所有的信息系统和信息资产。
第三条信息化安全管理制度是公司信息安全管理体系的基本组成部分,依据国家相关法律法规,以及公司的信息技术管理体系实施规范。
第四条公司信息化安全管理制度主要包括:信息安全策略、组织结构、责任分工、安全培训、安全控制、安全风险评估、事件应急等内容,各项内容相互关联,相互配合。
第五条本制度由公司信息技术部门负责起草和维护,经公司董事会批准后正式实施。
第六条公司各部门负责人要根据本制度制定相应的实施细则,并负责本部门员工的信息化安全教育和培训,确保本部门的信息安全工作得以落实。
第七条为了保护公司信息系统及信息资产的安全性,员工应按照本制度的规定进行信息化安全操作,严禁实施任何危害公司信息系统及信息资产安全的行为。
第二章组织结构第八条公司设立信息安全委员会,由公司高层领导和部门负责人组成,负责制定信息安全策略和计划,并监督各部门的信息安全工作。
第九条信息安全委员会设立信息安全办公室,由信息技术部门负责维护和管理,负责制定信息安全政策和规程,协调各部门的信息安全工作。
第十条各部门要成立信息安全小组,由各部门负责人担任组长,负责本部门的信息安全工作,包括信息资产的分类和保护措施的制定。
第十一条信息技术部门负责公司信息系统的运维和安全管理,包括系统的建设、维护和应急响应等工作。
第十二条公司培训部门负责信息化安全培训工作,包括员工入职培训、定期培训和安全意识教育等。
第十三条公司内部审计部门负责对信息化安全管理制度的执行情况进行监督和检查,并向董事会汇报。
第三章安全控制第十四条公司要建立健全的网络安全防护体系,包括网络防火墙、入侵检测系统、反病毒系统等,保障网络的安全性。
信息系统安全管理制度(五篇)
信息系统安全管理制度--____联华中安制定为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,____联华中安信息技术有限公司特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
信息安全管理制度汇编
信息安全管理制度汇编(经典版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的经典范文,如工作总结、工作计划、演讲致辞、策划方案、合同协议、规章制度、条据文书、诗词鉴赏、教学资料、其他范文等等,想了解不同范文格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!Moreover, our store provides various types of classic sample essays for everyone, such as work summaries, work plans, speeches, planning plans, contract agreements, rules and regulations, doctrinal documents, poetry appreciation, teaching materials, other sample essays, etc. If you want to learn about different sample formats and writing methods, please stay tuned!信息安全管理制度汇编信息安全管理制度汇编(精选21篇)信息安全管理制度汇编篇11.信息安全禁止行为:1.1利用公司信息系统平台、网络制作、传播、复制危害公司及员工的有关任何信息;1.2攻击、入侵他人计算机,未经允许使用他人计算机设备、信息系统等;1.3未经授权对信息平台erp、crm、wms、网站、企业邮件系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、移动、复制和删除等;1.4未经授权查阅他人邮件,盗用他人名义进行发送任何电子邮件;1.5故意干扰、破坏公司信息平台erp、crm、wms、网站、企业邮件等系统的安全、稳定畅通运行;从事其他危害公司计算机、网络设备、信息平台的安全活动;1.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息;其它危害公司信息安全或违反国家相关法律法规、信息安全条例的行为。
公司信息安全管理制度范文(3篇)
公司信息安全管理制度范文一、总则1. 为了保障公司的信息安全,提升公司的竞争力和内部管理水平,制定本《公司信息安全管理制度》(以下简称“本制度”)。
2. 本制度适用于公司所有员工,包括全职员工、兼职员工、临时员工以及外包人员等。
3. 所有员工必须遵守本制度,配合信息安全管理工作,并对本制度的规定负责。
二、信息安全管理职责1. 公司将设立信息安全责任人,负责制定信息安全管理方案、协调相关工作、处理信息安全事件等事宜。
2. 全体员工有权向信息安全责任人举报任何可能影响公司信息安全的行为和事件,并有义务积极配合相关调查。
3. 各部门、岗位应设立信息安全管理员,负责落实信息安全管理措施,推动信息安全工作的顺利进行。
4. 信息安全责任人有权监督各部门、岗位的信息安全工作,并有权提出相关改进和建议。
三、信息分类和保密要求1. 公司将信息分为不同级别,并对每个级别的信息设置不同的保密要求。
2. 公司信息分类级别包括:公开信息、内部信息、机密信息、绝密信息。
3. 不同级别的信息应根据保密要求进行存储、传输和处理,不得泄露或违反保密要求使用。
四、信息安全管理措施1. 全公司网络设备应采用安全合规的硬件和软件,定期进行安全检查和升级。
2. 全员上岗前应进行信息安全培训,提高员工的信息安全意识和技能。
3. 公司应制定合理的权限管理制度,确保员工获得的权限与其工作职责相匹配。
4. 公司对员工的上网行为进行监控和记录,确保员工遵守公司的网络使用规定,不得利用公司网络违法犯罪或从事不当行为。
5. 公司应定期进行信息安全风险评估和演练,及时发现和排除潜在的信息安全威胁。
6. 公司应定期备份重要信息,并确保备份数据的安全性和可靠性。
7. 公司应建立健全的安全事件管理制度,及时响应和处置信息安全事件,减少损失。
五、信息安全违规行为处理1. 对于违反本制度的行为,公司将按照相应的规定进行处理,包括但不限于警告、停职、辞退等。
2. 对于造成严重后果或涉嫌犯罪的行为,公司将依法追究相应的法律责任,保护公司和员工的合法权益。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度目录1.安全管理制度要求1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯2.机构要求2.1法律责任2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
3.人员安全管理3.1安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2关键岗位人员3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:1.个人身份核查:2.个人履历的核查:3.学历、学位、专业资质证明:4.从事关键岗位所必须的能力3.2.2应与关键岗位人员签订保密协议。
3.3安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:1.上岗前的培训;2.安全制度及其修订后的培训;3.法律、法规的发展保持同步的继续培训。
应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
3.4人员离岗应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
4.访问控制管理4.1访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。
4.2权限分配按以下原则根据人员职责分配不同的访问权限:a)角色分离,如访问请求、访问授权、访问管理;b)满足工作需要的最小权限;c)未经明确允许,则一律禁止。
4.3特殊权限限制和控制特殊访问权限的分配和使用:a)标识出每个系统或程序的特殊权限;b)按照“按需使用”、“一事一议”的原则分配特殊权限;c)记录特殊权限的授权与使用过程;d)特殊访问权限的分配需要管理层的批准。
注:特殊权限是系统超级用户、数据库管理等系统管理权限。
4.4权限的检查定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。
5网络与主机系统的安全5.1网络与主机系统的安全应维护使用的网络与主机系统的安全,包括:a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施;b) 实施7×24h网络入侵行为的预防、检测与响应措施;c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。
注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
5.2备份5.2.1应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。
5.2.2网络基础服务(登录、消息发布等)应具备容灾能力。
5.3安全审计5.3.1应记录用户活动、异常情况、故障和安全事件的日志。
5.3.2审计日志内容应包括:a)用户注册相关信息,包括:1)用户唯一标识;2)用户名称及修改记录;3)身份信息,如姓名、证件类型、证件号码等;4)注册时间、IP地址及端口号;5)电子邮箱地址和于机号码;6)用户备注信息;7)用户其他信息。
b)群组、频道相关信息,包括:1)创建时间、创建人、创建人IP地址及端口号;2)删除时间、删除人、删除人IP地址及端口号;3)群组组织结构;4)群组成员列表。
c)用户登录信息,包括:1)用户唯一标识;2)登录时间;3)退出时间;4)IP地址及端口号。
d)用户信息发布日志,包括:1)用户唯一标识;2)信息标识;3)信息发布时间;4)IP地址及端口号;5)信息标题或摘要,包括图片摘要。
e)用户行为,包括:1)进出群组或频道;2)修改、删除所发信息;3)上传、下载文件。
5.3.3应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。
电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL与短UR L之间的映射关系。
5.3.4应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。
5.3.5应能够根据公安机关要求留存具备指定信息访问日志的留存功能。
审计日志保存周期a)应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录;b)系统维护日志信息保存12个月以上;c)应留存用户日志信息12个月以上;d)对用户发布的信息内容保存6个月以上;e)已下线的系统的日志保存周期也应符合以上规定。
6应用安全6.1用户管理6.1.1向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的法律责任。
6.1.2建立用户管理制度,包括:a)用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用户登记的真实身份,如:1)身份证与姓名实名验证服务:2)有效的银行卡:3)合法、有效的数字证书:4)已确认真实身份的网络服务的注册用户:5)经电信运营商接入实名认证的用户。
(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。
)b)应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:c)建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。
6.1.3当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行:a)核对行政许可文件:b)通过行政许可主管部门的公开信息:c)通过行政许可主管部门的验证电话、验证平台。
6.2违法有害信息防范和处置6.2.1公司采取管理与技术措施,及时发现和停止违法有害信息发布。
6.2.2公司采用人工或自动化方式,对发布的信息逐条审核。
采取技术措施过滤违法有害信息,包括且不限于:a)基于关键词的文字信息屏蔽过滤;b)基于样本数据特征值的文件屏蔽过滤;c)基于URL的屏蔽过滤。
6.2.3应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
6.2.4公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。
6.2.5建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括:a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作6.2.6与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min 之内删除,相关的屏蔽过滤措施应在10min内生效。
6.3破坏性程序防范6.3.1实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。
6.3.2对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。
7个人电子信息保护7.1.1制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。
在用户注册时,在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。
7.1.2湖南凯美医疗网站仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个人电子信息时,取得用户的明确授权同意;公司在姜个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;法律、行政法规另有规定的,从其规定。
7.1.3公司在修改个人电子信息处理时,应告知用户,并取得其同意。
7.2技术措施公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:a)采用加密方式保存用户密码等重要信息b)审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露c)审计个人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据d)建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。
这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销e)系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险7.3个人信息泄露事件的处理a)当发现个人电子信息泄露时间后,应:b)立即采取补救措施,防止信息继续泄露c)24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关8安全事件管理8.1安全时间管理制度8.1.1建立安全事件的监测、报告和应急处置制度,确保快速有效和有序地响应安全事件.8.1.2安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。
8.2应急预案制定安全事件应急处置预案,向属地公安机关宝贝,并定期开展应急演练。
8.3突发公共事件处理突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:a)I级:应投入安全管理等部门80%甚至全部人力开展处置工作;b)II级:应投入安全管理等部门50% -80%的人力开展处置工作;c)III级:应投入安全管理等部门30%-50%的人力开展处置工作;d)IV级:应投入安全管理等部门30%的人力开展处置工作。