網絡信息安全管理制度一、信患安全管理責任制.總則通過加強本公司辦公設備、網站、公眾號、OA辦公系統等管理，保證網絡信息安全正常運行，保證公司機密文件的信息安全，保障服務器和數據庫的安全運行，加強本公司員工的網絡信息安全意識，把相關工作做好。.設備管理本公司電腦設備僅用于本公司辦公使用，不得用于工作無關的內容。為保護辦公電腦資料的安全，辦公電腦必須設置密碼，并且不能設置過于簡單的密碼，并應依據一定規則定期更新。電腦配置采購由上級部門統一進行，電腦軟硬件更換需上級管理人同意，未經許可任何個人不得隨意拆卸更換電腦設備，私自拆卸、更換電腦設備，否則按公司相關規定賠償并處理。.數據安全管理本公司工作所需的資料、數據，不得帶出辦公區。因外派等業務需帶出的除外，但需始終注意做好相關資料的保密工作。外派等工作結束后，必須將相關資料數據及時帶回，并清除保留在外面設備上的資料。個人資料及工作資料應定期做好備份工作（重要資料應隨時雙重備份在其他電腦和其他介質上），以防病毒侵襲、硬件損壞等造成數據丟失。.網絡信息安全管理新員工入職，在得到自己的賬戶名和密碼后，應立即更改自己的密碼。不得利用計算機技術侵占用戶合法利益，不得制作、復制、和傳播妨害公司穩定的有關信息；不得利用公司計算機網絡從事危害國家安全及其他法律明文禁止的活動；不訪問不明網站的內容，以避免惡意網絡攻擊和病毒的侵擾。員工個人QQ、微信等其他網絡通訊工具，在個人信息資料中不得包含公司相關（如公司電話、IP地址等）信息，在工作時間不使用QQ、微信進行與工作無關的事情。.病毒防護管理配備的辦公電腦必須安裝防毒軟件。任何人不得在公司的網絡上制造、傳播任何計算機病毒，不得故意引入病毒。網絡使用者發現病毒應立即向上級部門報告以便獲得及時處理。.下載管理不準在任何時間利用公司網絡下載黑客工具、解密軟件，系統掃描工具，木馬程序等威脅系統和網絡安全的軟件。本公司辦公電腦不允許下載和在線觀看與工作無關的軟件或其他內容，如MP3、小說、電影、電視和圖片等。由于擅自進行下載/上傳造成網絡堵塞甚至癱瘓或致病毒傳播者，一經核實，公司依據相關規定處理。二信息安全評估.信息安全風險評估(informationsecurityriskassessment)是依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。.信息安全風險評估分為自評估、檢查評估兩種形式。自評估是指網絡與信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估。檢查評估是指信息系統上級管理部門組織的或國家有關職能部門依法開展的風險評估。信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充。自評估和檢查評估可依托自身技術力量進行，也可委托第三方機構提供技術支持。.信息安全風險評估包括資產重要性等級、威脅識別、威脅分類、威脅賦值、脆弱性賦值、已有安全措施確認、風險分析、風險評估記錄等。三、用戶信息安全管理1.相關內部人員不得對外泄露需要保密的信息；內部人員不得發布、傳播國家法律禁止的內容；.信息發布之前應該經過相關人員審核；.對相關管理人員設定網站管理權限，不得越權管理網站信息；.一旦發生網站信息安全事故，應立即報告相關方并及時進行協調處理；.對有毒有害的信息進行過濾、用戶信息進行保密。.登記注冊表應由專人負責保管，未經授權不得復制、透露給第三方；.只允許用戶的單一登錄；即單一用戶名只對應單一口令.對登陸用戶信息閱讀與發布按需要設置權限用戶可自主改變登錄密碼，以保護用戶信息的隱私權;.對用戶在網站上的行為進行有效監控，保證內部信息安全；.規定用戶不得傳播、發布國家法律禁止的內容。.針對用戶發布信息建立審核機制，設定信息開關，所有信息一律師事務所審核后再開放顯示。.除用戶授權外，系統管理員不得對用戶信息進行復制、刪改；.定期將用戶信息備份并保存，以防用戶誤操作，丟失原有信息;.加強對用戶的網絡制度、法律法規的宣傳；并組織集中學習與培訓，加強用戶相關的法律意識，提高用戶的自我束約能力。.固定用戶不得傳播、發布國家法律禁止的內容。.如用戶要求對服務器網絡配置進行改動、增減信息目錄結構，用戶需要向系統分析員提出書面申請。［違法違規互聯網信息服務和違法信息的巡查與處置.總則為了加強對網站的安全保護，根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》及其他有關法律、行政法規的規定，制定本機制。有害信息的本著“誰主管，誰負責”、遵循依法、客觀公正、合理恰當的原則。有害信息事件是指單位和個人利用網站制作、復制、查閱和傳播下列的事件：煽動抗拒、破壞憲法和法律、行政法規實施的；煽動顛覆國家政權、推翻社會主義制度的；煽動分裂國家、破壞國家統一的；煽動民族仇恨、民族歧視，破壞民族團結的；捏造或者歪曲事實，散布謠言，擾亂社會次序的；宣揚封建迷信、淫穢、色情、賭博、暴力、兇殘、恐怖、教唆犯罪的；公然侮辱他人或者捏造事實誹謗他人的；損害網站形象和網站利益的；其他違反憲法和法律、行政法規的。有害信息發生部位：在BBS、留言板等交互式欄目，在網站首頁、商品信息頁中張貼、傳播有害信息。利用電子郵件發送危害安全、宣揚“法輪功”等邪教和擾亂社會秩序的各種謠言等有害信息。用戶的通信自由和通信秘密受法律保護。任何單位和個人不得違反法律規定，不得利用網站侵犯用戶的通信自由和通信秘密。.違法違規網站信息處置程序一旦發現網絡有害信息的，應立即啟動預案，采取“及時處理、下載保存和24小時上報制度”。網絡有害信息處置前期工作程序：發現有害信息的公司員工要立即報告公司信息部，由信息部協調處理網上突發事件，摸清情況，采取措施，最大限度地遏制有害信息在網站上傳播和擴散，并在第一時間內向公司主管領導及有關部門報告。信息部負責有害信息的界定及監控，一旦發現不良信息要馬上刪除（如遇緊急情況，可直接關閉服務器，暫停網絡運行）。信息部及時對有害信息予以刪除，取證留樣，對有害信息的來源進行調查；在最短時間內向網絡有害信息處置相關機構報告情況。信息部要對網絡安全設備的記錄留存，監督檢查有害信息報告、清除等情況。信息安全員負責調查有害信息散布的原因、經過，收集相關證據，以有利于事件處理時事實清楚，責任明確。.網絡有害信息處置后期工作程序：.信息部要利用網絡與信息安全技術平臺，對網上有害信息和公共有害短信及時進行封堵：對違規從事網上業務或傳播有害信息的用戶，依法采取責任令整頓，予以封禁用戶等行政處罰措施。.在事實清楚、責任明確的情況下，公司網絡安全管理領導小組要對事件做出處理決定。有關事件的處置經過、結論等相關事宜，一律由信息部統一對外宣傳。做好經費保障工作和技術開發工作。公司劃撥一定的網絡安全管理經費投入，要在技術管理和軟件開發利用上下工夫，提高網絡信息安全管理技能。網站服務器必須安裝必要的信息安全軟件。.處置后期工作有害信息的責任認定與后期工作按照有關法律和規定確定。對于在上述事件中對處理不服的，由信息部做好思想教育疏導工作。各職能部門繼續做好網站有害信息的收集監控工作。五、重大信息安全事件應急處置和報告制度.總則為預防和及時處置網絡突發事件，保證網絡信息安全，維護社會穩定，特制訂網絡信息安全事件應急處置預案。在公司領導的統一管理下，貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規，堅持積極防御、綜合防范的方針，本著以防為主、注重應急工作原則，預防和控制風險，在發生信息安全事故或事件時最大程度地減少損失，維護社會和公司穩定，盡快使網絡和系統恢復正常，做好網絡運行和信息安全保障工作。.信息網絡安全事件定義網站受到黑客攻擊，主頁被惡意篡改、交互式欄目里發表煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度；煽動抗拒、破壞憲法和國家法律、行政法規的實施；捏造或者歪曲事實，故意散布謠言，擾亂社會秩序；公然侮辱他人或者捏造事實誹謗他人；宣揚封建迷信、淫穢色情、暴力、兇殺、恐怖；發送危害國家安全、宣揚“法輪功”等邪教及宗教極端勢力的信息；破壞社會穩定的信息及損害國家、公司聲譽和穩定的謠言等。網內網絡應用服務器被非法入侵，應用服務器上的數據被非法拷貝、修改、刪除，發生泄密事件。在網站上發布的內容違反國家的法律法規、侵犯知識產權等，已經造成嚴重后果。.信息安全事件應急處置辦法加大培訓和宣傳力度，加強和完善互聯網安全管理，設置專門管理部門，采取統一管理體制，落實負責人。各部門要建立健全內部安全保障制度，按照“誰主管、誰負責”、“誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，加強信息的審查和備案工作，確保網絡與信息安全。加強我公司互聯網絡信息安全管理，連接國際互聯網的計算機用戶絕對不能存儲涉及國家秘密、公司內部機密的文件。加強信息審查工作，若發現主頁被惡意更改，應立即停止主頁服務并恢復正確內容，同時檢查分析被更改的原因，在被更改的原因找到并排除之前，不得重新開放主頁服務。各級各類服務器提供信息服務，必須事先登記、審批，建立使用規范，落實責任人，并具備相應的安全防范措施（如：日志留存、安全認證、實時監控、防黑客、防病毒等，加強網絡設備日志分析，及時收集信息，排查不安定因素。加強BBS、留言板等交互式欄目的專人管理，交互式欄目內容發布實行審核制度。對于非法網站要做到：發現一個，禁止一個，并及時向主管領導匯報，杜絕其蔓延。建立有效的網絡防病毒工作機制，及時做好防病毒軟件的網上升級，保證病毒庫的及時更新。網絡部對互聯網實施24小時值班責任制，必要時實行遠程控制。網絡管理人員應定期對互聯網的硬件設備進行狀態檢查。對用戶上網進行監控，若發現有異常行為應立即關閉該用戶的網絡連接，及時記錄在案，并對其警告和批評教育，嚴重違法行為立即上報有關部門。加強突發事件的快速反應。網絡管理員具體負責相應的網絡安全和信息安全工作，不允許有任何觸犯國家網絡管理條例的網絡信息，對突發的信息網絡安全事件應做到以下幾點。及時發現、及時報告，在發現后在第一時間向上一級領導或部門報告。保護現場，立即與網絡隔離，防止影響擴大。及時取證，分析、查找原因。消除有害信息，防止進一步傳播，將事件的影響降到最低。在處置有害信息的過程中，任何單位和個人不得保留、貯存、散布、傳播所發現的有害信息。追究相關責任。根據實際情況提出口頭警告、書面警告、停止使用網絡，情節嚴重和后果影響較大者，提交公司及國家司法機關處理，追究部門負責人和直接責任人的行政或法律責任。及時整頓，加強防范。各部門要積極配合上級網絡安全管理部門的例行檢查，并接受其技術指導。針對網絡存在的安全隱患和出現的問題，及時提出整治方案并具體落實到位，完善網絡安全機制，防范網絡安全事件再度發生。逐步建立網絡信息安全管理長效工作機制，實現公司信息安全管理，創造良好的網絡環境。在重要、敏感時期，加大網絡安全教育宣傳力度，加強員工的法律意識和安全意識教育，提高其安全意識和防范能力；開展安全文明上網的教育引導工作，凈化互聯網網上環境，及時收集信息，排查不安定因素；堅持24小時值班制度，開通值班電話，保證與上級主管部門、電信部門和當地公安機關的熱線聯系，積極做好預防工作，發現問題及時處理，防患于未然。做好機房及戶外網絡設備的防火、防盜竊、防雷擊、防鼠害等工作。若發生事故，應立即組織人員自救，并報警。.網絡安全事件報告與處置：事件發生并得到確認后，有關人員應立即將情況報告有關領導，由領導指揮處理網絡安全事件。應及時向當地公安機關報案。阻斷網絡連接，進行現場保護，協助調查取證和系統恢復等工作，有關違法事件移交公安機關處理。大信息安全教育培訓.定期組織網絡安全管理人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核管理制度》，提高工作人員的維護網絡安全的警惕性和自覺性。.定期對本公司網絡用戶進行安全教育和培訓，使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》，使他們具備基本的網絡安全知識。.對本單位網絡用戶進行安全教育和培訓，杜絕發布違犯《計算機信息網絡國際互聯網安全保護管理辦法》的信息內容。.不定期地進行信息安全方面的培訓，加強對有害信息，特別是影射性有害信息的識別能力，提高防犯能力。.定期對職工進行網絡安全教育，強化網絡安全意識增強守法觀念。七、客戶舉報和投訴處理等制度.總則為提高公司客戶服務質量和服務水平，規范客戶投訴處理程序，形成有效的投訴管理機制，根據公司相關制度和規定，制定本制度。對客戶投訴的處理應以有關規章制度為依據，以實事求是、公平合理、處理及時為原則，最大限度地滿足客戶的正當要求，認真解決客戶提出的問題，改進工作，優化服務，及時發現客戶糾紛風險和不穩定因素，維護公司信譽和合法權益。.客戶投訴公司各部門的經理為公司一般投訴事項的處理負責人。涉及違規行為和導致訴訟的投訴事件，由公司總經理負責處理。公司總經理為投訴事件的最終處理負責。公司如遇到客戶撥打電話或上門投訴的情況，應當穩定客戶情緒，耐心聽取意見，做好投訴記錄并立即報告客服中心。客戶投訴的具體事項應當按照公司有關部門和領導的要求，配合投訴事項的調查、反饋等工作。在處理投訴過程中，如發現公司各部門相關責任人存在違規行為的，應當立即報告上級領導核實。每周將投訴記錄情況提交運營部。.處理原則客戶投訴時，投訴受理人應做到耐心聽取、認真審閱，做到及時、專業、禮貌，體現良好的職業道德和服務意識，堅持“冷處理”原則。客戶投訴時，投訴受理人須注意方式方法，耐心說服教育，切忌態度粗暴生硬，切忌隨意表態、許愿，對于客戶的不合理要求，也要耐心解釋和說服防止矛盾激化；對揚言采取過激行為的對象要落實專人負責看管，對可能被報復的人員和被破壞的目標，采取有效的防范措施；投訴受理須與客戶在合法、合理、自愿的基礎上積極協商，妥善解決，不得簡單了事，力爭把矛盾和問題在公司內部解決和消化。.基本處理程序投訴按方式可分為電話投訴、上門投訴等。各類客戶投訴的受理及處理的基本程序如下：受理：客服人員及投訴受理人員