word網絡信息安全管理制度PAGEPAGE10wordPAGE網絡信息安全管理制度全文共10頁，當前為第1頁。網絡信息安全管理制度全文共10頁，當前為第1頁。網絡信息安全管理制度網絡與信息的安全不僅關系到公司正常業務的開展，還將影響到國家的安全、社會的穩定。我公司將認真開展網絡與信息安全工作，通過檢查進一步明確安全責任，建立健全的管理制度，落實技術防范措施，保證必要的經費和條件，對有毒有害的信息進行過濾、對用戶信息進行保密，確保網絡與信息安全。一、網站運行安全保障措施1、網站服務器和其他計算機之間設置經公安部認證的防火墻,做好安全策略,拒絕外來的惡意攻擊，保障網站正常運行。2、在網站的服務器及工作站上均安裝了正版的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對網站系統的干擾和破壞。3、做好日志的留存。網站具有保存60天以上的系統運行日志和用戶使用日志記錄功能，內容包括IP地址及使用情況，主頁維護者、郵箱使用者和對應的IP地址情況等.4、交互式欄目具備有IP地址、身份登記和識別確認功能，對沒有合法手續和不具備條件的電子公告服務立即關閉。5、網站信息服務系統建立雙機熱備份機制，一旦主系統遇到故障或受到攻擊導致不能正常運行，保證備用系統能及時替換主系統提供服務。網絡信息安全管理制度全文共10頁，當前為第2頁。6、關閉網站系統中暫不使用的服務功能,及相關端口,并及時用補丁修復系統漏洞,定網絡信息安全管理制度全文共10頁，當前為第2頁。7、服務器平時處于鎖定狀態,并保管好登錄密碼;后臺管理界面設置超級用戶名及密碼,并綁定IP,以防他人登入。8、網站提供集中式權限管理，針對不同的應用系統、終端、操作人員，由網站系統管理員設置共享數據庫信息的訪問權限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期更換，嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定，并由網站系統管理員定期檢查操作人員權限。9、公司機房按照電信機房標準建設，內有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統和消防系統，定期進行電力、防火、防潮、防磁和防鼠檢查。二、信息安全保密管理制度1、我公司建立了健全的信息安全保密管理制度，實現信息安全保密責任制，切實負起確保網絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網絡和提供信息服務的安全。2、網站信息內容更新全部由網站工作人員完成,工作人員素質高、專業水平好,有強烈的責任心和責任感。網站所有信息發布之前都經分管領導審核批準。工作人員采集信息將嚴格遵守國家的有關法律、法規和相關規定。嚴禁通過我公司網站及短信平臺散布《互聯網信息管理辦法》等相關法律法規明令禁止的信息（即“九不準”），一經發現，立即刪除。3、遵守對網站服務信息監視，保存、清除和備份的制度。開展對網絡有害信息的清理整治工作，對違法犯罪案件，報告并協助公安機關查處。網絡信息安全管理制度全文共10頁，當前為第3頁。4、所有信息都及時做備份。按照國家有關規定，網站將保存60天內系統運行日志和用戶使用日志記錄，短信服務系統將保存5網絡信息安全管理制度全文共10頁，當前為第3頁。5、制定并遵守安全教育和培訓制度。加大宣傳教育力度，增強用戶網絡安全意識，自覺遵守互聯網管理有關法律、法規，不泄密、不制作和傳播有害信息，不鏈接有害信息或網頁。三、用戶信息安全管理制度1、我公司鄭重承諾尊重并保護用戶的個人隱私，除了在與用戶簽署的隱私政策和網站服務條款以及其他公布的準則規定的情況下，未經用戶授權我公司不會隨意公布與用戶個人身份有關的資料，除非有法律或程序要求。2、所有用戶信息將得到本公司網站系統的安全保存，并在和用戶簽署的協議規定時間內保證不會丟失;3、嚴格遵守網站用戶帳號使用登記和操作權限管理制度，對用戶信息專人管理，嚴格保密，未經允許不得向他人泄露。公司定期對相關人員進行網絡信息安全培訓并進行考核，使員工能夠充分認識到網絡安全的重要性，嚴格遵守相應規章制度。（一）信息安全管理組織機構設置及工作職責

一、組織機構

1、公司成立信息安全領導小組，是信息安全的最高決策機構，下設辦公室，負責信息安全領導小組的日常事務。

2、信息安全領導小組負責研究重大事件，落實方針政策和制定總體策略等。職責主要包括：

（1）根據國家和行業有關信息安全的政策、法律和法規，批準公司信息安全總體策略規劃、管理規范和技術標準；

（2）確定公司信息安全各有關部門工作職責，指導、監督信息安全工作。

（3）信息安全領導小組下設兩個工作組：信息安全工作組、應急處理工作組。組長均由公司負責人擔任。

（4）信息安全工作組的主要職責包括：

網絡信息安全管理制度全文共10頁，當前為第4頁。①貫徹執行公司信息安全領導小組的決議，協調和規范公司信息安全工作；

②根據信息安全領導小組的工作部署，對信息安全工作進行具體安排、落實；

③組織對重大的信息安全工作制度和技術操作策略進行審查，擬訂信息安全總體策略規劃，并監督執行；

④負責協調、督促各職能部門和有關單位的信息安全工作，參與信息系統工程建設中的安全規劃，監督安全措施的執行；

⑤組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；

⑥負責接受各單位的緊急信息安全事件報告，組織進行事件調查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；

⑦及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件。

⑧跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。

（5）應急處理工作組的主要職責包括：

①審定公司網絡與信息系統的安全應急策略及應急預案；

②決定相應應急預案的啟動，負責現場指揮，并組織相關人員排除故障，恢復系統；

③每年組織對信息安全應急策略和應急預案進行測試和演練。

（6）公司應指定分管信息的領導負責本單位信息安全管理，并配備信息安全技術人員，有條件的應設置信息安全工作小組或辦公室，對公司信息安全領導小組和工作小組負責，落實本單位信息安全工作和應急處理工作。

二、工作職責

1、設置信息系統的關鍵崗位并加強管理，配備系統管理員、網絡管理員、應用開發管理員、安全審計員、安全保密管理員，要求五人各自獨立。要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。

2、系統管理員主要職責有：

（1）負責系統的運行管理，實施系統安全運行細則；

（2）嚴格用戶權限管理，維護系統安全正常運行；

（3）認真記錄系統安全事項，及時向信息安全人員報告安全事件；

（4）對進行系統操作的其他人員予以安全監督。

3、網絡管理員主要職責有：

（1）負責網絡的運行管理，實施網絡安全策略和安全運行細則；

（2）安全配置網絡參數，嚴格控制網絡用戶訪問權限，維護網絡安全正常運行；

（3）監控網絡關鍵設備、網絡端口、網絡物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；

（4）對操作網絡管理功能的其他人員進行安全監督。

4、應用開發管理員主要職責有：

（1）負責在系統開發建設中，嚴格執行系統安全策略，保證系統安全功能的準確實現；

（2）系統投產運行前，完整移交系統相關的安全策略等資料；

（3）不得對系統設置“后門”；

（4）對系統核心技術保密等。

網絡信息安全管理制度全文共10頁，當前為第5頁。5、安全審計員負責對涉及系統安全的事件和各類操作人員的行為進行審計和監督，主要職能包括：

（1）按操作員證書號進行審計；

（2）按操作時間審計；

（3）按操作類型審計；

（4）事件類型進行審計；

（5）日志管理等。

6、安全保密管理員負責日常安全保密管理活動，主要職責有：

（1）監視全網運行和安全告警信息

（2）

網絡審計信息的常規分析

（3）安全設備的常規設置和維護

（4）執行應急中心制定的具體安全策略

（5）向應急管理機構和領導機構報告重大的網絡安全事件。

7、公司指定法人代表為分管信息的領導，負責本公司信息安全管理，并配備信息安全技術人員，設置信息安全工作小組或辦公室，對公司信息安全領導小組和工作小組負責，落實本單位信息安全工作和應急處理工作。

三、有害信息發現受理處置機制

公司有害信息處置機制是根據國家相關法律、法規的規定，結合我市實際制定的。主旨在于建立公司與工業和信息部以及通信管理局之間的快速反應機制，規范移動互聯網有害信息處置流程，在法律、法規的保障下，及時、迅速的處置移動互聯網有害信息。

本機制中“有害信息”包括：

（1）煽動抗拒、破壞憲法和法律、行政法規實施的；

（2）煽動顛覆國家政權，推翻社會主義制度的；

（3）煽動分裂國家、破壞國家統一的；

（4）煸動民族仇恨、民族歧視，破壞民族團結的；

（5）捏造或者歪曲事實，散布謠言，擾亂社會秩序的；

（6）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；

（7）公然侮辱他人或者捏造事實誹謗他人的；

（8）損害國家機關信譽的；

（9）其他違反憲法和法律、行政法規的。

本機制中“有害信息”指公司服務器上的網站Web欄目提供安全管理制度和技術防范措施的落實情況，對預防有害信息出現提出建議，對用戶及員工上報的應急處置聯系人員進行抽查，保障本機制實施。

主動發現手段：公司設置有害信息自動過濾平臺，發現及抵御有害信息的入侵。

信息安全小組負責對公司所有網絡資源進行實時監控，做到及時發現、即時處理的原則辦理，對處理結果備案，對重大有害信息事件，應在第一時間上報主管領導及相關部門。

網絡信息安全管理制度全文共10頁，當前為第6頁。信息安全小組負責界定、監控、受理有害信息事件，要做到即接快辦；夜間、節假日值班期間接到、發現的，應于次日或節假日后的第一個工作日辦理，對需緊急辦理的重大信息安全事件可先處理后登記（如遇緊急情況，可直接關閉服務器等設備，暫停網絡運行）

負責查辦的相關人員接到交辦的事件后，應及時安排辦理，要求在最短時限內處理完畢，如遇特殊情況不能按時處理完畢的，應報主管領導說明情況，可適當延長處理時間，處理結果應及時反饋給信息安全小組組長。在處理有害信息事件時，應按照處理流程，及時填寫相應表單，并隨處理結果報告一并存檔。

處置流程：公司接到投訴—上報主管領導/記錄相關信息—刪除信息—備份—判別有害信息級別—上報主管部門/報案到公安局處—配合調查

按照公安部要求，有害信息分為三級，處理方法如下：

一類，20分鐘內刪除

二類，30分鐘內刪除

三類，60分鐘內刪除

主動發現手段：公司設置有害信息自動過濾平臺，發現及抵御有害信息的入侵。

公司要求要對刪除信息進行備份，以便網監局（公安局）查詢時提供相關證據。

處理人員應對重大有害信息事件的舉報人、發現人要求保密著做到保密，有關重大的有害信息事件及處理過程不得泄密

四、重大信息安全事件應急處置和報告制度

為確保發生網絡安全問題時各項應急工作高效、有序地進行，最大限度地減少損失，根據《中華人民共和國計算機信息系統安全保護條例》、《計算機病毒防治管理辦法》等相關法律法規，結合本公司信息網絡實際情況，制定本制度。

1、事件等級：

根據信息安全事件的影響程度等因素將重大信息安全事件分為三個等級：

第三等級：特大信息安全事件，涉及國家安全和社會穩定，造成惡劣影響和嚴重后果。

第二等級：重大信息安全事件，涉及國家安全和社會穩定，造成較大社會影響和較嚴重后果。

第一等級：一般信息安全事件，造成一定社會影響的信息安全事件。

2、報告時限：

公司發生以上信息安全事件時，根據等級的不同分別向上級主管部門報告，報告分為口頭報告、簡要書面報告和專題書面報告：

發生特大信息安全事件時，公司在2小時內做出口頭報告，24小時內做出簡要書面報告，事件處理結束后3日內做出專題書面報告。

發生重大信息安全事件時，公司在4小時內做出口頭報告，24小時內做出簡要書面報告，相關事件處理結束后3日內做出專題書面報告。

發生一般信息安全事件時，公司在48小時內做出專題書面報告。

3、處置流程：

由于公司網絡環境安全事件（包括火災、盜竊、破壞、供電等）、網絡運行相關事件（包括網絡信息安全管理制度全文共10頁，當前為第7頁。線路中斷、路由障礙、流量異常、域名系統故障等）引發信息安全時，緊急通知我公司信息主管負責人，及時消除非法信息，恢復系統，無法迅速消除或恢復系統、影響較大時實施緊急關閉，并及時上報。

一般信息安全事件發生時，向入侵者所在的網絡管理員投訴。

重大信息安全事件及特大信息安全事件發生時（如造成重大經濟損失，破壞國家信息安全的反動政治言論），及時清除、保留證據，立即向網絡和信息安全事件應急小組報告。網絡和信息安全事件應急小組接到報告后，立即對發生的事件進行調查核實、保留相關證據，確定事件等級，向上級主管部門上報相關材料。

五、信息安全管理政策和業務培訓制度

根據我國《移動互聯網信息服務管理辦法》的有關規定，本公司制定以下制度：

1、公司各級領導和信息安全管理人員定期（每年至少二次）學習《中華人民共和國治安管理處罰條例》、《計算機信息網絡國際互聯網安全保護管理辦法》等有關法律、行政法規的規定，提高員工維護網絡安全的警惕性和自覺性。

2、在開展信息安全教育活動中，必須結合先進的典型事例進行正面教育，以利取長補短。信息安全教育要求體現“六性”，即全員性、全面性、針對性以及成效性、發展性、經常性。

3、加強對我網站的信息發布審核管理工作，杜絕違犯《計算機信息網絡國際互聯網安全保護管理辦法》的內容出現。

4、教育培訓目標：

不斷提高公司人員信息安全意識、信息技術素質，提高信息安全政策業務水平。

5、培訓制度：

1）業務學習培訓計劃由技術部根據年度工作計劃作出安排。

2）成立業務學習小組，定期組織業務學習；

3）工作人員每年必須參加不少于15個課時的專業培訓。

4）工作人員必須完成布置的學習計劃安排，積極主動地參加信息部組織的業務學習活動。

5）有選擇地參加其它行業和部門舉辦的專業培訓，鼓勵參加其它業務交流和學習培訓。

6）支持、鼓勵工作人員結合業務工作自學。

6、培訓內容：

1）計算機安全法律教育

①定期組織本單位工作人員認真學習《網絡安全制度》、《計算機信息網絡安全保護》等業務知識，不斷提高工作人員的理論水平。

②負責對企業的網絡用戶進行安全教育和培訓。

③定期的邀請上級有關部門和人員進行信息安全方面的培訓，提高操作員的防范能力。

2）計算機職業道德教育

①工作人員要嚴格遵守工作規程和工作制度。

②不得制造，發布虛假信息，向非業務人員提供有關數據資料。

網絡信息安全管理制度全文共10頁，當前為第8頁。③不得利用計算機信息系統的漏洞偷竊客戶資料，進行詐騙和轉移資金。

④不得制造和傳播計算機病毒。

3）計算機技術教育

①操作員必須在指定計算機或指定終端上進行操作。

②機房管理員，程序維護員，操作員必須實行崗位分離，不得串崗，越崗。

③不得越權運行程序，不得查閱無關參數。

④發現操作異常，應立即向機房管理員報告。

7、培訓方式：

①結合專業實際情況，指派有關人員參加學習。

②有計劃有針對性，指派人員到外地或外單位進修學習。

③舉辦專題講座或培訓班，聘請有關專家進行講課。

④所有上崗工作人員或換崗工作人員應經過培訓考核合格，方能上崗。

⑤自訂學習計劃，參加專業函授學習成績及時反饋有關部門，良好學業者給予獎勵。

8、公司網站必須接受并配合通信管理局和公安機關的安全監督、檢查和指導，如實向以上兩個部門提供有關安全保護的信息、資料和數據文件，協助公安機關查處通過國際互聯網的計算機信息網絡的違法犯罪行為。

六、有害信息發現和過濾技術手段

有害信息安全發現工作小組成員及職責

主要職責：

(1)承擔公司值守應急工作；

(2)收集、分析工作信息，及時上報重要信息；

(3)負責公司網絡與信息安全的監測預警和風險評估控制、隱患排查整改工作；

(4)負責網絡與信息安全突發事件新聞報道相關工作；

(5)組織制訂、修訂與公司職能相關的專項應急預案，指導各分公司制定、修訂網絡與信息安全突發事件相關的應急預案；

(6)負責組織協調網絡與信息安全突發事件應急演練；

(7)負責公司應對網絡與信息安全突發事件的宣傳教育與培訓。

我公司作為一家專業的電信增值服務商，在為用戶提供全面的健康信息時，對有害信息的過濾采用“系統智能過濾+人工過濾”方案，以保證信息的安全。

公司的信息過濾系統是一款專業的服務器非法信息過濾軟件，實時攔截、替換服務器上各個網站的非法信息，并記錄詳細有償信息過濾系統，具有高度的安全性和實用性。

我公司在使用信息過濾系統的同時，還采用人工審核的方式，以多種形式確保為用戶發送信息的安全性及健康性，促進我國增值電信業務市場的良性運作，也為主管部門的監督管理工作提供技術保障，積極推動移動互聯網信息行業的健康發展。

公司嚴格建立專人審核信息發布制度。公司各部門業務所有信息發布前，均需經過專人審核，網絡信息安全管理制度全文共10頁，當前為第9頁。確保信息的合法，安全。

信息審核主要負責人職責：

1、審核的廣度和深度：審核涉及的面較廣，要想真正起作用，不能只對信息系統的“皮毛”進行審計，否則就達不到真正保護系統安全的效力。

2、審核的環節：從信息系統安全保障體系的各個層次著手，一環套一環地進行審核。安全環節是很多系統平臺本身就提供的，如對建立的相關安全檔案進行審核，分析信息安全工作組織與管理情況，對業務處理用機操作系統或者數據庫等進行檢查，以分析系統的日志管理機制是否合理、有效。

3、關鍵字的設立、過濾與更新

公司保證采用的互聯網信息平臺具有信息內容的過濾功能。信息過濾包括對發布的信息內容、頁面內容進行有效過濾。關鍵字的過濾功能，具體包括關鍵字設定、修改、查詢功能，并提供相應的測試端口，并具有嚴格的權限管理功能。在發現的有害內容時按有關規定及時向有關部門匯