當前位置：高考升學網 > 規章制度 > 正文

公司信息安全管理制度包括哪些內容

更新：2023-09-17 06:54:29 高考升學網

1.安全管理制度要求

1.1總則：為了切實有效的保證公司信息安全，提高信息系統為公司生產經營的服務能力，特制定交互式信息安全管理制度，設定管理部門及專業管理人員對公司整體信息安全進行管理，以確保網絡與信息安全。

1.1.1建立文件化的安全管理制度，安全管理制度文件應包括：

a)安全崗位管理制度；

b)系統操作權限管理；

c)安全培訓制度；

d)用戶管理制度；

e)新服務、新功能安全評估；

公司信息安全管理制度包括哪些內容

f)用戶投訴舉報處理；

g)信息發布審核、合法資質查驗和公共信息巡查；

h)個人電子信息安全保護；

i)安全事件的監測、報告和應急處置制度；

j)現行法律、法規、規章、標準和行政審批文件。

1.1.2安全管理制度應經過管理層批準，并向所有員工宣貫

2.機構要求

2.1法律責任

2.1.1互聯網交互式服務提供者應是一個能夠承擔法律責任的組織或個人。

2.1.2互聯網交互式服務提供者從事的信息服務有行政許可的應取得相應許可。 3.人員安全管理

3.1安全崗位管理制度

建立安全崗位管理制度，明確主辦人、主要負責人、安全責任人的職責：崗位管理制度應包括保密管理。

3.2關鍵崗位人員

3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規、道德規范和對應的業務要求來執行，包括：1.個人身份核查：2.個人履歷的核查：

3.學歷、學位、專業資質證明：

4.從事關鍵崗位所必須的能力

3.2.2應與關鍵崗位人員簽訂保密協議。

3.3安全培訓

建立安全培訓制度，定期對所有工作人員進行信息安全培訓，提高全員的信息安全意識，包括：

1.上崗前的培訓；

2.安全制度及其修訂后的培訓；

3.法律、法規的發展保持同步的繼續培訓。

應嚴格規范人員離崗過程：

a)及時終止離崗員工的所有訪問權限；

b)關鍵崗位人員須承諾調離后的保密義務后方可離開；

c)配合公安機關工作的人員變動應通報公安機關。 3.4人員離崗

應嚴格規范人員離崗過程：

a)及時終止離崗員工的所有訪問權限；

b)關鍵崗位人員須承諾調離后的保密義務后方可離開；

c)配合公安機關工作的人員變動應通報公安機關。

4.訪問控制管理

4.1訪問管理制度

建立包括物理的和邏輯的系統訪問權限管理制度。

4.2權限分配

按以下原則根據人員職責分配不同的訪問權限：

a)角色分離，如訪問請求、訪問授權、訪問管理；

b )滿足工作需要的最小權限；

c)未經明確允許，則一律禁止。

4.3特殊權限限制和控制特殊訪問權限的分配和使用：

a)標識出每個系統或程序的特殊權限；

b)按照“按需使用”、“一事一議”的原則分配特殊權限；

c)記錄特殊權限的授權與使用過程；

d)特殊訪問權限的分配需要管理層的批準。

注：特殊權限是系統超級用戶、數據庫管理等系統管理權限。

4.4權限的檢查

定期對訪問權限進行檢查，對特殊訪問權限的授權情況應在更頻繁的時間間隔內進行檢查，如發現不恰當的權限設置，應及時予以調整。

5網絡與主機系統的安全

5.1 網絡與主機系統的安全

應維護使用的網絡與主機系統的安全，包括：

a)實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施；

b)實施7×24h網絡入侵行為的預防、檢測與響應措施；

c)適用時，對重要文件的完整性進行檢測，并具備文件完整性受到破壞后的恢復措施；

d)對系統的脆弱性進行評估，并采取適當的措施處理相關的風險。注：系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。

5.2備份5.2.1

應建立備份策略，有足夠的備份設施，確保必要的信息和軟件在災難或介質故障時可以恢復。

5.2.2 網絡基礎服務（登錄、消息發布等）應具備容災能力。

5.3安全審計

5.3.1應記錄用戶活動、異常情況、故障和安全事件的日志。

5.3.2審計日志內容應包括：

a)用戶注冊相關信息，包括：

1)用戶唯一標識；

2)用戶名稱及修改記錄；

3)身份信息，如姓名、證件類型、證件號碼等；

4 )注冊時間、IP地址及端口號；

5)電子郵箱地址和于機號碼；

6 )用戶備注信息；7 )用戶其他信息。

b )群組、頻道相關信息，包括：

1)創建時間、創建人、創建人IP地址及端口號；

2 )刪除時間、刪除人、刪除人IP地址及端口號；

3 )群組組織結構；

4 )群組成員列表。

c)用戶登錄信息，包括：

1)用戶唯一標識；2 )登錄時間；3 )退出時間；4 ) IP地址及端口號。

d )用戶信息發布日志，包括：1)用戶唯一標識；2 )信息標識；3)信息發布時間；4 ) IP地址及端口號；5 )信息標題或摘要，包括圖片摘要。

e)用戶行為，包括：1 )進出群組或頻道；2 )修改、刪除所發信息；3 )上傳、下載文件。

5.3.3應確保審計日志內容的可溯源性，即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡聊天等網絡消息服務提供者應能防范偽造、隱匿發送者真實標記的消息的措施；涉及地址轉換技術的服務，如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息；涉及短網址服務的,應審計原始URL與短UR L之間的映射關系。

5.3.4應保護審計日志，保證無法單獨中斷審計進程，防止刪除、修改或覆蓋審計日志。

5.3.5應能夠根據公安機關要求留存具備指定信息訪問日志的留存功能。

審計日志保存周期

a )應永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及歷史變更記錄；

b)系統維護日志信息保存12個月以上；

c)應留存用戶日志信息12個月以上；

d )對用戶發布的信息內容保存6個月以上；

e)已下線的系統的日志保存周期也應符合以上規定。

6應用安全

6.1用戶管理

6.1.1向用戶宣傳法律法規，應在用戶注冊時，與用戶簽訂服務協議，告知相關權利義務及需承擔的法律責任。

6.1.2建立用戶管理制度，包括：

a )用戶實名登記真實身份信息，并對用戶真實身份信息進行有效核驗，有校核驗方法可追溯到用戶登記的真實身份，如：1)身份證與姓名實名驗證服務：2)有效的銀行卡：3)合法、有效的數字證書：4)已確認真實身份的網絡服務的注冊用戶：5)經電信運營商接入實名認證的用戶。（如某網站采用已經實名認證的第三方賬號登陸，可認為該網站的用戶已進行有效核驗。）

b )應對用戶注冊的賬號、頭像和備注等信息進行審核，禁止使用違反法律法規和社會道德的內容：

c )建立用戶黑名單制度，對網站自行發現以及公安機關通報的多次、大量發送傳播違法有害信息的用戶納應入黑名單管理。

6.1.3當用戶利用互聯網從事的服務需要行政許可時，應查驗其合法資質，查驗可以通過以下方法進行：a )核對行政許可文件：b )通過行政許可主管部門的公開信息: c )通過行政許可主管部門的驗證電話、驗證平臺。

6.2違法有害信息防范和處置

6.2.1公司采取管理與技術措施，及時發現和停止違法有害信息發布。

6.2.2公司采用人工或自動化方式，對發布的信息逐條審核。

采取技術措施過濾違法有害信息，包括且不限于:a )基于關鍵詞的文字信息屏蔽過濾；b)基于樣本數據特征值的文件屏蔽過濾；c)基于URL的屏蔽過濾。

6.2.3應采取技術措施對違法有害信息的`來源實施控制，防止繼續傳播。

注：違法有害信息來源控制技術措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發布來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。

6.2.4公司建立724h信息巡查制度，及時發現并處置違法有害信息。

6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調差配合制度，包括：

a)對發現的違法有害信息，立即停止發布傳輸，保留相關證據（包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄），并向屬地公安機關報告