互联网信息服务业务网络与信息安全保障措施

互联网信息服务业务网络与信息安 全保障措施 信息安全负责 人 联系电话（手 机） 网 络 与 信 息 安 全 保 障 措 施 网 络 与 信 息 安 全 管 理 组 织 机 构 设 置 及 工 作 职 责 建立以单位领导为首的信息安全管理机构，成员包括信息 管理员、技术员。设有信息安全管理保障工作组，对信息 安全提供预警、救援、恢复、监控和测评，负责网络与信 息安全保障体系建设的规划、协调和监督，并对相关重大 事项做出决定。 建立健全的单位信息网络安全小组。安全小组由单位领导 负责，网络技术、安全保卫、主页主管部门参加，并确定 一名安全负责人作为网站突发事件处理的联系人 。各单 位及时检查网络、网站、网络节点安全保障措施。检查发 现在网管、实时监测、防火墙、防病毒等方面存在问题， 网站管理部门将督促整改，探索和建立互联网信息安全管 理长效工作机制。 信息安全管理工作组负责公司的信息安全工作，并对执行 情况进行检查监督。各部门根据各自的职能分工负责与部 门信息安全相关的具体工作。 遵守对网站服务信息监视，保存、清除和备份的制度。开 展对网络有害信息的清理整治工作，对违法犯罪案件，报 告并协助公安机关查处。制定并遵守安全教育和培训制度。 加大宣传教育力度，增强用户网络安全意识，自觉遵守互 联网管理有关法律、法规，不泄密、不制作和传播有害信 息，不链接有害信息或网页。 公司其他部门员工在使用计算机过程中需寻求技术帮助时， 技术部人员一律不得拒绝。 网络管理员必须定期了解、检查网络运行情况并作如实记 录，发现问题及时分析解决，对各类网络记录不得擅自删 除。 我公司建立了健全的信息安全保密管理制度，实现信息安 全保密责任制，切实负起确保网络与信息安全保密的责任。 严格按照“谁主管、谁负责” 、 “谁主办、谁负责”的原则， 落实责任制，明确责任人和职责，细化工作措施和流程， 建立完善管理制度和实施办法，确保使用网络和提供信息 服务的安全。 各岗位员工应严格遵守保密制度，对各自的系统口令保密， 禁止越权操作；为保障公司数据、信息、资料的准确、安 全、可靠，应对重要的信息处理系统加设系统口令，防止 泄露机密信息。 网络管理员应当依据公司制定的计算机安全保密管理的具 体措施对上传信息严格审查，严禁将涉及国家秘密、公司 秘密的信息在网络上传输。 网络管理员负有安全管理和规范操作的义务。若因违反操 作而引发的事故, 公司将按有关规定追究其责任。 明确 各级信息安全保障管理人员的工作职责，严格把握各个环 节的信息安全。 公司为确保网站安全运行，对网站的更新及资料上传下载 实行专人负责。如有违反本规定者，公司将视其情节轻重 并结合有关规定给予相应的处理。 公司制定相应的安全审核领导小组，负责公司的信息安全 工作，并对执行情况进行检查监督。各部门根据各自的职 能分工负责与部门信息安全相关的具体工作。 制定完善的安全审核流程，从每个环节上严格把关，一旦 发现问题，迅速查清是哪个部门出现的漏洞和失误，并予 以立刻解决，并且对相应的负责人进行严格教育，必要时 给予相应的处分。 信息安全管理领导、执行机构的职责、专职安全人员职责 流程说明： 1、信息安全管理工作，由总经理负责, 产品总监与技术 总监具体负责。各执行机构和部门专门设立信息安全员， 具体信息安全事务可直接向产品总监汇报，信息安全员可 以由部门负责人兼任。 2、服务内容策划由产品策划部完成，策划方案由信息安 全审核小组审核后由产品策划部的制作部门制作。 3、制作部门将任务分配给美工和编辑人员，制作完成后 的信息服务内容经产品总监签字确认并由总经理签字确认， 交给技术部上传 网 络 与 信 息 安 全 管 理 人 员 配 备 情 况 及 相 应 资 质 公司成立安全管理小组，设定相应的信息安全负责人，信 息安全负责人必须定期组织各项安全管理教育及技术培训， 巩固技术安全知识；必须 24 小时开机，保证联络畅通， 有网络安全信息及时通知。信息安全负责人在本公司主管 领导的直接领导下。 负有以下职责和义务： 负责做好安全工作，及时进行信息反馈和修改； 个人信息 网络高级管理员李向前自 2010 年接触互联网以来一直从 事网络安全管理工作，拥有丰富的网络管理经验和应对突 发事件的能力，并先后取得红帽认证系统管理员 （RHCSA）证书和红帽认证工程师（RHCE）证书。 工作经验 1. 毕业便进入百度进行实习后转为正式员工，负责维护 公司计算机硬件，搭建与配备计算机网络，根据需求设计 网络方案，排除解决网络故障并负责公司服务器的日常运 行及检查保障网络顺利、安全运行。凭借踏实、负责、好 学的态度逐渐使自己在技术上越来越卓越。 2. 2015 加入我公司，全面负责公司网络信息安全及服务 器运行。保障网络安全运行。 信 息 建立和健全法人代表、总经理或行政负责人信息安全责任 制，严格对信息发布的审查和监督。加强内部管理制度， 安 全 管 理 责 任 制 做到信息安全责任到人。 （1）信息安全责任领导及员工定期参加上级部门举办的 各项安全管理教育及技术培训，巩固技术安全知识。当责 任人有变动时，我公司保证在 2 天内以书面形式上报通信 管理局。 流程如下： 进入工信部备案网站 申请责任人 变更申请；然后整理关于责任人变更相关信息，包括责任 人姓名、手机、办公电话、电子邮箱、通信地址等信息， 以正式的书面形式上报给通信管理局，申请相关责任人的 变更。 （2）由指定检测员负责网站内的信息内容的日常检测工 作,做好检测纪录。单位与检测员签定检测责任书。 （3）检测员做好有关密码和权限的保密工作，未经允许 不得随意更改密码或向第三方泄露。 （4）为保密需要，定期或不定期地更换不同保密方法或 密码口令。 （5）经申报批准，才能查询、打印有关资料。 （6）电脑操作员对保密信息严加看管，不得遗失、私自 传播。 有 害 凡本公司工作人员，均有责任和义务监督、发现、报告、 处理互联网信息系统的有害信息。发现有害信息时的处置 信 息 发 现 受 理 处 置 机 制 程序如下： 及时取证：包括信息全部内容及有关来源网址的信息。 及时报告：应在发现后 24 小时内向信息安全员报告并保 护相关资料，条件许可的应停机等候处理。 消除有害信息：经信息安全员许可，发现单位和个人，在 自己技术许可条件下，有权及时清除所发现的有害信息， 以免进一步传播。 相关技术人员应在接到通知后立即赶 到现场，作好必要记录，清理非法信息，妥善保存有关记 录及日志或审计记录，强化安全防范措施，并将网站网页 重新投入使用。情况紧急的，应先及时采取删除等处理措 施，再按程序报告。 遵守对网站服务信息监视，保存、 清除和备份制度。继续开展对网络有害信息的清理整治工 作。对违反本办法的，予以通报批评；情节严 重的，追究责任人的责任；对违反有关法律、法规的，有 关部门依法追究法律责任。 有 害 信 息 投 诉 受 按照 “早发现、早报告、早处置”的原则，加强对网络 与信息安全突发公共事件和可能引发网络与信息安全突发 公共事件的有关信息的收集、分析判断和持续监测。工作 人员要密切监测网络状况，一旦发现异常应立即通知相关 部门并及时向单位领导和应急领导小组汇报。加强内容关 键字过滤，对非法关键字或其他引起信息安全问题的关键 字进行过滤，尤其是政治敏感词汇，防止他人利用非法字 理 处 置 机 制 符的谐音或者变音达到宣传非法事件的目的，确保流向各 公众通信网络公司网络信息源的安全和健康。 （一）投诉受理 1、受理投诉举报问题和案件，应本着从速从快的原则， 需立案调查的，及时按案件审批程序办理。对不属我公司 责职范围的，要耐心做好解释工作，并告知投诉举报人向 有处理权的机关投诉或举报。 2、接待投诉举报要态度和蔼，耐心听取陈诉，属受理范 围的案件，要及时受理，不得推诿。 3、受理举报工作人员必须为举报人保密，不得将举报人 或举报材料等情况透露或转送给被举报单位和被举报人。 4、受理投诉举报实行“首问责任制” ，即谁接到投诉举报， 谁负责做好接待（登记）和情况记录，并及时向有关领导 汇报。 （二）处置机制 1、对投诉失实的，被投诉单位负责人应向投诉者进行解 释，澄清事实。 投诉者和被投诉者对投诉处理结论不服 的，可向作出处理结论部门的上一级信息安全机构申请复 查。 2、对因特殊情况未能在规定的时限内办结有关事项而被 投诉的，由被投诉单位派员上门向投诉者进行说明情况， 进行解释或赔礼道歉。 3、对网站所传输的信息内容难以辨别的，暂停传输，并 经相关主管部门审核同意后再发布。我公司承诺自觉接受 电信管理机构和有关管理部门的监督检查，积极配合相关 管理部门的管理工作 重 大 信 息 安 全 事 件 应 急 处 置 和 报 告 制 度 本公司采用相应的技术手段，对计算机网络与信息安全进 行实时检测与监控，发现问题应当及时向网络与信息安全 管理部门报告并采取处理措施。采用先进的防火墻、功能 强大的入侵检测系统、防病毒系统对网络及系统安全方面 加以保护。 按照事件的严重情况分为四个等级：特别重大事件(I 级)、 重大事件(级)、较大事件(III 级)和一般事件(级)。 （1）应急事件报告 出现公司内所管辖的网络和信息安全事件时，一般事件在 公司内报警并作相关处理；重大事件和影响超出本公司管 辖范围时，向上级管理部门紧急报警。 一般安全事件，向入侵者所在的网络管理员投诉；遇到重 大信息安全事件时 (如造成重大经济损失、涉及破坏国家 信息安全的反动政治言论)，及时消除、保留证据，立即 向网络和信息安全事件应急小组报告。网络和信息安全事 件应急小组接到报告后，立即对发生的事件进行调查核实、 保存相关证据，确定事件等级，上报相关材料或提出启动 预案申请。整个事件过程及处理事故阶段必须落实专人负 责，认真调查分析事件发生的原因、责任，并作出客观的 评析，如实向有关部门作出汇报。 （2）应急处置 网络环境安全事件，包括火灾、盗窃、破坏、供电等；网 络运行相关事件，包括线路中断、路由故障、流量异常、 域名系统故障等。发生信息安全事件时紧急通知我公司信 息主管负责人，及时消除非法信息，恢复系统。无法迅速 消除或恢复系统、影响较大时实施紧急关闭，并及时上报。 发生网络与信息安全突发事件的单位应当在事件发生后， 首先以口头方式立即向信息化应急领导小组报告，信息化 应急领导小组接到报告后，应当立即向网络与信息安全应 急预案小组办公室报告。 （3）保障措施 高度重视网络与信息安全事件应急预案工作。充分认识到 网络与信息安全事件应急预案工作的重要性，落实工作责 任，加强安全应急的宣传教育和技术培训，确保此项工作 落到实处。 建立健全指挥调度机制和信息安全通报制度，进一步完善 信息安全应急协调机制。 建立应急处理技术平台，进一步提高安全事件的发现和分 析能力，从技术上逐步实现发现、预警、处置、通报等多 个环节和不同的网络、系统、部门之间应急处理的联动机 制。 各部门要经常性地开展信息安全方面的自检自查，审核领 导小组将积极做好指导、协调、服务并不定期地进行抽查。 审核领导小组将对不重视信息系统安全，疏于管理严重失 职而造成重大信息安全事故的有关单位及责任人特别是单 位领导进行严肃追究。 凡发生重大信息安全事件，责任部门应及时派人到现场了 解情况，准确掌握动态，并在 2 小时内向信息安全小组报 送相关信息，并续报处置善后情况。若在规定时间内无法 报送文字材料，应通过电话口头汇报事件经过，再报送文 字资料。 遇到重大信息安全事件，整个事件过程及处理事故阶段必 须落实专人负责，认真调查分析事件发生的原因、责任， 并作出客观的评析，如实向有关部门作出汇报。 上报重大信息安全事件必须认真核实信息发生的时间、地 点、人员、原因、处置方案、后果等相关要素，必须由分 管领导签字把关，特别重要的还须由主要领导审签。 信 息 安 1、建立以单位领导为首的信息安全管理机构，成员包括 信息管理员、技术员，信息安全责任领导及员工定期参加 上级部门举办的各项安全管理教育及技术培训，巩固技术 全 管 理 政 策 和 业 务 培 训 制 度 安全知识。 2、公司定期对相关人员进行网络信息安全培训并进行考 核，使员工能够充分认识到网络安全的重要性，严格遵守 响应规章制度。做到坚持不懈，不放松警惕，将安全管理 工作长期进行下去，并且不断的加以完善。 3、遵守安全教育和培训制度。加大宣传教育力度，增强 用户网络安全意识，自觉遵守互联网有关法律、法规，遵 守自律公约 ，不泄密、不制作和传播有害信息，不链 接有害信息或网页。 4、遵守对网站服务信息监视，保存、清除和备份制度。 5、严格遵守网站用户帐号使用登记和操作权限管理制度。 6、继续开展对网络有害信息的清理整治工作。 7、对违法犯罪案件，报告并协助公安机关查处。 8、遇到安全问题时，及时汇报上级领导，采取措施及时 解决。 业务培训制度 1、培训目标：贯彻国家关于计算机网络和信息安全的有 关规定，加强计算机网络的安全管理，树立网络用户的安 全和保密意识，提升技术人员在计算机网络方面的专业知 识与实战技能；提升员工的网络与信息安全知识水平。 2、培训内容： （1）对信息源接入单位进行安全教育和培训，使他们自 觉遵守和维护计算机信息网络国际互联网安全保护管理 办法 ，杜绝发布违犯计算机信息网络国际互联网安全 保护管理办法的信息内容。 （2）定期组织管理员认真学习计算机信息网络国际互 联网安全保护管理办法 、 网络安全管理制度及信息 审核管理制度 ，提高工作人员的维护网络安全的警惕性 和自觉性。 （3）负责对本网络用户进行安全教育和培训，使用户自 觉遵守和维护计算机信息网络国际互联网安全保护管理 办法 ，使员工具备基本的网络安全知识。 （4）不定期地邀请公安机关有关人员进行信息安全方面 的培训，加强对有害信息，特别是影射性有害信息的识别 能力，提高防犯能力。 3、培训方式 （1）实行季度考核制度，对考核不合格的的员工采取相 应从处理措施。 （2）企业内部定期组织各种信息安全知识培训，加强员 工安全意识。 （3）必要时不定期邀请公安机关有关人员来公司对员工 进行培训。 网 络 1、提高认识，建立健全信息系统安全保障体系要充分认 识到加强信息系统安全工作的必要性和重要意义，正确处 安 全 管 理 责 任 制 度 理发展与安全的关系，一手抓信息化建设，一手抓网络信 息安全，按照统一标准建立起完善的信息系统安全保障体 系。 2、加强领导，落实信息安全责任制 各部门要进一步增强信息安全意识，严格落实信息安全 责任制，由“一把手”总经理及部门主管领导全面负责本 单位的信息安全工作，建立信息网络安全管理机构，设立 专职管理人员，切实扭转和解决信息安全责任落实不到位 的状况。各中心要积极做好信息安全工作的组织领导和指 导监督工作。从信息安全责任制、安全风险评估、日常安 全管理制度、定期教育培训、系统和数据备份制度、系统 定期检测和升级、应急处理预案及其演练、安全事件报告、 安全自查和安全测评等方面加强信息安全工作，确保重要 信息系统的安全稳定运行。 3、加强维护、建立信息安全应急预案 各部门要高度重视信息安全工作，建立并细化信息安全 应急预案，对潜在的突发事件和重大操作失误，事先要有 预防措施、应急处置程序和恢复控制办法，保证关键业务 和重大经营活动的连续性；明确各责任区域责任人及其工 作职责；定期进行应急预案演练，检验其操作性和效果。 公司将组织在一定范围内逐步开展信息系统安全测评工作 网 1、设有信息安全保障工作组，对信息安全提供预警、救 络 安 全 防 护 制 度 援、恢复、监控和测评，负责网络与信息安全保障体系建 设的规划、协调和监督，并对相关重大事项做出决定。 2、由专门人员负责计算机网络与信息安全的管理工作。 参与制定公司及本部门信息安全规章制度，检查内部安全 管理工作情况，进行内部安全教育，向公司及相关单位汇 报本部门网络信息安全管理工作情况等。专门人员必须认 真执行信息发布审核管理工作，杜绝违犯计算机信息网 络国际联网安全保护管理办法的情形出现。 3、本公司加强对本单位计算机信息系统日常维护与使用 的管理，建立健全的各项安全和保密制度。 4、本公司采用相应的技术手段，对计算机网络与信息安 全进行实时检测与监控，发现问题应当及时向网络与信息 安全管理部门报告并采取处理措施。 5、本公司使用的计算机必须安装具有实时监控功能的防 病毒软件并及时升级。 6、本公司计算机信息系统不使用 盗版软件。 7、本公司上网信息必须履行相关的审批手续，责任到人； 在未取得相应的加密措施之前，不得利用电子邮件传递涉 及秘密的信息 网 络 安 一、应急处置 网络环境安全事件，包括火灾、盗窃、破坏、供电等；网 络运行相关事件，包括线路中断、路由故障、流量异常、 全 事 件 应 急 处 置 和 报 告 制 度 域名系统故障等。发生信息安全事件时紧急通知我公司信 息主管负责人，及时消除非法信息，恢复系统。无法迅速 消除或恢复系统、影响较大时实施紧急关闭，并及时上报。 二、应急事件报告制度 出现公司内所管辖的网络和信息安全事件时，一般事件在 公司内报警并作相关处理；重大事件和影响超出本公司管 辖范围时，向上级管理部门紧急报警。 度 一般安全事件，向入侵者所在的网络管理员投诉；遇 到重大信息安全事件时 (如造成重大经济损失、涉及破坏 国家信息安全的反动政治言论)，及时消除、保留证据， 立即向网络和信息安全事件应急小组报告。网络和信息安 全事件应急小组接到报告后，立即对发生的事件进行调查 核实、保存相关证据，确定事件等级，上报相关材料或提 出启动预案申请。整个事件过程及处理事故阶段必须落实 专人负责，认真调查分析事件发生的原因、责任，并作出 客观的评析，如实向有关部门作出汇报。 有 害 信 息 发 系统对处理过后的内容进行自动过滤，它能够有效识别和 过滤各种非法文本、图像、脚本等信息。根据既定的语义 范式和过滤词表进行自动对比，在其中发现有害信息。采 用分词技术、文本内容分类关键字识别、变形关键识别、 锚文本分析、有害代码特征识别等技术。工作人员对自动 现 和 过 滤 技 术 过滤后的结果进行人工校验，人工校验后方可进行数据发 布处理。 日 志 留 存 所 用 的 技 术 建立多重备份制度，对重要资料除在电脑贮存外，还拷贝 到光盘及相关移动存储设备上，并由专人负责进行保管， 以防遭病毒破坏而遗失。 公司内部留有备份服务器，以 防 IDC 服务器出现无法修理的故障。为保证系统的数据安 全，在客户的防伪数据这一层，使两台数据库服务器热备 运行，共享磁盘阵列系