信息安全保障措施.pdf

《信息安全保障措施.pdf》由会员分享，可在线阅读，更多相关《信息安全保障措施.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全保障措施网络与信息的安全不仅关系到公司正常业务的开展，还将影响到国家的安 全，社会的稳定。我公司将认真开展网络与信息安全工作，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件。对有毒有害的信息进行过滤，对用 户信息进行保密，确保网络与信息安全。我公司承诺在开展信息服务业务时,将依照信息产业部颁布的增值电信业务网络信息安全保障基本要求（YDN126-2005YDN126-2005 完善公司的网络与信息安全保障 措施,制定相应的信息安全管理制度,建立网络与信息安全应急流程,落实信息安 全责任.具体措施如下：8-18-1、信息安全管理人员的要求：8-1-18-1-1、信息安全联络员

2、制度：，我公司承诺，如我公司信息安全联络员人员有变动和调整，将在 2 2 个工作 日内以书面的方式向陕西省通信管理局进行汇报。8-1-28-1-2、信息安全管理组织机构：我公司将建立以副总经理徐国华为主的的，以公司技术部、研发部、市场部、客户部三个部门主管领导为成员的信息安全管理组织机构，全面负责公司网络与 信息安全工作.具体由信息安全联络员赵建强负责实施，信息系统安全员具体实 施和维护网络和信息安全。8-28-2、信息安全管理制度要求：8-2-18-2-1、信息安全管理职责我公司信息安全主要由我公司信息安全联络员赵建强督促技术部和研发部 实施，具体包含以下方面：A A、对整个所管范围的信息系

3、统安全问题负责。在安全方面网络安全员、系统管理员、网络管理员和操作员要服从信息系统安全员的领导和管理；B B、负责信息系统安全策略、计划和事件处理程序的决策；C C、负责安全建设和运营方案的决策；D D、负责安全事件处理的决策；E E、负责信息系统安全培训。8-2-28-2-2、信息安全管理考核制度：西安鹏博士数码科技有限公司网络信息安全及保密责任管理考核制度 第一章总则 第一条为西安鹏博士数码科技有限公司网络系统及网络的安全运行，特制定本制 度。第二条本制度所指计算机和设备为公司所有的办公计算机以及托管在 IDCIDC 机房 的计算机及设备。第三条本制度所指网络为公司局域网和公司业务服务器网

4、络。第二章计算机使用管理 第四条各指定专门计算机和服务器管理人员，负责计算机的日常管理和维护。第五条计算机管理人员应爱护机器，熟悉计算机性能，定期做好维护和保养工作，发现问题及时报告和排除。第六条计算机和服务器设备必须专机专用，并设置 6 6 位以上的密码。非计算机管 理人员和授权操作人员外任何人员不得以任何理由和任何形式使用计算机。第七条离开计算机时，必须切换到密码保护状态，非工作时间切断电源，做到人 走机停，确保计算机安全。第八条严禁在计算机和服务器上安装与公司日常办公无关的任何程序与软件，确 需安装的，报公司技术部门批准并对其进行病毒检测后进行安装；严禁随意删除 或更改程序文件；严禁擅自

5、更改计算机中的任何设置；严禁使用计算机进行与本 职工作无关的操作。第九条为公司网络系统安全工作，软盘、光盘、u u 盘、移动硬盘等外部存储设备 必须做好病毒的防、查、杀工作，确保安全后方可使用。第十条严禁任何人私自随意拆装、移动计算机设备，更换计算机硬件设备，特殊 需要，须报公司技术部门批准，由计算机管理人员进行操作。第十一条正确地使用和操作计算机和服务器。第三章：操作规范 第十二条服务器操作人员必须设置 6 6 位数以上的用户密码并严格保密、定期变 更。如遗忘或丢失用户密码，要及时与公司技术部联系并重新设置。第十三条业务操作人员必须执行上机操作规程，严格按系统岗位分工和系统授权 进行规范化操

6、作。任何人不得越权或以他人名义进行操作。第十四条在系统运行过程中，操作人员如要离开工作现场，必须在离开前退出系 统，防止他人越权操作或擅入系统。第十五条业务操作人员在业务操作过程中发现数据错误或问题，严禁擅自进行数 据修改或更改软件设置。应及时与公司技术部门联系，按规定的程序进行修改或 设置。第四章网络安全第十六条网络系统的安全管理包括保障计算机网络设备和配套设施的安全、数据安全和网络运行环境的安全。第十七条网络内各客户端用户和计算机管理人员必须熟练掌握局域网络使用的系统基本知识，熟悉其使用方法，确保正确、规范操作。第十八条计算机管理人员要定期和不定期的检查网络设备及配套设施是否正常 运行，网

7、络是否畅通，以保证业务的正常使用。如发现问题及时进行解决，不能 解决的与技术部门联系，确保网络随时畅通。第十九条严格遵守信息传递操作流程。各客户端计算机可根据工作需要设立共享硬盘或文件夹，以方便相关资料、信息的传递和使用，设立的共享硬盘或文件夹 使用完毕后应立即取消共享设置。第二十条网络用户密码及共享权限密码严禁外泄。未经同意严禁擅自拷贝其他工 作站的程序及内容；严禁擅自修改他人文件。第二条网络内各客户端计算机必须安装防病毒软件，发现病毒应立即采取杀毒措施，确实无法解决的，必须尽快与技术部门联系。第二十二条计算机操作人员严禁制造、复制病毒并在网上传播，严禁通过网络干 扰、攻击服务器和其它工作站

8、，不得破坏、窃取服务器和其它计算机的数据文件 资料，不得发送垃圾信息、散布谣言、发表反动言论等活动。第二十三条为防止数据被非法或越权窃取，以及遭受病毒入侵和黑客攻击，各网 络严格实行与其它任何网络绝对物理隔离。第二十四条严禁浏览和传递与业务无关的信息，节约网络资源。第五章责任追究第二十五条因管理人员或业务操作人员疏忽或操作失误等原因，给工作带来影 响，但经努力可以挽回的，对其进行批评教育；若操作人员违反操作规程，使工作或财产蒙受损失的，要追究当事人的行政和经济责任。第二十六条因管理人员或业务操作人员不负责任或管理不善，发生泄密、数据丢 失、资产损失等重大安全事故，将按照国家法律有关规定，追究相

9、关人员的法律 责任。8-2-38-2-3、有害信息发现处置机制：A A、有害信息的发现；公司信息安全责任小组 7*247*24 小时有信息安全员在线负 责有害信息的筛选，当发现有害信息出现的时候，第一时间联络公司网络信息安 全相关责任人，并同时上报公司信息安全联络员，同时采取必要的手段，防止有 害信息的进一步扩散和满意；B B、有害信息的处理；当信息安全人员查看或发现有害信息时，信息安全人员 再通知和上报公司网络安全责任人和信息安全联络员之后，将立即删除有害信 息，同时保存有关记录，并立即向通信管理局和公安机关报告。C、公司接受并配合通信管理局和公安机关的安全监督、检查和指导，如实向 以上两个

10、部门提供有关安全保护的信息、资料和数据文件，协助公安机关查处通 过国际互联网的计算机信息网络的违法犯罪行为。8-2-48-2-4、有害信息投诉受理处置机制：“有害信息发现处置机制”。8-2-58-2-5、重大信息安全事件应急处置和报告制度：A A、当发生网络与信息安全事件时，首先应区分事件性质为自然灾害事件或 人为破坏事件，根据两种情况分别采用不同处置流程。流程一：当事件为自然灾害事件时，应根据实际情况，在保障人身安全的前 提下，首先保障数据安全，然后保障设备安全。具体方法有：硬盘拔出与保存，设备断电与拆卸、搬迁等。流程二：当事件为人为或病毒破坏事件时，首先判断破坏来源与性质，然后 断开影响安

11、全的网络设备，断开与破坏来源的网络连接，跟踪并锁定破坏来源 IPIP 地址或其它用户信息，修复被破坏的信息，恢复信息系统。B B、事件报告当发生网络与信息安全事件时，事发部门要第一时间向公司信息安全联络员 进行报告。初次报告最迟不超过 2 2 小时，报告内容包括信息来源、影响范围、事件性质、事件趋势和拟采取措施等。8-2-68-2-6、信息安全管理政策和业务培训制度：A A、公司服务器安全制度1 1、公司服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网 络安全公司合作，做好安全策略,拒绝外来的恶意攻击，保障服务器正常运行。2 2、在服务器及工作站上均安装了正版的防病毒软件，对计算机病

12、毒、有害 电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。3 3、做好生产日志的留存。网站具有保存 6060 天以上的系统运行日志和用户使 用日志记录功能，内容包括 IPIP 地址及使用情况，主页维护者、邮箱使用者和对 应的 IPIP 地址情况等。4 4、对于信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻 击导致不能正常运行，保证备用系统能及时替换主系统提供服务。5 5、关闭服务器系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系 统漏洞,定期查杀病毒。6 6、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户 名及密码，并绑定 IPIP 以防他

13、人登入。7 7、服务器提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人 员权限。B B、信息安全保密管理制度1 1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁 主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的

14、安全。2 2、信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作 人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司短 信平台散布互联网信息管理办法等相关法律法规明令禁止的信息（即“九不 准”），一经发现，立即删除。3 3、遵守对短信平台服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。4 4、所有信息都及时做备份。按照国家有关规定，服务器将保存 6060 天内系统 运行日志和用户使用日志记录，短信服务系统将保存 5 5 个月以内的

15、系统及用户收 发短信记录。5 5、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。6 6、公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。8-38-3、信息安全技术手段要求：8-3-18-3-1、有害信息发现和过滤实施方案在网关处理的短信中，可能含有不良的信息，如果不加阻隔，可能会产生不 良的社会影响，所以在网关的设计中，就包含过滤的处理逻辑。具体实现是，设 计一张记录信息匹配项的过滤表，网关在初始化时读入，处理每一条短信业务

16、时，将短信内容和过滤项进行匹配，如果命中，则按规则将匹配的内容过滤或替换成 提示信息，然后将原始信息保留到过滤历史记录表中备案。8-3-28-3-2、用户日志 6060 日留存：保留用户 6060 天的上下行短信记录（MO MTMO MT和基本的用户信息表，其中用 户的上下行短信每天各自记录两张日志表备案；基本的用户信息表每天通过数据 库作业每天自动备份到服务器硬盘。同时每周备份完整的数据库信息到服务器硬 盘。8-3-38-3-3、网站备案动态管理：我公司暂不从事经营性和非经营性互联网信息服务，如后续需要增加经营性 互联网业务，一方面将重新提交材料向陕西省通信管理局申请，在获批可以开展 经营性

17、互联网信息服务时，或公司建非经营性互联网另外将按照工业和信息化部 印发互联网站备案管理工作方案，进行网站备案工作。同时我公司承诺：A A、在公司网站开通时在主页底部的中央位置标明其备案编号，并在备案编 号下方按要求链接信息产业部备案管理系统网址，供公众查询核对。B B、公司在网站开通时，按照信息产业部备案管理系统的要求，将备案电子 验证标识放置在其网站的指定目录下。C C、公司在在备案有效期内需要变更其备案登记表中填报的信息的，应 当提前三十日登陆信息产业部备案系统向原备案机关履行备案变更手续。D D、公司在备案有效期内需要终止提供服务的，应当在服务终止之日登陆信 息产业部备案系统向原备案机关履行备案注销手续。E E、公司保证所提供的信息内容（网站的互联网域名或 IPIP 地址）合法。