交互式服务安全检查制度.docx

安全检查制度2总则：2安全管理制度2文件管理控制2机构要求3法律责任3信息安全组织4人员安全管理6安全岗位管理6关键岗位人员7安全培训管理7人员离岗管理8访问控制管理8访问管理制度8权限分配9特权管理9权限检查10网络与操作安全10网络与主机系统的安全10备份11审计安全11应用安全12安全评估12用户管理13违法有害信息防范和处置14破坏性程序防范15个人电子信息保护15技术措施15个人信息泄露事件的处理15投诉16投诉制度16投诉渠道16分包商17基本要求17安全事件管理18安全事件管理制度18应急预案18突发公共事件处理19技术接口19安全检查制度为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。安全管理制度文件管理控制1.使用范围:适用公司所有内部文件和外部文件。2 .文件分为四个等级：一级文件：质量手册二级文件：公司资质文件三级文件：部门管理制度，技术文档，检验标准等。四级文件：公告，合同等。3 .文件管理：一级文件和二级文件管控权限归总经办，行政人事部负责存档。三四级文件由相关部门负责，管控选项归总经办。部门管理制度，通知，公告文件由行政人事部门负责。4 .文件编码：根据规定内容进行编码并且编码是唯一的如：2017年制定的APP充电手册，JSB-2017-APP-Vlo5 .文件的借阅:> 使用要在OA上填写文件申请表> 审批.。> 通过审批。> 去相关部门领用。6 .文件归档整理检查：> 公司每季度进行文件的整理、归档记录的检查> 如发现有异常现象，体惩罚到相关责任人。7 .惩罚的标准：> 一二级文件惩罚标准，当月绩效-io分，视情况承担相关责任。> 三四级文件惩罚标准，当月绩效-5分,进行部门内处罚。机构要求法律责任1 .使用范围：公司全体员工2 .法律责任支持：>法务部担任公司的法律服务支持>为公司提供相应的法律援助。3 .法律提供适用事项：>采购合同>销售合同设备租赁合同场地使用合同4.审核流程:在OA上提交流程给法务部进行审核。法务部进行审核。审核通过后才能与其进行合同签订。合同审核不合格的，需要重新与第三方公司协议后，再进行提交。5.惩罚标准： 如未进行合同审核流程的。 私自与第三方公司签订合同的。 公司将进行辞退处理。 如有违法，将移交公安机关。信息安全组织1 .信息安全组织架构2 .信息安全管理小组职责：信息安全组长负责公司的总体安全规划，工作正常进行。信息安全管理员协调组长进行工作，并带领安全负责人负责公司网络，系统，项目上线安全风险评估。信息安全专员配合公安机关工作，并将计算机，系统漏洞报告通知给全体员工。3 .信息安全工作开展:> 安全小组每月对公司平台和员工计算机系统进行安全漏洞扫描。> 发现线上出现BUG,或者安全漏。提交给开发团队> 开发团队接收到漏洞信息，和BUG进行修兔处理。> 修第完成之后。进行第二次扫描。> 每月进行安全漏洞的讨论事项。减少再次发生。4.处罚措施：> 因个人原因造成计算机网络瘫痪的，将交由行政部门视情节进行处罚。> 多次出现开发漏洞，多次相同的BUG,当月绩效论不及格处理。> 个人原因计算机中毒，并传播给员工的，造成不可逆的后果，公司将进行辞退。人员安全管理安全岗位管理1.使用范围：适用公司所有在职员工。2 .等级划分：> 一级岗位：安全主办人> 二级岗位：主要负责人> 三级级岗位：安全责任人3 .岗位安全管理：> 制定安全总体的规划> 网络安全应急策略> 记录系统安全事项> 信息安全分析报告4 .岗位安全职责> 并做好成员的行为观察。> 任务记录，> 督促成员有效的开展安全工作。> 组织制定并实施安全事故应急救援预案。关键岗位人员1 .人员信息审核：> 计算机专业。> 工作三年以上。具备专科以上学历。2 .专业考核：> 信息安全岗位人员上岗前，调查其工作背景，是否符合公司其职位。> 安全技术岗位工作人员进行其相关专业知识的考核，确保有岗位必须的能力。3 .签订协议：公司信息保密协议，> 安全管理协议> 员工离职协议。安全培训管理1 .员工培训总体规划：> 安全小组根据年度工作计划作出安排。> 不少于20个课时的安全教育培训。> 完成布置的学习安排，并将完成表交由行政部门。2,培训内容：> 公司计算机软件安装的限制。> 岗位知识培训。> 对不良网页浏览的限制。> 计算机安全使用规范。> 上网安全意思，识别含有病毒的网站。3.培训结果验收:> 利用公司电脑发布虚假等有害信息。> 制造和传播计算机病毒。> 人事部门每天不定时进行随机检查。> 访问无关网站，将在全公司进行通报处理。人员离岗管理> 员工在OA上申请离职流程提交。> 部门主管审批通过。> IT人员进行员工相关账户关闭.> 离职人员进行保密教育。> 离岗人员如发生泄露公司机密的，需承担相应的法律责任。惩罚措施：> 不遵守公司安全管理规范的> 对安全培训不重视的> 部门负责人需对其进行安全教育学习。> 故意制作、传播计算机病毒等破坏性程序的，> 违反法律规定，利用互联网侵犯用户的通信自由和通信秘密> 交由公安机关处理。访问控制管理访问管理制度使用范围:全体员工权限分配> 用户申请上网登录用户。> 部门责任人核实身份。> 用户提交到IT责任人。系统管理员和普通权限。1.访问控制> 控制从外部对网络的访问> 拒绝任何类型的未授权的外部访问> 使用防火墙2.访问记录管理访问监控>系统日志>日志保存特权管理为了适当地管理网络系统、操作系统和应用系统，负责人在各部门管理者协商的基础上，可以任命特权管理员> 并授权他们拥有在需要的时候更改系统配置的特权。> 在选择特权管理员时，IT负责人和各部门管理者必须仔细审查他们的能力和资质；> 特权管理员的数量必须处于最低限度。> 特权管理员的用户账户和密码管理> 特权管理员的用户账户和密码必须进行比一般用户更加严格的管理，详细的要求参见文件管理制定的规定。> 外部相关方访问组织信息资产时，IT责任人作为该外部相关方的管理者必须保证采取适当的访问控制。1 .使用步骤：>制定系统管理员和普通员工账户分配表>各部门员工通过OA申请相应权限。2 .管理员审核：> 选择特权管理员时，必须审查他们的能力和资质。> 特权管理员口令比一般用户更加严格。> 特权管理员数量处于最低限度。权限检查> 每月进行管理员账户审查。清理，关闭离职管理员账号。> 及时收回不需要管理的账号。3.处罚措施1 .密码设置不安全的，部门安全教育2 .管理员账户丢失的，当月绩效-20分3 .赋予特权的账户，记住、忘记、更改密码的当月绩效为C。4 .超越权限，或者私自变更权限的，情节严重者将进行辞退。网络与操作安全网络与主机系统的安全适用范围:全体员工为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行制定本制度。1 .员工电脑的安全防御。> IT部门每月进行员工电脑病毒扫描。> 记录使用异常的电脑。> 报告给信息中心。信息中心根据情况后，制定更安全的预防办法2 .网络安全防御使用硬件防火墙。屏蔽不需要的端口。更改常用端口号定期更换登录密码监控服务器网络情况。备份3 .备份类型完全备份：对备份的内容全体备份增量备份：仅备份相对于上一次备份后新增加和修改过的数据差异备份：仅备份相对于上一次完全备份之后新增加和修改过的数据。按需备份：仅备份应用系统需要的部分数据。4.备份管理每月进行所有数据库异地备份。备份哇嘎包括虚脱所有关键数据。包括操作系统。软件。备份数据设置管理标识。进行存档。审计安全5 .安全管理相关标准:> ISO> IEC27000> COSO> COBIT> ITIL> NISTSP8006 .行为分析:> 人工记录与分析> 利用程序记录行为和分析7 .安全审计类型：> 通过日志应用系统及数据库进行日志采集，将数据发送到信息安全小组，进行审计记录，进行数据备份，分析然后生成报告。> 开启上网行为管理器，对员工的上网行为监控，可达到安全漏洞，合法，非法的操作。> 机房服务器利用防火墙和主机IDS/IPS的安全审计功能。进行漏洞扫描。有效控制服务器安全。8 .审计日志内容：> 用户的注册信息，> 用户登录信息，IP> 用户发布内容9 .审计日志保存时间> 系统日志信息保存12个月。> 用户发布内容日志时间保存36个月。10 .处罚标准：> 员工电脑不当求使用电脑,导致中毒的对重要文件丢失的罚款500元> 机房管理员不按要求进行数据备份的，当月绩效扣10分。> 安全审计日志保存不按要求的，信息安全小组将在年终报告点名提出并罚款1000兀O应用安全安全评估适用范围:技术部1.1. 功能上线评估制度> 产品书面申请描述新功能的具体作用及展现模块。> 新功能说明书需提交部门负责人签字确认。> 估算新功能的开发成本，确定开发环节。> 根据会议最终决定新功能是否开发，并制定开发计划表，进行开发进度跟踪。用户管理1.用户申请，注销，权限申请。> 申请人提交账户申请流程。> 部门领导确认进行审批，> 审批通过后。> 系统管理人员创建账号。做好账号分级权限设置。2 .账户的管理> 系统管理员记录用户申请，停用，变更情况。> 定期修改登录密码，不得将账户，密码泄露给他人。> 用户账户出现不明登录地点时，应及时报告，和修改密码。> 登记账户使用人，3 .用户审核：> 注册用户需要登记身份证信息，上传有限证件> 用户的头像，备注进行审核> 用户资质验证。4 .违法处理措施：> 对用户设置黑名单机制，> 用户举报> 网站巡检内容审核发现> 发送大量违法信息。> 该用户自动加入黑名单。> 禁止该账户使用。违法有害信息防范和处置1 .有害信息的防范:> 对委托发布信息的单位和个人进行登记并存档> 检查，杜绝隐含不法言论内容出现。> 使用的电脑没有病毒，上传完毕信息后及时关闭后台。> 对所有用户输入而且有可能显示给其他用户的信息进行内容检测和严格过滤。> 对于用户涉及财产，风险投资相关的操作，必须开具相关的资产证明2 .有害信息的监控：> 用户的大额交易必须由后台提供审核。> 对所有上网行为进行监控，增加摄像头，监控用户的行为。> 设立及时报警机制，一旦发生违法行为，保留现场证据，立马报警> 采用人工或自动化方式，对发布的信息逐条审核。> 技术措施过滤违法有害