四:信息安全審核制度
?
1)???? 設(shè)立信息安全崗位,實行信息安全責任制
(1)設(shè)立專職信息安全管理領(lǐng)導(dǎo)崗位和3個信息安全管理崗位;
(2)信息安全崗位工作人員不得在其他單位兼任信息安全崗位����;
(3)信息安全管理崗位人員負責本單位制作、復(fù)制���、發(fā)布�、批量傳播的信息的初審���,信息安全管理領(lǐng)導(dǎo)崗位負責信息審核和批準�����,信息非經(jīng)審核批準不得予以發(fā)布����、傳播����。
(4)不得制作、復(fù)制���、發(fā)布����、傳播含有下列內(nèi)容的信息:
???? 反對憲法所確定的基本原則的;
???? 危害國家安全�����,泄露國家秘密����,顛覆國家政權(quán)����,破壞國家統(tǒng)一的;
???? 損害國家榮譽和利益的����;
???? 煽動民族仇恨、民族歧視�����,破壞民族團結(jié)的�����;
???? 破壞國家宗教政策,宣揚邪教和封建迷信的���;
???? 散布謠言���,擾亂社會秩序,破壞社會穩(wěn)定的���;
???? 散布淫穢�、色情����、賭博、暴力�、兇殺、恐怖或者教唆犯罪的���;
???? 侮辱或者誹謗他人���,侵害他人合法權(quán)益的;
???? 含有法律����、行政法規(guī)禁止的其他內(nèi)容的�����。
(5)信息安全部門統(tǒng)一規(guī)劃�、組織����、協(xié)調(diào)、監(jiān)督�����、管理和實施內(nèi)外部網(wǎng)絡(luò)安全���,具體職責如下:
???? 負責各種資源的安全監(jiān)測、安全運行和安全管理���;
???? 負責計算機病毒防御����、黑客入侵防范和不良信息過濾���;
???? 負責各種安全產(chǎn)品的正常運行����、管理和維護;
???? 普及信息安全常識���、建立相關(guān)安全制度�����、應(yīng)急處理重大安全事件����;
???? 負責安全規(guī)劃和安全項目的研究�����,全面提高網(wǎng)絡(luò)安全管理的技術(shù)和水平�����。
?
2)???? 建立并實行服務(wù)器日常維護及管理制度
(1)服務(wù)器監(jiān)控:管理員經(jīng)常性的監(jiān)控服務(wù)器的運行狀況����,如發(fā)現(xiàn)異常情況,及時處理�,并作詳細記錄�。
(2)重要數(shù)據(jù)備份:對于數(shù)據(jù)服務(wù)器中的用戶信息�、重要文件和數(shù)據(jù)進行及時備份。信息天天更新備份�����,每周一次完全備份�,備份信息應(yīng)保存一個月。
(3)定期系統(tǒng)升級:對于windows操作系統(tǒng)的服務(wù)器每周做一次升級�����,如遇到安全問題立即升級����。
?
3)???? 建立并實行機房值班安全制度
(1)確保線路暢通�。上班后與下班前檢查線路,尋找網(wǎng)絡(luò)隱患���。對在運行期間發(fā)生的主要事件記錄在案�。按時定期對設(shè)備進行檢修�。每月的最后一個工作日對所有設(shè)備進行測試,并填寫報告���。
(2)及時���、準確���、無誤地填寫運行記錄。出現(xiàn)事故盡快處理�,馬上填寫故障記錄。當自己不能解決或不能立即解決時�����,及時與安全主管聯(lián)系�,并保持與其他值班人員的聯(lián)系,在己方線路或設(shè)備出現(xiàn)故障時���,盡快查明原因���,及時處理,并填寫故障記錄�����。
(3)負擔整個網(wǎng)絡(luò)的性能管理任務(wù)�����。對網(wǎng)絡(luò)性能進行動態(tài)監(jiān)測,并要有詳細的記錄及統(tǒng)計分析���。必要時把網(wǎng)絡(luò)性能記錄以圖表形式打印出來�。
(4)注意網(wǎng)絡(luò)運行安全�,對網(wǎng)絡(luò)異常現(xiàn)象進行反應(yīng)�。利用路由器等安全系統(tǒng)控制網(wǎng)絡(luò)非法侵入。
(5)保證機房的供電及室內(nèi)空氣的溫度����、濕度正常。注意UPS的工作情況���。注意網(wǎng)絡(luò)設(shè)備安全����,加強防火����,防盜及防止他人破壞的工作���。注意臨走時門窗關(guān)好���,鎖緊����。禁止在機房內(nèi)吸煙�����。禁止無關(guān)人員進入機房�。值班人員不得隨意離開。
(6)完成網(wǎng)絡(luò)設(shè)備的安裝�,調(diào)試。并對安裝����,測試過程中的主要事件,做到有據(jù)可查�����。
(7)主動監(jiān)測網(wǎng)絡(luò)�����,隨時發(fā)現(xiàn)問題,及時查清故障點���,并主動與相關(guān)主管和部門聯(lián)系�。
?
4)???? 建立并實行防火墻等軟件更新制度
(1)防火墻軟件的使用與更新:
??? ?采用諾頓企業(yè)級防火墻�;
???? 及時更新防火墻
(2)堅持使用正確、安全的軟件及軟件操作流程�����,從細節(jié)保障系統(tǒng)安全�。
?
5)??? 建立應(yīng)急處理流程
(1)清點數(shù)字資產(chǎn),確定每項資產(chǎn)應(yīng)受多大程度的保護
(2)明確界定資源的合理使用�����,明確規(guī)定系統(tǒng)的使用規(guī)范���,比如誰可以擁有網(wǎng)絡(luò)的遠程訪問權(quán)���,在訪問之前須采取哪些安全措施。
(3)控制系統(tǒng)的訪問權(quán)限���,公司在允許一些人訪問系統(tǒng)的同時����,必須阻止另外一些人進入���。網(wǎng)絡(luò)防火墻�����、驗證和授權(quán)系統(tǒng)�����、加密技術(shù)都為了保證信息安全����。同時采用監(jiān)視工具和入侵探測工具來查詢公司網(wǎng)絡(luò)上的電腦活動���,及時發(fā)現(xiàn)可疑行為���。
(4)使用安全的軟件;
(5)找出問題根源����;
(6)提出解決方案并及時解決問題����;
(7)加入應(yīng)急知識庫�����,預(yù)防類似事件再次發(fā)生�。
?
6)??? 實行關(guān)鍵字的設(shè)立、過濾與更新規(guī)則
(1)通信平臺具有信息內(nèi)容的過濾功能�����。信息過濾包括對播放的相關(guān)短信���、頁面內(nèi)容進行有效過濾����。具體包括關(guān)鍵字設(shè)定���、修改����、查詢功能,提供相應(yīng)的測試端口�,并具有嚴格的權(quán)限管理功能���;對發(fā)現(xiàn)的有害短信及時向有關(guān)部門匯報����,并從技術(shù)上予以保證�,包括有害信息的內(nèi)容、發(fā)現(xiàn)時間����、發(fā)現(xiàn)來源;
(2)關(guān)鍵字的設(shè)立規(guī)則根據(jù)相關(guān)法律和互聯(lián)網(wǎng)規(guī)定制定
(3)過濾引擎的建立:過濾引擎設(shè)定關(guān)鍵字�、日志管理、報警的管理���。管理控制中心顯示詳細的有害信息(有害信息的發(fā)送方�、接受方���、內(nèi)容���、時間)����,并截斷該短消息���。
(4)對不良信息和事件的發(fā)生進行記錄����,并儲存�����,以備后需����。
?
7)??? 建立并實行信息儲存與查閱制度
(1)信息采集:信息資料的來源渠道必須正規(guī),不能侵犯他人版權(quán)�����,杜絕政治性和常識性的錯誤�;信息采集的內(nèi)容要廣泛、真實���、可靠����、健康,要有時效性�,有使用價值。
(2)信息審核:信息采集人員要杜絕信息資源格式不規(guī)范���、措辭不嚴謹?shù)葐栴}出現(xiàn),減少或避免初審失誤���;切實做到“三密”信息不失密���、不上網(wǎng);重大的信息���、來源不清的信息���、披露性信息要報經(jīng)信息審核主管終審后才能發(fā)布
(3)信息的發(fā)布更新:限時更新的信息要及時采集、整理���,經(jīng)審核后盡快發(fā)布�。要確保及時����、準確無誤�����;各自分工的任務(wù)�����,如不能按規(guī)定時限及時更新的���,將追究有關(guān)人員責任。
(4)信息的存儲:對采集的各種信息進行科學分類���,以文本格式存放在統(tǒng)一的文件中���;建立信息的匯總渠道,開辟專用空間存放歸集信息�,方便保存與查找;數(shù)據(jù)的備份參見“數(shù)據(jù)備份與冗余”
(5)信息查閱制度:根據(jù)信息的重要性和保密級別的不同���,實行區(qū)別對待����,對涉秘信息、重要數(shù)據(jù)的查詢需向相關(guān)主管人員申請并報總負責人審批���。
?
8)??? 投訴流程與方式�,處理結(jié)構(gòu)
?
?
客服人員填寫用戶投訴報告單�,并向投訴人告知受理員的姓名、電話 |
記錄:投訴事由�、聯(lián)系電話、投訴時間���、用戶地區(qū)等 |
客服經(jīng)理負責處理投訴相關(guān)事宜 |
受理客服人員向用戶反饋處理結(jié)果,滿意后將處理報告單存檔 |
當日報主管副總經(jīng)理����,做業(yè)績考察 |
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
五:信息安全責任落實
?
信息安全重在管理,而安全管理又貫穿在整個網(wǎng)絡(luò)的運行之中�。為此,首先抓好組織機構(gòu)建設(shè)�����。在原來的基礎(chǔ)上���,建立健全了公司計算機安全監(jiān)察領(lǐng)導(dǎo)小組�����,并建立了決策層�����、管理層�����、執(zhí)行層的三級計算機安全組織機構(gòu)�。從而將安全工作落實到各個部門,做到分工明細����,責任明確。從組織上����、技術(shù)上切實保障了計算機信息系統(tǒng)的安全運行。
?
在此基礎(chǔ)上����,公司制定了完善的安全管理方案,涵蓋安全風險管理、物理安全管理����、邏輯安全管理和日常安全管理等各方面。通過各級安全組織機構(gòu)�����,全面抓好制度的落實���,真正做到事事有人管�����,事事管理有規(guī)章����。
?
其中安全風險管理是通過對全網(wǎng)�����、特別是關(guān)鍵資產(chǎn)的周期性風險計算�,合理分配資源���,為安全控制的范圍�、類型和力度等提供決策參考;物理安全管理主要體現(xiàn)在針對物理基礎(chǔ)設(shè)施����、物理設(shè)備和物理訪問的控制中,主要通過機房物理安全來體現(xiàn);?邏輯安全管理則是從技術(shù)層面建立諸如用戶管理�、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機系統(tǒng)安全管理的制度����,進一步保障網(wǎng)絡(luò)的安全性;日常安全管理則偏重于日常安全審計以及安全事件響應(yīng)的內(nèi)容���。
?
定期對高層管理人員進行信息安全意識和技術(shù)培訓(xùn)�����,及時組織信息安全員參加信息安全知識技術(shù)講座�;并通過多種宣傳手段增強各級部門的安全意識����。為跟蹤最新的安全技術(shù)和了解更多的安全產(chǎn)品,
?
1)???? 信息安全專員負責本網(wǎng)絡(luò)的安全保護管理工作���,建立健全安全保護管理制度
2)???? 落實安全保護技術(shù)措施�,保障本網(wǎng)絡(luò)的運行安全和信息安全
3)???? 負責對本網(wǎng)絡(luò)用戶的安全教育和培訓(xùn)
4)???? 對委托發(fā)布信息的單位和個人進行登記,并對所提供的信息內(nèi)容按照信息發(fā)布審核制度進行審核
5)???? 社區(qū)�����、BBS等實現(xiàn)24小時值班����,并將信息安全責任落實到人,各分公司和各網(wǎng)站均有專人負責信息安全工作
6)???? 完善信息安全事件快速處理機制���,縮短信息安全事件處理時間和環(huán)節(jié)���,將不良影響降到最低
7)???? 明確信息安全工作重點,日常信息安全工作重點為容易發(fā)生信息安全事件的欄目���,如社區(qū)���、BBS����、留言簿和郵件等
8)???? 采用技術(shù)手段檢測和保障信息安全。通過采用如關(guān)鍵字過濾、防垃圾郵件等技術(shù)手段來杜絕有害信息
9)???? 通過高標準的控制來強化所有安全設(shè)施����、重要的服務(wù)器和通訊平臺
