四:信息安全審核制度
?
1)???? 設(shè)立信息安全崗位�����,實(shí)行信息安全責(zé)任制
(1)設(shè)立專(zhuān)職信息安全管理領(lǐng)導(dǎo)崗位和3個(gè)信息安全管理崗位�;
(2)信息安全崗位工作人員不得在其他單位兼任信息安全崗位�;
(3)信息安全管理崗位人員負(fù)責(zé)本單位制作��、復(fù)制、發(fā)布�、批量傳播的信息的初審,信息安全管理領(lǐng)導(dǎo)崗位負(fù)責(zé)信息審核和批準(zhǔn)���,信息非經(jīng)審核批準(zhǔn)不得予以發(fā)布��、傳播����。
(4)不得制作����、復(fù)制����、發(fā)布、傳播含有下列內(nèi)容的信息:
???? 反對(duì)憲法所確定的基本原則的�����;
???? 危害國(guó)家安全���,泄露國(guó)家秘密���,顛覆國(guó)家政權(quán)����,破壞國(guó)家統(tǒng)一的�;
???? 損害國(guó)家榮譽(yù)和利益的;
???? 煽動(dòng)民族仇恨����、民族歧視,破壞民族團(tuán)結(jié)的�;
???? 破壞國(guó)家宗教政策,宣揚(yáng)邪教和封建迷信的����;
???? 散布謠言,擾亂社會(huì)秩序��,破壞社會(huì)穩(wěn)定的���;
???? 散布淫穢�、色情�、賭博、暴力、兇殺��、恐怖或者教唆犯罪的����;
???? 侮辱或者誹謗他人,侵害他人合法權(quán)益的�����;
???? 含有法律��、行政法規(guī)禁止的其他內(nèi)容的���。
(5)信息安全部門(mén)統(tǒng)一規(guī)劃��、組織、協(xié)調(diào)�、監(jiān)督、管理和實(shí)施內(nèi)外部網(wǎng)絡(luò)安全�,具體職責(zé)如下:
???? 負(fù)責(zé)各種資源的安全監(jiān)測(cè)、安全運(yùn)行和安全管理�;
???? 負(fù)責(zé)計(jì)算機(jī)病毒防御、黑客入侵防范和不良信息過(guò)濾���;
???? 負(fù)責(zé)各種安全產(chǎn)品的正常運(yùn)行��、管理和維護(hù)�;
???? 普及信息安全常識(shí)、建立相關(guān)安全制度��、應(yīng)急處理重大安全事件�;
???? 負(fù)責(zé)安全規(guī)劃和安全項(xiàng)目的研究,全面提高網(wǎng)絡(luò)安全管理的技術(shù)和水平��。
?
2)???? 建立并實(shí)行服務(wù)器日常維護(hù)及管理制度
(1)服務(wù)器監(jiān)控:管理員經(jīng)常性的監(jiān)控服務(wù)器的運(yùn)行狀況�����,如發(fā)現(xiàn)異常情況�����,及時(shí)處理���,并作詳細(xì)記錄���。
(2)重要數(shù)據(jù)備份:對(duì)于數(shù)據(jù)服務(wù)器中的用戶信息、重要文件和數(shù)據(jù)進(jìn)行及時(shí)備份���。信息天天更新備份���,每周一次完全備份���,備份信息應(yīng)保存一個(gè)月。
(3)定期系統(tǒng)升級(jí):對(duì)于windows操作系統(tǒng)的服務(wù)器每周做一次升級(jí)���,如遇到安全問(wèn)題立即升級(jí)��。
?
3)???? 建立并實(shí)行機(jī)房值班安全制度
(1)確保線路暢通����。上班后與下班前檢查線路�,尋找網(wǎng)絡(luò)隱患。對(duì)在運(yùn)行期間發(fā)生的主要事件記錄在案��。按時(shí)定期對(duì)設(shè)備進(jìn)行檢修�。每月的最后一個(gè)工作日對(duì)所有設(shè)備進(jìn)行測(cè)試,并填寫(xiě)報(bào)告���。
(2)及時(shí)、準(zhǔn)確����、無(wú)誤地填寫(xiě)運(yùn)行記錄�����。出現(xiàn)事故盡快處理���,馬上填寫(xiě)故障記錄。當(dāng)自己不能解決或不能立即解決時(shí)���,及時(shí)與安全主管聯(lián)系��,并保持與其他值班人員的聯(lián)系��,在己方線路或設(shè)備出現(xiàn)故障時(shí)����,盡快查明原因,及時(shí)處理����,并填寫(xiě)故障記錄。
(3)負(fù)擔(dān)整個(gè)網(wǎng)絡(luò)的性能管理任務(wù)�。對(duì)網(wǎng)絡(luò)性能進(jìn)行動(dòng)態(tài)監(jiān)測(cè),并要有詳細(xì)的記錄及統(tǒng)計(jì)分析�。必要時(shí)把網(wǎng)絡(luò)性能記錄以圖表形式打印出來(lái)。
(4)注意網(wǎng)絡(luò)運(yùn)行安全���,對(duì)網(wǎng)絡(luò)異?,F(xiàn)象進(jìn)行反應(yīng)��。利用路由器等安全系統(tǒng)控制網(wǎng)絡(luò)非法侵入���。
(5)保證機(jī)房的供電及室內(nèi)空氣的溫度�、濕度正常���。注意UPS的工作情況��。注意網(wǎng)絡(luò)設(shè)備安全����,加強(qiáng)防火���,防盜及防止他人破壞的工作��。注意臨走時(shí)門(mén)窗關(guān)好����,鎖緊����。禁止在機(jī)房?jī)?nèi)吸煙。禁止無(wú)關(guān)人員進(jìn)入機(jī)房�。值班人員不得隨意離開(kāi)。
(6)完成網(wǎng)絡(luò)設(shè)備的安裝�,調(diào)試。并對(duì)安裝����,測(cè)試過(guò)程中的主要事件,做到有據(jù)可查�。
(7)主動(dòng)監(jiān)測(cè)網(wǎng)絡(luò),隨時(shí)發(fā)現(xiàn)問(wèn)題�,及時(shí)查清故障點(diǎn),并主動(dòng)與相關(guān)主管和部門(mén)聯(lián)系����。
?
4)???? 建立并實(shí)行防火墻等軟件更新制度
(1)防火墻軟件的使用與更新:
??? ?采用諾頓企業(yè)級(jí)防火墻�����;
???? 及時(shí)更新防火墻
(2)堅(jiān)持使用正確�����、安全的軟件及軟件操作流程�,從細(xì)節(jié)保障系統(tǒng)安全�。
?
5)??? 建立應(yīng)急處理流程
(1)清點(diǎn)數(shù)字資產(chǎn),確定每項(xiàng)資產(chǎn)應(yīng)受多大程度的保護(hù)
(2)明確界定資源的合理使用�����,明確規(guī)定系統(tǒng)的使用規(guī)范��,比如誰(shuí)可以擁有網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)�,在訪問(wèn)之前須采取哪些安全措施。
(3)控制系統(tǒng)的訪問(wèn)權(quán)限�,公司在允許一些人訪問(wèn)系統(tǒng)的同時(shí),必須阻止另外一些人進(jìn)入����。網(wǎng)絡(luò)防火墻、驗(yàn)證和授權(quán)系統(tǒng)�、加密技術(shù)都為了保證信息安全���。同時(shí)采用監(jiān)視工具和入侵探測(cè)工具來(lái)查詢(xún)公司網(wǎng)絡(luò)上的電腦活動(dòng),及時(shí)發(fā)現(xiàn)可疑行為�。
(4)使用安全的軟件��;
(5)找出問(wèn)題根源���;
(6)提出解決方案并及時(shí)解決問(wèn)題����;
(7)加入應(yīng)急知識(shí)庫(kù)���,預(yù)防類(lèi)似事件再次發(fā)生�����。
?
6)??? 實(shí)行關(guān)鍵字的設(shè)立���、過(guò)濾與更新規(guī)則
(1)通信平臺(tái)具有信息內(nèi)容的過(guò)濾功能。信息過(guò)濾包括對(duì)播放的相關(guān)短信����、頁(yè)面內(nèi)容進(jìn)行有效過(guò)濾����。具體包括關(guān)鍵字設(shè)定����、修改、查詢(xún)功能����,提供相應(yīng)的測(cè)試端口,并具有嚴(yán)格的權(quán)限管理功能�;對(duì)發(fā)現(xiàn)的有害短信及時(shí)向有關(guān)部門(mén)匯報(bào),并從技術(shù)上予以保證��,包括有害信息的內(nèi)容���、發(fā)現(xiàn)時(shí)間��、發(fā)現(xiàn)來(lái)源����;
(2)關(guān)鍵字的設(shè)立規(guī)則根據(jù)相關(guān)法律和互聯(lián)網(wǎng)規(guī)定制定
(3)過(guò)濾引擎的建立:過(guò)濾引擎設(shè)定關(guān)鍵字�、日志管理、報(bào)警的管理。管理控制中心顯示詳細(xì)的有害信息(有害信息的發(fā)送方����、接受方、內(nèi)容��、時(shí)間)���,并截?cái)嘣摱滔ⅰ?/span>
(4)對(duì)不良信息和事件的發(fā)生進(jìn)行記錄,并儲(chǔ)存�,以備后需。
?
7)??? 建立并實(shí)行信息儲(chǔ)存與查閱制度
(1)信息采集:信息資料的來(lái)源渠道必須正規(guī)��,不能侵犯他人版權(quán)���,杜絕政治性和常識(shí)性的錯(cuò)誤��;信息采集的內(nèi)容要廣泛��、真實(shí)��、可靠����、健康,要有時(shí)效性�,有使用價(jià)值。
(2)信息審核:信息采集人員要杜絕信息資源格式不規(guī)范����、措辭不嚴(yán)謹(jǐn)?shù)葐?wèn)題出現(xiàn),減少或避免初審失誤�;切實(shí)做到“三密”信息不失密、不上網(wǎng)�;重大的信息、來(lái)源不清的信息����、披露性信息要報(bào)經(jīng)信息審核主管終審后才能發(fā)布
(3)信息的發(fā)布更新:限時(shí)更新的信息要及時(shí)采集、整理�����,經(jīng)審核后盡快發(fā)布��。要確保及時(shí)����、準(zhǔn)確無(wú)誤;各自分工的任務(wù)����,如不能按規(guī)定時(shí)限及時(shí)更新的���,將追究有關(guān)人員責(zé)任。
(4)信息的存儲(chǔ):對(duì)采集的各種信息進(jìn)行科學(xué)分類(lèi)�,以文本格式存放在統(tǒng)一的文件中;建立信息的匯總渠道���,開(kāi)辟專(zhuān)用空間存放歸集信息���,方便保存與查找;數(shù)據(jù)的備份參見(jiàn)“數(shù)據(jù)備份與冗余”
(5)信息查閱制度:根據(jù)信息的重要性和保密級(jí)別的不同���,實(shí)行區(qū)別對(duì)待,對(duì)涉秘信息��、重要數(shù)據(jù)的查詢(xún)需向相關(guān)主管人員申請(qǐng)并報(bào)總負(fù)責(zé)人審批���。
?
8)??? 投訴流程與方式��,處理結(jié)構(gòu)
?
?
客服人員填寫(xiě)用戶投訴報(bào)告單�,并向投訴人告知受理員的姓名���、電話 |
記錄:投訴事由��、聯(lián)系電話����、投訴時(shí)間、用戶地區(qū)等 |
客服經(jīng)理負(fù)責(zé)處理投訴相關(guān)事宜 |
受理客服人員向用戶反饋處理結(jié)果����,滿意后將處理報(bào)告單存檔 |
當(dāng)日?qǐng)?bào)主管副總經(jīng)理,做業(yè)績(jī)考察 |
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
五:信息安全責(zé)任落實(shí)
?
信息安全重在管理��,而安全管理又貫穿在整個(gè)網(wǎng)絡(luò)的運(yùn)行之中�����。為此���,首先抓好組織機(jī)構(gòu)建設(shè)�����。在原來(lái)的基礎(chǔ)上��,建立健全了公司計(jì)算機(jī)安全監(jiān)察領(lǐng)導(dǎo)小組��,并建立了決策層�、管理層、執(zhí)行層的三級(jí)計(jì)算機(jī)安全組織機(jī)構(gòu)��。從而將安全工作落實(shí)到各個(gè)部門(mén)���,做到分工明細(xì)��,責(zé)任明確�。從組織上��、技術(shù)上切實(shí)保障了計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行���。
?
在此基礎(chǔ)上����,公司制定了完善的安全管理方案��,涵蓋安全風(fēng)險(xiǎn)管理��、物理安全管理��、邏輯安全管理和日常安全管理等各方面���。通過(guò)各級(jí)安全組織機(jī)構(gòu)���,全面抓好制度的落實(shí),真正做到事事有人管�����,事事管理有規(guī)章�。
?
其中安全風(fēng)險(xiǎn)管理是通過(guò)對(duì)全網(wǎng)、特別是關(guān)鍵資產(chǎn)的周期性風(fēng)險(xiǎn)計(jì)算����,合理分配資源,為安全控制的范圍����、類(lèi)型和力度等提供決策參考;物理安全管理主要體現(xiàn)在針對(duì)物理基礎(chǔ)設(shè)施�、物理設(shè)備和物理訪問(wèn)的控制中,主要通過(guò)機(jī)房物理安全來(lái)體現(xiàn);?邏輯安全管理則是從技術(shù)層面建立諸如用戶管理���、口令管理��、網(wǎng)絡(luò)設(shè)備安全管理和主機(jī)系統(tǒng)安全管理的制度����,進(jìn)一步保障網(wǎng)絡(luò)的安全性;日常安全管理則偏重于日常安全審計(jì)以及安全事件響應(yīng)的內(nèi)容�。
?
定期對(duì)高層管理人員進(jìn)行信息安全意識(shí)和技術(shù)培訓(xùn),及時(shí)組織信息安全員參加信息安全知識(shí)技術(shù)講座���;并通過(guò)多種宣傳手段增強(qiáng)各級(jí)部門(mén)的安全意識(shí)�。為跟蹤最新的安全技術(shù)和了解更多的安全產(chǎn)品�,
?
1)???? 信息安全專(zhuān)員負(fù)責(zé)本網(wǎng)絡(luò)的安全保護(hù)管理工作,建立健全安全保護(hù)管理制度
2)???? 落實(shí)安全保護(hù)技術(shù)措施��,保障本網(wǎng)絡(luò)的運(yùn)行安全和信息安全
3)???? 負(fù)責(zé)對(duì)本網(wǎng)絡(luò)用戶的安全教育和培訓(xùn)
4)???? 對(duì)委托發(fā)布信息的單位和個(gè)人進(jìn)行登記��,并對(duì)所提供的信息內(nèi)容按照信息發(fā)布審核制度進(jìn)行審核
5)???? 社區(qū)�����、BBS等實(shí)現(xiàn)24小時(shí)值班���,并將信息安全責(zé)任落實(shí)到人����,各分公司和各網(wǎng)站均有專(zhuān)人負(fù)責(zé)信息安全工作
6)???? 完善信息安全事件快速處理機(jī)制����,縮短信息安全事件處理時(shí)間和環(huán)節(jié),將不良影響降到最低
7)???? 明確信息安全工作重點(diǎn)���,日常信息安全工作重點(diǎn)為容易發(fā)生信息安全事件的欄目��,如社區(qū)���、BBS、留言簿和郵件等
8)???? 采用技術(shù)手段檢測(cè)和保障信息安全�。通過(guò)采用如關(guān)鍵字過(guò)濾、防垃圾郵件等技術(shù)手段來(lái)杜絕有害信息
9)???? 通過(guò)高標(biāo)準(zhǔn)的控制來(lái)強(qiáng)化所有安全設(shè)施�、重要的服務(wù)器和通訊平臺(tái)
