互联网信息服务单位信息安全管理制度
作者:重山智业来源:www.chongshanzy.com时间:2013-12-02 11:51:47阅读:3504

为切实维护国际互联网安全,进一步规范本单位网络和信息安全管理工作,根据我国《计算机信息网络国际互联网安全保护管理办法》和《互联网安全保护技术措施规定》相关法规的规定,特制定本管理制度。

总则

一、严格遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息;

二、坚决封堵互联网上不良和有害信息的侵入;

三、自觉接受公安机关网络信息安全部门的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,积极配合公安机关查处通过互联网的计算机信息网络违法犯罪行为;

四、按照相关要求,及时、准确、认真开展本单位计算机信息网络国际联网备案工作,并及时向公安机关报告变更信息;

五、在本单位建立网络信息安全保护小组,并报公安机关网络安全监察部门备案;

六、根据本单位在互联网应用的实际情况,在安全员、安全教育和培训、机房管理、安全保护技术措施、巡视上报、用户登记、帐号使用和操作权限管理等方面制定以下细则制度。

 

 

安全员管理责任人制度

互联网联网单位应确定安全管理责任人。安全管理责任人实行领导责任制。 

安全管理责任人应履行下列职责:

组织宣传信息安全管理方面的法律、法规和有关政策;

拟订并组织实施本单位信息安全管理的各项规章制度;

定期组织检查信息安全情况,及时排除各种安全隐患;

负责组织安全稽核;负责组织本单位信息网络安全人员的安全教育和培训; 

安全责任人主要负责本单位网络(包含局域网、广域网)的系统安全性;

安全责任人负责重要数据库和系统主要设备的备份工作;

安全责任人必须按照有关规定做好网络运行日志留存工作,并保留60天以上;

定期进行防病毒系统、防火墙和入侵检测系统的升级工作。定期对系统作安全检测,及时发现安全漏洞予以消除,对检测结果和漏洞消除情况有记录;

安全责任人应经常学习网络信息安全知识,做好预防为主;

安全责任人承担对不良、有害信息上报、处置工作职责;

发生安全事故或计算机犯罪案件时,立即向公安机关、主管部门报告并采取妥善措施,保护现场,避免危害的扩大。

  

 

安全教育和培训制度

一、网络安全管理员应定期接受公安机关网络安全监察部门的网络信息安全培训;

二、本单位应经常组织员工和用户开展网络信息安全法律、法规的学习、培训,提高维护网络安全的警惕性和自觉性;

三、应及时组织本单位联网用户(包含单位其他联网工作人员,主机托管、租用者等等)进行关于最新系统漏洞修复和最新病毒预防等安全防范方面的培训和学习,适时对单位员工进行基本的网络安全保护制度和具体方法进行介绍,切实维护计算机联网安全;

四、加强对各类有害信息、特别是影射性有害信息的识别能力,提高安全防范能力;

五、有关安全教育和培训工作应当做好书面记录。

 

  

用户登记制度和操作权限管理制度

一、应当对本单位上网场所内的上网人员身份进行核对、登记,并记录有关上网信息;

二、登记内容和记录备份保存时间不得少于60日,并在公安机关依法查询时予以提供。登记内容和记录备份在保存期内不得修改或删除;

三、对于开设网站,提供信息服务的要按照“谁主办、谁负责”的原则,加强日常操作权限管理;

四、要加强网站信息发布管理,要建立严格的稿件请示制度、审核把关制度和责任追究制度。严禁编发、转发境外媒体和网站的消息,发布未经核实的信息。

  

 

异常情况及违法犯罪案件报告制度和协助查处制度制度

一、建立与公安机关联系的长效机制,对网络安全方面出现的问题和情况及时沟通;

二、安全员应保持通讯畅通,确保24小时响应;

三、发生计算机信息系统被侵、破获案件的,应在24小时内向教育信息中心或公安机关网络安全保卫部门报告;

四、异常情况及违法犯罪案件报告和协查制度。落实案件、事故报告和调查协助工作机制,凡发现有违反国家法律、法规的行为,应保留有关原始记录,做好数据备份,并向当地公安机关报告,重大案件应立即报告,并配合做好调查处置工作。 

 

 

互联网信息服务单位备案责任制度 

互联网单位,是指在中华人民共和国境内,通过专线或接入网络与互联网相连接的单位。互联网单位包括互联网运营单位、互联网信息服务单位、联网单位等。 

《计算机信息网络国际联网安全保护管理办法》第11条规定:“  用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。”第12条规定:“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。”第23条规定:“违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过六个月的处罚。” 

互联网接入服务单位、互联网数据中心、互联网信息服务单位、互联网联网单位均为备案对象。以上单位凡服务器托管地与维护地不在同一行政区划内的,都必须向服务器托管地和维护地的公安网监部门申请备案。 

本单位严格落实互联网信息服务单位备案责任制度。

 

 

落实建立电子公告系统的用户登记和信息管理制度

一、应当对本单位上网场所内的上网人员身份进行核对、登记,并记录有关上网信息;

二、对于开设网站,提供信息服务的要按照“谁主办、谁负责”的原则,加强日常管理;

三、要加强网站信息发布管理,要建立严格的稿件请示制度、审核把关制度和责任追究制度。严禁编发、转发境外媒体和网站的消息,发布未经核实的信息;

    四、信息先审后发制度。通过人工或者技术的方式,对用户发布在网上公共信息场所的信息实行先审后发;

    五、信息巡查报告制度。实行人工信息巡查,发现有害信息时,应做好备份并及时删除,同时报告公安机;

六、重要网络系统的系统备份及应急预案制度。针对网上公共信息场所实际建立信息网络重大事故案件应急预案工作机制,定期或不定期进行演练。  

 

 

落实及时提供安全管理所需信息、资料数据文件及真实性制度

一、根据《互联网安全保护擮措施规定》等法律法规的具体要求,做好系统日志留存工作,确保项目完整,留存时间在60天以上;

二、应定期对系统安全防范系统检测、升级、漏洞修补,确保系统安全;

三、应定期做好系统数据备份工作;

四、应每日巡检关键设备、重要数据库,确保信息安全、合法;

五、及时提供安全管理所需信息、资料数据文件及真实性。

 

  

系统运行和用户使用日志记录保存60日以上措施

根据《互联网安全保护擮措施规定》等法律法规的具体要求,做好系统日志留存工作,确保项目完整,留存时间在60天以上;

 

 

建立计算机病毒防治、网络攻击防范、追踪措施

一、应定期对系统安全防范系统检测、升级、漏洞修补,确保系统安全;

二、报警制度。对各种违法事件,维护单位应当采取应急处置预案,保留有关原始记录,并向所在地公安网监部门报告; 

三、信息发布、信息搜索、消息广播和文件共享服务中对有害信息的过滤;  

四、联网报警追踪措施。

 

 

交互式栏目具有关键字过滤技术措施

一、应当对本单位上网场所内的上网人员身份进行核对、登记,并记录有关上网信息;

二、对于开设网站,提供信息服务的要按照“谁主办、谁负责”的原则,加强日常管理;

三、要加强网站信息发布管理,要建立严格的稿件请示制度、审核把关制度和责任追究制度。严禁编发、转发境外媒体和网站的消息,发布未经核实的信息;

四、对于开设论坛、留言板、文章评论等交互式栏目的,应建立严格的审核机制,可以由管理员负责审核、巡视。对于审核、巡视中发现的有害信息应删除;

五、对于开设交互式栏目的,应建立信息发布的关键字或敏感词汇的自动过滤功能,并应定期更新关键字或敏感词汇;

六、对于开设电子邮件服务的,应建立垃圾邮件的自动过滤功能;

七、系统自动过滤、审核、巡视发现的有害信息应留存,并及时向公安机关网络安全保卫部门上报。

 

具备交互栏目用户注册和信息发布审计

一、应当对本单位上网场所内的上网人员身份进行核对、登记,并记录有关上网信息;

二、对于开设网站,提供信息服务的要按照“谁主办、谁负责”的原则,加强日常管理;

三、要加强网站信息发布管理,要建立严格的稿件请示制度、审核把关制度和责任追究制度。严禁编发、转发境外媒体和网站的消息,发布未经核实的信息;

四、对于开设论坛、留言板、BBS、文章评论等交互式栏目的,应建立严格的审核机制,建立巡视制度,可以由管理员、版主等轮流或分块负责审核、巡视。对于审核、巡视中发现的有害信息应删除;

五、对于开设交互式栏目的,应建立信息发布的关键字或敏感词汇的自动过滤功能,并应定期更新关键字或敏感词汇;

六、对于开设电子邮件服务的,应建立垃圾邮件的自动过滤功能;

七、系统自动过滤、审核、巡视发现的有害信息应留存,并及时向公安机关网络安全保卫部门上报。 

重山智业管理咨询有限公司 2018-2025 @ 版权所有

地址:合肥市瑶海区北一环中星城2号写字楼16层 电话0551-62809626 传真0551-62809616

您是本站第位访客!