PAGE5銳理信息安全管理制度目錄1.安全管理制度要求1.1總則：為了切實有效的保證公司信息安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務能力，特制定交互式信息安全管理制度，設定管理部門及專業(yè)管理人員對公司整體信息安全進行管理，以確保網(wǎng)絡與信息安全。1.1.1建立文件化的安全管理制度，安全管理制度文件應包括：安全崗位管理制度；b)系統(tǒng)操作權限管理；c)安全培訓制度；d)用戶管理制度；e)新服務、新功能安全評估；f)用戶投訴舉報處理；g)信息發(fā)布審核、合法資質查驗和公共信息巡查；h)個人電子信息安全保護；i)安全事件的監(jiān)測、報告和應急處置制度；j)現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。1.1.2安全管理制度應經(jīng)過管理層批準，并向所有員工宣貫2.機構要求2.1法律責任2.1.1互聯(lián)網(wǎng)交互式服務提供者應是一個能夠承擔法律責任的組織或個人。2.1.2互聯(lián)網(wǎng)交互式服務提供者從事的信息服務有行政許可的應取得相應許可。3.人員安全管理3.1 安全崗位管理制度建立安全崗位管理制度，明確主辦人、主要負責人、安全責任人的職責：崗位管理制度應包括保密管理。3.2關鍵崗位人員3.2.1關鍵崗位人員任用之前的背景核查應按照相關法律、法規(guī)、道德規(guī)范和對應的業(yè)務要求來執(zhí)行，包括：1.個人身份核查：2.個人履歷的核查：3.學歷、學位、專業(yè)資質證明：4.從事關鍵崗位所必須的能力3.2.2應與關鍵崗位人員簽訂保密協(xié)議。3.3安全培訓建立安全培訓制度，定期對所有工作人員進行信息安全培訓，提高全員的信息安全意識，包括：1.上崗前的培訓；2.安全制度及其修訂后的培訓；3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓。應嚴格規(guī)范人員離崗過程：a)及時終止離崗員工的所有訪問權限；b)關鍵崗位人員須承諾調(diào)離后的保密義務后方可離開；c)配合公安機關工作的人員變動應通報公安機關。3.4人員離崗應嚴格規(guī)范人員離崗過程：a)及時終止離崗員工的所有訪問權限；b)關鍵崗位人員須承諾調(diào)離后的保密義務后方可離開；c)配合公安機關工作的人員變動應通報公安機關。4.訪問控制管理4.1訪問管理制度建立包括物理的和邏輯的系統(tǒng)訪問權限管理制度。4.2 權限分配按以下原則根據(jù)人員職責分配不同的訪問權限：a) 角色分離，如訪問請求、訪問授權、訪問管理；b) 滿足工作需要的最小權限；c) 未經(jīng)明確允許，則一律禁止。4.3特殊權限6.2.1公司采取管理與技術措施，及時發(fā)現(xiàn)和停止違法有害信息發(fā)布。6.2.2公司采用人工或自動化方式，對發(fā)布的信息逐條審核。采取技術措施過濾違法有害信息，包括且不限于基于關鍵詞的文字信息屏蔽過濾；b)基于樣本數(shù)據(jù)特征值的文件屏蔽過濾；c)基于URL的屏蔽過濾。6.2.3應采取技術措施對違法有害信息的來源實施控制，防止繼續(xù)傳播。注：違法有害信息來源控制技術措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯(lián)互通等。6.2.4公司建立7*24h信息巡查制度，及時發(fā)現(xiàn)并處置違法有害信息。6.2.5建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調(diào)差配合制度，包括：a/對發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關證據(jù)（包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄），并向屬地公安機關報告b/對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關報告，同時配合公安機關做好調(diào)查取證工作6.2.6與公安機關建立7*24h違法有害信息快速處置工作機制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭及分享中的任何一個環(huán)節(jié)應能再5min之內(nèi)刪除，相關的屏蔽過濾措施應在10min內(nèi)生效。6.3破壞性程序防范6.3.1實施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施、并保留發(fā)現(xiàn)的破壞性程序的相關證據(jù)。6.3.2對軟件下載服務提供者（包括應用軟件商店），檢查用戶發(fā)布的軟件是否是計算機病毒等惡意代碼。7個人電子信息保護7.1.1制定明確、清楚的個人電子信息處置規(guī)則，并且在顯著位置予以公示。在用戶注冊時，在與用戶簽訂服務協(xié)議中明示收集與使用個人電子信息的目的、范圍與方式。7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實現(xiàn)正當商業(yè)目的和提供網(wǎng)絡服務所必需的個人信息；收集個人電子信息時，取得用戶的明確授權同意；公司在姜個人電子信息交給第三方處理時，處理方符合本制度標準的要求，并取得用戶明確授權同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。7.1.3公司在修改個人電子信息處理時，應告知用戶，并取得其同意。7.2技術措施公司建立覆蓋個人電子信息處理的各個環(huán)節(jié)的安全保護制度和技術措施，防止個人電子信息泄露、損毀、丟失，包括：a)采用加密方式保存用戶密碼等重要信息b)審計內(nèi)部員工對涉及個人電子信息的所有操作，并對審計進行分析，預防內(nèi)部員工故意泄露c)審計個人電子信息上載、存儲或傳輸，作為信息泄露，毀損，丟失的查詢依據(jù)d)建立程序來控制對涉及個人電子信息的系統(tǒng)和服務的訪問權的分配。這些程序涵蓋用戶訪問生存周期內(nèi)的各個階段，從新用戶初始注冊到不再需要訪問信息系統(tǒng)和服務的用戶的最終撤銷e)系統(tǒng)的安全保障技術措施覆蓋個人電子信息處理的各個環(huán)節(jié)，防止網(wǎng)絡違法犯罪活動竊取信息，降低個人電子信息泄露的風險7.3個人信息泄露事件的處理當發(fā)現(xiàn)個人電子信息泄露時間后，應：b)立即采取補救措施，防止信息繼續(xù)泄露c)24小時內(nèi)告知用戶，根據(jù)用戶初始注冊信息重新激活賬戶，避免造成更大的損失立即告屬地公安機關8安全事件管理8.1安全時間管理制度8.1.1建立安全事件的監(jiān)測、報告和應急處置制度，確保快速有效和有序地響應安全事件.8.1.2安全事件包括違法有害信息、危害計算機信息系統(tǒng)安全的異常情況及突發(fā)公共事件。8.2應急預案制定安全事件應急處置預案，向屬地公安機關寶貝，并定期開展應急演練。8.3突發(fā)公共事件處理突發(fā)公共事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），互聯(lián)網(wǎng)交互式服務提供者應建立相應處置機制，當突發(fā)公共事件發(fā)生后，投入相應的人力與技術措施開展處置工作：a)I級：應投入安全管理等部門80%甚至全部人力開展處置工作；b)II級：應投入安全管理等部門50