信息安全管理制度1.1總則：為了切實(shí)有效的保證公司信息安全，提高信息系統(tǒng)為公司生產(chǎn)經(jīng)營的服務(wù)能力，特制定交互式信息安全管理制度，設(shè)定管理部門及專業(yè)管理人員對公司整體信息安全進(jìn)行管理，以確保網(wǎng)絡(luò)與信息安全。1.1.1建立文件化的安全管理制度，安全管理制度文件應(yīng)f)用戶投訴舉報(bào)處理；g)信息發(fā)布審核、合法資質(zhì)查驗(yàn)和公共信息巡查；i)安全事件的監(jiān)測、報(bào)告和應(yīng)急處置制度；j)現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。1.1.2安全管理制度應(yīng)顛末管理層批準(zhǔn)，并向一切員工宣貫2.1.1互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個(gè)可以承擔(dān)法律責(zé)2.1.2互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許建立安全崗位管理制度，明確主辦人、主要負(fù)責(zé)人、安全責(zé)任人的職責(zé)：崗位管理制度應(yīng)包括保密管理。3.2.1關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、4.從事關(guān)鍵崗位所必須的能力建立安全培訓(xùn)制度，定期對所有工作人員進(jìn)行信息安全培訓(xùn)，提高全員的信息安全意識(shí)，包括：3.法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓(xùn)。b)關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開；c)配合公安機(jī)關(guān)工作的職員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。b)關(guān)鍵崗位職員須承諾調(diào)離后的保密任務(wù)后方可離開；c)配合公安機(jī)關(guān)工作的職員變動(dòng)應(yīng)通報(bào)公安機(jī)關(guān)。4.拜候控制管理建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。按以下原則根據(jù)人員職責(zé)分配不同的訪問權(quán)限：a)角色分離，如訪問請求、訪問授權(quán)、訪問管理；c)未經(jīng)明確允許，則一律禁止。4.3特殊權(quán)限限制和控制特殊訪問權(quán)限的分配和使用：b)按照“按需使用”、“一事一議”的原則c)記錄特殊權(quán)限的授權(quán)與使用過程；d)特殊訪問權(quán)限的分配需要管理層的批準(zhǔn)。注：特殊權(quán)限是系統(tǒng)超級(jí)用戶、數(shù)據(jù)庫管理等系統(tǒng)管理權(quán)定期對拜候權(quán)限進(jìn)行檢查，對特殊拜候權(quán)限的受權(quán)情況應(yīng)在更頻繁的時(shí)間間隔內(nèi)進(jìn)行檢查，如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，5收集與主機(jī)系統(tǒng)的安全應(yīng)維護(hù)使用的網(wǎng)絡(luò)與主機(jī)系統(tǒng)的安全，包括：a)實(shí)施計(jì)算機(jī)病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞c)適用時(shí)，對重要文件的完整性進(jìn)行檢測，并具備文件完d)對系統(tǒng)的脆弱性進(jìn)行評估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險(xiǎn)。注：系統(tǒng)脆弱性評估包括采用安全掃描、滲透測試等應(yīng)建立備份策略，有足夠的備份設(shè)施，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時(shí)可以恢復(fù)。5.2.2收集基礎(chǔ)服務(wù)（登錄、消息公布等）應(yīng)具有容災(zāi)能5.3.1應(yīng)記錄用戶活動(dòng)、異常情況、故障和安全事件的日4)注冊時(shí)間、IP地址及端口號(hào)；5)電子郵箱地址和于機(jī)號(hào)碼；5.3.3應(yīng)確保審計(jì)日記內(nèi)容的可溯源性，便可追溯到真實(shí)的用戶ID、收集地點(diǎn)和協(xié)議。電子郵件、短信息、收集電話、即時(shí)消息、收集聊天等收集消息服務(wù)提供者應(yīng)能防范偽造、隱匿發(fā)送者真實(shí)標(biāo)記的消息的措施；涉及地點(diǎn)轉(zhuǎn)換技術(shù)的服務(wù)，如移動(dòng)上網(wǎng)、收集代理、內(nèi)容分發(fā)等應(yīng)審計(jì)轉(zhuǎn)換前后的地點(diǎn)與端口信息；涉及短網(wǎng)址服務(wù)的,應(yīng)審計(jì)原始URL與短URL之5.3.4應(yīng)保護(hù)審計(jì)日志，保證無法單獨(dú)中斷審計(jì)進(jìn)程，防止刪除、修改或覆蓋審計(jì)日志。5.3.5應(yīng)可以按照公安機(jī)關(guān)請求留存具有指定信息拜候日審計(jì)日記保存周期a)應(yīng)永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及歷史e)已下線的系統(tǒng)的日記保存周期也應(yīng)符合以上規(guī)定。6.1.1向用戶宣傳法律法規(guī)，應(yīng)在用戶注冊時(shí)，與用戶簽訂服務(wù)協(xié)議，告知相關(guān)權(quán)利義務(wù)及需承擔(dān)的法律責(zé)任。a)用戶實(shí)名登記真實(shí)身份信息，并對用戶真實(shí)身份信息進(jìn)行有效核驗(yàn)，有校核驗(yàn)方法可追溯到用戶登記的真實(shí)身份，如：經(jīng)電信運(yùn)營商接入實(shí)名認(rèn)證的用戶。（如某網(wǎng)站采用已經(jīng)實(shí)名認(rèn)證的第三方賬號(hào)登陸，可認(rèn)為該網(wǎng)站的用戶已進(jìn)行有效核b)應(yīng)對用戶注冊的賬號(hào)、頭像和備注等信息進(jìn)行審核，禁止使用違反法律法規(guī)和社會(huì)道德的內(nèi)容：c)建立用戶黑名單制度，對網(wǎng)站自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報(bào)的多次、大量發(fā)送傳播違法有害信息的用戶納應(yīng)入黑名單管6.1.3當(dāng)用戶使用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時(shí)，應(yīng)可文件：b)通過行政許可主管部門的公布信息:c)通過行政許可主管部門的驗(yàn)證電話、驗(yàn)證平臺(tái)。6.2違法有害信息防范和處置6.2.1公司采取管理與技術(shù)措施，及時(shí)發(fā)現(xiàn)和停止違法有害信息發(fā)布。6.2.2公司采用人工或自動(dòng)化方式，對公布的信息逐條審采取技術(shù)措施過濾違法有害信息，包括且不限于:a)基于6.2.4公司建立7*24h信息巡查制度，及時(shí)發(fā)現(xiàn)并處理違6.2.5建立涉嫌違法立功線索、異常情況敷陳、安全提醒a(bǔ))對發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄），并向?qū)俚毓矙C(jī)關(guān)報(bào)告b)對于煽動(dòng)非法聚集、策劃恐怖活動(dòng)、揚(yáng)言實(shí)施個(gè)人極端暴力行為等重要情況或重大緊急事件立即向?qū)俚毓矙C(jī)關(guān)報(bào)告，同時(shí)配合公安機(jī)關(guān)做好調(diào)查取證工作6.2.6與公安機(jī)關(guān)建立7*24h違法有害信息快速處置工作視頻、鏈接等信息的源頭及分享中的任何一個(gè)環(huán)節(jié)應(yīng)能再破壞性程序防范6.3.1實(shí)施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施、并保留發(fā)現(xiàn)的破壞性程序的相關(guān)證據(jù)。6.3.2對軟件下載服務(wù)提供者（包括使用軟件商店），檢查用戶公布的軟件是否是計(jì)算機(jī)病毒等惡意代碼。7個(gè)人電子信息保護(hù)7.1.1制定明確、清楚的個(gè)人電子信息處置規(guī)則，并且在顯著位置予以公示。在用戶注冊時(shí)，在與用戶簽訂服務(wù)協(xié)議中明示收集與使用個(gè)人電子信息的目的、范圍與方式。7.1.2湖南凱美醫(yī)療網(wǎng)站僅收集為實(shí)現(xiàn)正當(dāng)商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個(gè)人信息；收集個(gè)人電子信息時(shí)，取得用戶的明確授權(quán)同意；公司在姜個(gè)人電子信息交給第三方處理時(shí)，7.1.3公司在修改個(gè)人電子信息處理時(shí)，應(yīng)告知用戶，并公司建立覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)的安全保護(hù)制a)采用加密方式保存用戶密碼等緊張信息b)審計(jì)內(nèi)部員工對涉及個(gè)人電子信息的一切操作，并對審計(jì)進(jìn)行分析，防備內(nèi)部員工故意保守c)審計(jì)個(gè)人電子信息上載、儲(chǔ)備或傳輸，作為信息保守，毀損，丟失的查詢依據(jù)d)建立程序來控制對涉及個(gè)人電子信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配。這些程序涵蓋用戶訪問生存周期內(nèi)的各個(gè)階段，從新用戶初始注冊到不再需要訪問信息系統(tǒng)和服務(wù)的用戶的最e)系統(tǒng)的安全保障技術(shù)措施覆蓋個(gè)人電子信息處理的各個(gè)環(huán)節(jié)，防止收集違法立功舉動(dòng)竊取信息，降低個(gè)人電子信息保7.3個(gè)人信息泄露事件的處理a)當(dāng)發(fā)現(xiàn)個(gè)人電子信息保守時(shí)間后，應(yīng)：b)立即采取補(bǔ)救措施，防止信息繼續(xù)泄露8.1.1建立安全事件的監(jiān)測、敷陳和應(yīng)急處理制度，確?？焖儆行Ш陀行虻叵鄳?yīng)安全事件.8.1.2安全事件包括違法有害信息、危害計(jì)算機(jī)信息系統(tǒng)安全的異常情況及突發(fā)公共事件。制定安全事件應(yīng)急處理預(yù)案，向?qū)俚毓矙C(jī)關(guān)寶貝，并定）