第一条 建立文件化的安全管理制度,安全管理制度文件应包括:
1. 安全岗位管理制度;
2. 系统操作权限管理;
3. 安全培训制度;
4. 用户管理制度;
5. 新服务、新功能安全评估;
6. 用户投诉举报处理;
7. 信息发布审核、合法资质查验和公共信息巡查;
8. 个人电子信息安全保护;
9. 安全事件的监测、报告和应急处置制度;
10. 现行法律、法规、规章、标准和行政审批文件。
第二条 安全管理制度应经过管理层批准,并向所有员工宣贯。
第三条 法律责任
1. 互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2. 互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
第四条 人员安全管理
1) 安全岗位管理制度
建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理;
2) 关键岗位人员
1) 关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:
a、个人身份核查;
b、个人履历的核查;
c、学历、学位、专业资质证明;
d、从事关键岗位所必须的能力。
2) 应与关键岗位人员签订保密协议。
3) 安全培训
建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
1) 上岗前的培训;
2) 安全制度及其修订后的培训;
3) 法律、法规的发展保持同步的继续培训;
4) 人员离岗。应严格规范人员离岗过程。
a、及时终止离岗员工的所有访问权限;
b、关键岗位人员须承诺调离后的保密义务后方可离开;
c、配合公安机关工作的人员变动应通报公安机关。
第五条 访问控制管理
1. 访问管理制度
建立包括物理的和逻辑的系统访问权限管理制度。
2. 权限分配
按以下原则根据人员职责分配不同的访问权限:
1) 角色分离,如访问请求、访问授权、访问管理;
2) 未经明确允许,则一律禁止。
3. 特殊权限限制和控制特殊访问权限的分配和使用。
1) 标识出每个系统或程序的特殊权限;
2) 按照按需使用六“一事一议”的原则分配特殊权限;
3) 记录特殊权限的授权与使用过程;
4) 特殊访问权限的分配需要管理层的批准。
注:特殊权限是系统超级用户、数据库管理等系统管理权限。
4. 权限的检查
定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。
第六条 网络与主机系统的安全
1. 网络与主机系统的安全
应维护使用的网络与主机系统的安全,包括:
1) 公司实施计算机病毒等恶意代码的预防.、检测和系统被破坏后的恢复措施;
2) 实施7*24h网络入侵行为的预防、检测与响应措施;
3) 对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;
4) 对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
2. 备份
1) 应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复;
2) 网络基础服务(登录、消息发布等)应具备容灾能力;
3. 安全审计
1) 应记录用户活动、异常情况、故障和安全事件的日志;
2) 审计日志内容应包括:
用户注册相关信息,包括:
a、用户唯一标识;
b、用户名称及修改记录;
c、身份信息,如姓名、证件类型、证件号码等;
d、注册时间、IP地址及端口号;
e、电子邮箱地址和于机号码;
f、用户备注信息;
g、用户其他信息。
群组、频道相关信息,包括:
a、创建时间、创建人、创建人IP地址及端口号;
b、删除时间、删除人、删除人IP地址及端口号;
c、群组组织结构:
d、4,群组成员列表。
用户登录信息,包括:
a、用户唯一标识;
b、登录时间;
c、退出时间;
IP地址及端口号。
用户信息发布日志,包括:
a、用户唯一标识;
b、信息标识;
c、信息发布时间;
d、甲地址及端口号;
e、信息标题或摘要,包括图片摘要;
用户行为,包括:
a、进出群组或频道;
b、修改、删除所发信息;
c、上传、下载文件。
3) 应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、
隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL与短URL之间的映射关系。
4) 应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。
5) 应能够根据公安机关要求留存具备指定信息访问日志的留存功能。
审计日志保存周期
a、应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录;
b、系统维护日志信息保存12个月以上;
c、应留存用户日志信息12个月以上;
d、对用户发布的信息内容保存6个月以上;
e、己下线的系统的日志保存周期也应符合以上规定。
第七条 应用安全
1. 用户管理
1) 向用户宣传法律法规,应在用户注册时.与用户签订服务协议,告知相关权利义务及需承担的法律责任;
2) 建立用户管理制度,包括:
a、用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用户登记的真实身份,如:1)身份证与姓名实名验证服务:2)有效的银行卡:3)合法、有效的数字证书:4)己确认真实身份的网络服务的注册用户:5)经电信运营商接入实名认证的用户。(如某网站采用己经实名认证的第三方账号登陆,可认为该网站的用户已经进行有效核验;
b、应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容;
c、建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户应纳入黑名单管理。
3) 当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行:
a、核对行政许可文件;
b、通过行政许可主管部门的公开信息;
c、通过行政许可主管部门的验证电话、验证平台。
2. 违法有害信息防范和处置
1) 公司采取管理与技术措施,及时发现和停止违法有害信息发布;
2) 公司采用人工或自动化方式,对发布的信息逐条审核,采取技术措施过滤违法有害信息,包括且不限于:
a、基于关键词的文字信息屏蔽过滤;
b、基于样本数据特征值的文件屏蔽过滤;
c、基于URL的屏蔽过滤。
3) 应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定甲帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
4) 公司建立7 * 24h信息巡查制度,及时发现并处置违法有害信息;
5) 建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调查配合制度,包括:
a、对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告;
b、对于煽动非法聚集,策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作。
6) 与公安机关建立7 * 24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min 之内删除,相关的屏蔽过滤措施应在10min内生效。
3. 破坏性程序防范
1) 实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据;
2) 对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。
第八条 个人电子信息保护
1. 制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。在用户注册时,在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式;
2. 仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个人电子信息时,取得用户的明确授权同意:公司在将个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;法律、行政法规另有规定的,遵从其规定;
3. 公司在修改个人电子信息处理时,应告知用户,并取得其同意;
4. 技术措施
公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:
a、采用加密方式保存用户密码等重要信息;
b、审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露;
c、审计个人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据;
d、建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销;
e、公司系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险。
5. 个人信息泄露事件的处理
当发现个人电子信息泄露时间后,应:立即采取补救措施,防止信息继续泄露,并在0~24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关
第九条 安全事件管理
1. 安全时间管理制度
1) 建立安全事件的监测、报告和应急处置制度,确保快速有效和有序地响应安全事件;
2) 安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。
2. 应急预案
制定安全事件应急处置预案,向属地公安机关宝贝,并定期开展应急演练。
3. 突发公共事件处理
突发公共事件分为四级Ⅰ级(特别重大)、I l级(重大)、Ill级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:
1) Ⅰ级;应投入安全管理等部门80%甚至全部人力开展处置工作;
2) Ⅱ级:应投入安全管理等部门50%.80%的人力开展处置工作;
3) Ⅲ级:应投入安全管理等部门30%.50%的人力开展处置工作;
4) Ⅳ级:应投入安全管理等部门30%的人力开展处置工作。
4. 技术接口
公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口,能确保实时,有效地提供相关证据。