附件一
信息安全保障措施
网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、服务器运行安全保障措施
1、服务器和其他计算机之间设臵经认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障各个平台正常运行。
2、在服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对各个平台系统的干扰和破坏。
3、做好工作日志的留存。服务器端具有保存60天以上的系统运行日志和用户使用日志记录功能。
5、服务器系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭服务器平台中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设臵超级用户名及密码,并绑定IP,以防他人登入。
8、服务器提供集中式权限管理,针对不同的应用系统、终端、操作人员,由系统管理员设臵共享数据库信息的访问权限,并设臵相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由系统管理员定期检查操作人员权限。
9、公司机房按照电信机房标准建设,内有必备的UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。
二、信息安全管理及制度
为加强对信息安全的管理,促进移动信息业务的发展,保证公司各项业务的正常开展,维护公共秩序和社会稳定,特制订本制度:
第一条 公司各部门应定期组织员工认真学习《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等计算机信息安全管理的法规。
第二条 加强员工对计算机信息安全的教育,绝不允许公司员工通过公司网络发布反动、不健康信息。 对违反信息安全规定的员工,一经发现,立即停职,严肃处理,并根据事件的严重程度予以批评教育、 行政或经济处罚,性质恶劣者提交有关门依法追究当事人的法律责任,同时在全公司范围内进行通报。
第三条 业务部制定信息更新内容的登记、审核等相关具体规章制度。公司设立信息安全管理小组,由公司领导和相关管理人员组成,总体负责信息发布的内容审核工作。
第四条 业务人员在进行信息采集过程中,要严守国家有关法规,通过正常渠道和合法程序获取信息,以保证信息来源的准确性和合法性;对委托发布信息的单位和个人进行登记,并进行严格审核,与信息源有合作关系的,除在合同中明确合作的方式、利益分配等以外,更要明确双方的权利、义务和责任。
第五条 业务人员在进行信息整理过程中,要严格按照操作规程使用计算机和系统的其它设备,以保证他人信息和设备的安全;要建立健全计算机病毒预防和控制的安全管理制度,加强对工作人员的防病毒教育,不得使用非法获得的软件及其他的计算机产品,并定期对系统进行病毒检查和清除。
第六条 建立、健全计算机所在房间的安全管理制度, 配备必须的安全设备,以确保计算机所在房间的安全可靠。
第七条 信息发布工作应遵守《中华人民共和国著作权法》和有关法律、法规的规定,加强对信息采编、加工、整理和制作的管理,对发布内
容严格审核、监督;
第对含有下列任何信息的,坚决不准予以发布: (一) 煽动抗拒、破坏和法律、行规实施的; (二) 煽动国家政权,推翻社会主义制度的; (三) 煽动国家、破坏国家统一的;
(四) 煽动民族仇恨、民族歧视,破坏民族团结的; (五) 捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六) 宣扬封建迷信、邪教、淫秽、色情、、暴力、凶杀、恐怖,教唆犯罪的;
(七) 公然侮辱他人或者捏造事实诽谤他人的; (八) 损害国家机关信誉的;
(九) 其他违反和法律、行规的。 第九条 认真做好相关保密工作。
(一)除信息业务相关人员外,任何人不得使用信息业务专用计算机,更不能利用短信发布软件任意进行短信息的定制或发送操作;
(二) 为防止密码失窃,任何人不得将自己的密码外泄。信息录入人员的密码每周至少更新一次;
(三) 任何时间,特别是节假日值班期间,任何人不得带亲朋好友等无关人员在公司办公场所停留;
(四) 对于公司相关信息资料,必须做到及时整理、及时保存,不得将重要信息资料随意放臵、私自外传;
(五)未经公司领导批准,对公司所有信息内容的呼叫次数、呼叫时长、业务收入等相关数据均不得外泄;
第十条 任何人不得从事下列危害公司计算机网络安全的活动: (一)未经允许,进入相关信息网络或者使用相关信息网络资源的;
(二)未经允许,对公司信息网络功能进行删除、修改或者增加的; (三)未经允许,对公司信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的; (五)其他危害公司计算机信息网络安全的行为。
单位:涿州恒信通科技服务有限公司
日期:2011年8月9日
