信息安全管理制度

一、信息审查

负责部门：信息安全领导小组，由法人代表直接负责

职责：

（1）建立健全本公司网络与信息安全组织机构；

（2）建立健全网络与信息安全责任体系；

（3）建立健全网络与信息安全管理、保密、检查等制度；

（4）严格审查各部门信息管理情况，降低信息安全问题出现率。

二、信息监督

负责部门：技术部，负责人为莫雪红。

职责：

（1）对整个公司的网络系统安全问题负责，接受信息安全领导小组的领导和管理。与网络安全员和专职信息安全管理人员进行有效合作；

（2）负责网络系统安全策略、计划和事件处理程序的制定；

（3）负责安全建设和运营的方案的制定；

（4）承担安全事件的处理。

三、有害信息查处

负责部门：信息安全工作组，负责人为王红

（1）认真查处各部门的信息管理情况；

（2）严格执行公司制定的各项信息安全管理制度，确保在信息安全管理中做好收尾工作，认真总结事件发生的原因，制定防卫措施；

（3）负责对公司全体人员的信息安全培训。

四、信息安全教育培训

1、公司各级领导和信息安全管理人员定期（每年至少一至二次）学习《中华人民共和国治安管理处罚条例》、《计算机信息网络国际互联网安全保护管理办法》等有关法律、行政法规的规定，提高员工维护网络安全的警惕性和自觉性。

2、在开展信息安全教育活动中，必须结合先进的典型事例进行正面教育，以利取长补短。信息安全教育要求体现“六性”，即全员性、全面性、针对性以及成效性、发展性、经常性。

3、教育培训目标：不断提高公司人员信息安全意识、信息技术素质，提高信息安全政策业务水平。

4、教育培训内容：包括事故教育、法制教育。事故教育可以使其从事故教训中吸取有益的东西，可预防类似事故的发生，法制教育可以激发人们自觉地遵纪守法，这类信息安全教育可以定期或不定期地进行实施。

5、教育培训方式：信息安全教育、培训将采取多种方式进行。如设培训班、上信息安全课、信息安全知识讲座、报告会、智力竞赛、图片展、书画剪贴、电视片、黑板报、墙报、简报、通报、广播等等使信息安全教育培训形象生动，获得更好的效果。

6、公司网站必须接受并配合通信管理局和公安机关的安全监督、检查和指导，如实向以上两个部门提供有关安全保护的信息、资料和数据文件，协助公安机关查处通过国际互联网的计算机信息网络的违法犯罪行为。

五、重大信息安全事件应急处置和报告制度

1、定性事件的各个级别：

根据信息安全事件的影响程度等因素将重大信息安全事件分为三个等级：

第三等级：特大信息安全事件，涉及国家安全和社会稳定，造成恶劣影响和严重后果。

第二等级：重大信息安全事件，涉及国家安全和社会稳定，造成较大社会影响和较严重后果。

第一等级：一般信息安全事件，造成一定社会影响的信息安全事件。

2、按时报告制度：

公司发生以上信息安全事件时，根据等级的不同分别向上级主管部门报告，报告分为口头报告、简要书面报告和专题书面报告：

发生特大信息安全事件时，公司在2小时内做出口头报告，24小时内做出简要书面报告，事件处理结束后5日内做出专题书面报告。

发生重大信息安全事件时，公司在4小时内做出口头报告，24小时内做出简要书面报告，相关事件处理结束后5日内做出专题书面报告。

发生一般信息安全事件时，公司在48小时内做出专题书面报告。

3、如何处置：

由于公司网络环境安全事件（包括火灾、盗窃、破坏、供电等）、网络运行相关事件（包括线路中断、路由障碍、流量异常、域名系统故障等）引发信息安全时，紧急通知我公司信息主管负责人，及时消除非法信息，恢复系统，无法迅速消除或恢复系统、影响较大时实施紧急关闭，并及时上报。

一般信息安全事件发生时，向入侵者所在的网络管理员投诉。

重大信息安全事件及特大信息安全事件发生时（如造成重大经济损失，破坏国家信息安全的反动政治言论），及时清除、保留证据，立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后，立即对发生的事件进行调查核实、保留相关证据，确定事件等级，向上级主管部门上报相关材料。

六、用户举报和投诉处理

网站在接到有害信息投诉后，将按如下有害信息投诉受理处置机制：

1、相关工作人员将立即通知上报主管领导，要求主管领导立即处理；

2、记录报案人相关信息，如联系方式，姓名等情况；

3、第一时间找到有害信息位置、及时删除；

4、对删除信息进行备份，以便网监局（公安局）查询时提供相关证据；

5、根据有害信息的级别、上报主管领导，必要时需要报案，提交公安部门来处理；

6、紧急情况下，采取将网站由互联网上断开连接的方式阻断互联网有害信息传播；

7、配合相关上级主管部门（工信部、各地通信管理局）以及网监局、公安局的调查。