交互式服务安全检查制度

安全检查制度总则2安全管理制度2文件管理控制2机构要求2法律责任3信息安全组织3人员安全管理4安全岗位管理6关键岗位人员6安全培训管理7人员离岗管理7访问控制管理8访问管理制度8权限分配8特权管理9权限检查9网络与操作安全10网络与主机系统的安全10备份10审计安全11应用安全11安全评估12用户管理12违法有害信息防范和处置13破坏性程序防范14个人电子信息保护15技术措施15个人信息泄露事件的处理15投诉15投诉制度16投诉渠道16分包商16基本要求17安全事件管理17安全事件管理制度18应急预案1818突发公共事件处理技术接口1919权限检查每月进行管理员账户审查清理，关闭离职管理员账号及时收回不需要管理的账号

3.处罚措施

1.密码设置不安全的，部门安全教育

2.管理员账户丢失的，当月绩效-20分

3.赋予特权的账户，记住、忘记、更改密码的当月绩效为C

4.超越权限，或者私自变更权限的，情节严重者将进行辞退网络与操作安全网络与主机系统的安全适用范围全体员工为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行制定本制度

1.员工电脑的安全防御IT部门每月进行员工电脑病毒扫描记录使用异常的电脑报告给信息中心信息中心根据情况后，制定更安全的预防办法

2.网络安全防御使用硬件防火墙屏蔽不需要的端口更改常用端口号定期更换登录密码监控服务器网络情况备份

3.备份类型完全备份对备份的内容全体备份增量备份仅备份相对于上一次备份后新增加和修改过的数据差异备份仅备份相对于上一次完全备份之后新增加和修改过的数据按需备份仅备份应用系统需要的部分数据

4..备份管理每月进行所有数据库异地备份备份哇嘎包括虚脱所有关键数据包括操作系统软件备份数据设置管理标识进行存档审计安全

5.安全管理相关标准:iso IEC27000COSO COBITITIL NISTSP

8006.行为分析:人工记录与分析利用程序记录行为和分析

7.安全审计类型通过日志应用系统及数据库进行日志采集，将数据发送到信息安全小组，进行审计记录，进行数据备份，分析然后生成报告开启上网行为管理器，对员工的上网行为监控，可达到安全漏洞，合法，非法的操作机房服务器利用防火墙和主机IDS/IPS的安全审计功能进行漏洞扫描有效控制服务器安全

8.审计日志内容用户的注册信息，用户登录信息，IP用户发布内容

9.审计日志保存时间系统日志信息保存12个月用户发布内容日志时间保存36个月

10.处罚标准员工电脑不当求使用电脑,导致中毒的对重要文件丢失的罚款500元机房管理员不按要求进行数据备份的，当月绩效扣10分安全审计日志保存不按要求的，信息安全小组将在年终报告点名提出并罚款1000JWO应用安全安全评估适用范围:技术部

1.

1.功能上线评估制度产品书面申请描述新功能的具体作用及展现模块新功能说明书需提交部门负责人签字确认估算新功能的开发成本，确定开发环节根据会议最终决定新功能是否开发，并制定开发计划表，进行开发进度跟踪用户管理

1.用户申请，注销，权限申请申请人提交账户申请流程部门领导确认进行审批，审批通过后系统管理人员创建账号做好账号分级权限设置

2.账户的管理系统管理员记录用户申请，停用，变更情况定期修改登录密码，不得将账户，密码泄露给他人用户账户出现不明登录地点时，应及时报告，和修改密码登记账户使用人，

3.用户审核注册用户需要登记身份证信息，上传有限证件用户的头像，备注进行审核用户资质验证

4.违法处理措施对用户设置黑名单机制，用户举报网站巡检内容审核发现发送大量违法信息该用户自动加入黑名单禁止该账户使用违法有害信息防范和处置

1.有害信息的防范:对委托发布信息的单位和个人进行登记并存档检查，杜绝隐含不法言论内容出现使用的电脑没有病毒，上传完毕信息后及时关闭后台对所有用户输入而且有可能显示给其他用户的信息进行内容检测和严格过滤对于用户涉及财产，风险投资相关的操作，必须开具相关的资产证明

2.有害信息的监控用户的大额交易必须由后台提供审核对所有上网行为进行监控，增加摄像头，监控用户的行为设立及时报警机制，一旦发生违法行为，保留现场证据，立马报警采用人工或自动化方式，对发布的信息逐条审核技术措施过滤违法有害信息技术措施对有害信息源实施控制，防止继续传播

3.7X24h信息巡查:人工信息寻查利用机器对关键字进行巡查用户发布的信息审查机制

4.对违法信息的处置涉嫌违法犯罪线索、异常情况报告给信息安全小组安全小组根据制度进行处理对于犯罪的提交给公安机关进行处理，破坏性程序防范检查用户发布的软件是否是计算机病毒等恶意代码员工电脑安装360杀毒软件计算机系统及时打上最新补丁对重要文件做好及时备份，以便破坏及时恢复个人电子信息保护技术措施每月开展员工信息安全培训，做到时刻树立安全保护意识搜集，使用用户的个人信息，应遵守法律，行政法规的有关归定通过加密手段进行用户信息保存建立数据分类使用，数据安全开发规范来管理个人信息个人信息泄露事件的处理

1.网络安全事件应急预案安全事件发送时立即报告给信息安全小组组长根据信息安全规章通知组员进行预案处置通知相关部门情节严重的通知公安机关

2.泄露事件处理当发现个人电子信息泄露事件后，立即采取补救措施，O关闭相应漏洞防止信息继续泄露通过与全量用户发送通知短信提醒修改密码投诉投诉制度

1.目的为了规范公司投诉事件的处理程序，使得投诉事件能够得到及时公正合理的解决，提升公司对外形象，特制定本制度

2.适用范E本制度适用于公司所有的投诉事件

3.客户投诉管理部门是处理客户、员工投诉的责任部门，对客户、员工投诉的事件具有调查、取证、做出判定和处罚的权利

4.投诉受理人职责受理人收到员工通过电话或直接到投诉部门的投诉，必须做好详细登记负责责任归属判定和事件汇总、汇报负责事件回复、追踪投诉电话的接听及案件的登记投诉案件的责任归属判定协助有关部门处理投诉案件及追踪处理结果负责对投诉事件的处理结果的回访投诉渠道

1.投诉类型电话投诉传真投诉电子邮件投诉网上留言上门投诉处罚标准:客户投诉需要在30分钟之内给出答复对投诉的问题延迟处理，托延的不对问题解决情况，回访的按照公司《奖惩管理制度》进行执行分包商基本要求为进一步规范公司分包商管理，吸收、整合外部优势资源，充分发挥竞争功效，打造一支资质合规、诚实守信、规模适度、共赢发展、具有相当抗风险能力和履约实力的分包商队伍，满足公司需求，促进企业长期可持续健康发展，特制定本管理办法

1.分包商选用签订合同进行资质，履行能力审核活得分包商资格»承揽任务2竞争原则分包进行招标进行资质审核择优选择

3.分包商分类广告承包A后台系统技术支持

4.处罚措施:分包商应按照国家法律，法规进行项目内容分包，一旦发现违规行为，公司立即与其解除合同，违法犯罪的将移交公安机关安全事件管理安全事件管理制度减少公司安全事件发生，保障平台安全运行适用范围

2.全体员工公司应对信息安全中心实施24小时值班制度，并时刻监控公司各网络核心设备服务每日需记录值班情况，若发现异常情况，立即向安全应急小组和有关部门报告制定安全事件应对处置计划书，组织人员学习并进行安全事件演练事件得到确认后，应立即报告有关领导，若有违法事件，需移交公安机关处理应急预案公司应成紧急故障处理小组系统突发故障后，应立即通知相关领导应急小组及时恢复系统，并确保正常运行应急处理结束后应将故障分析报告，汇报给公司CTO突发公共事件处理4突发事件等级I级（特别重大）n级（重大）in级（较大）IV级（一般）

5.处置机制I级应投入安全管理等部门80%甚至全部人力开展处置工II级应投入安全管理等部门50%-80%的人力开展处置HI级应投入安全管理等部门30%-50%的人力开展处置工作;IV级应投入安全管理等部门30%的人力开展处置工作

6.处置过程主要领导要立即赶赴现场，指挥快速掌握情况，及时制定措施，协调相关负责人处置技术接口为配合公安机关工作公司平台依法提以下接口用户注册接口API公共查询接口适用类型接口户认证接口安全检查制度总则为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全安全管理制度文件管理控制

1.使用范围适用公司所有内部文件和外部文件

2.文件分为四个等级一级文件质量手册二级文件公司资质文件三级文件部门管理制度，技术文档，检验标准等四级文件公告，合同等

3.文件管理一级文件和二级文件管控权限归总经办，行政人事部负责存档三四级文件由相关部门负责，管控选项归总经办部门管理制度，通知，公告文件由行政人事部门负责

4.文件编码:根据规定内容进行编码并且编码是唯一的如:2017年制定的APP充电手册,JSB-2017-APP-Vlo

5.文件的借阅:使用要在0A上填写文件申请表审批.通过审批去相关部门领用

6.文件归档整理检查公司每季度进行文件的整理、归档记录的检查如发现有异常现象，体惩罚到相关责任人

7.惩罚的标准一二级文件惩罚标准，当月绩效-10分，视情况承担相关责任三四级文件惩罚标准，当月绩效-5分,进行部门内处罚机构要求法律责任L使用范围:公司全体员工

2.法律责任支持法务部担任公司的法律服务支持为公司提供相应的法律援助

3.法律提供适用事项:采购合同销售合同设备租赁合同场地使用合同

4.审核流程:在0A上提交流程给法务部进行审核法务部进行审核审核通过后才能与其进行合同签订合同审核不合格的，需要重新与第三方公司协议后，再进行提交

5.惩罚标准如未进行合同审核流程的私自与第三方公司签订合同的公司将进行辞退处理如有违法，将移交公安机关信息安全组织

1.信息安全组织架构信息安全组长

2.信息安全管理小组职责:信息安全组长负责公司的总体安全规划，工作正常进行信息安全管理员协调组长进行工作，并带领安全负责人负责公司网络，系统，项目上线安全风险评估信息安全专员配合公安机关工作，并将计算机，系统漏洞报告通知给全体员工

3.信息安全工作开展:安全小组每月对公司平台和员工计算机系统进行安全漏洞扫描发现线上出现BUG,或者安全漏提交给开发团队开发团队接收到漏洞信息，和BUG进行修复处理修复完成之后进行第二次扫描每月进行安全漏洞的讨论事项减少再次发生

4.处罚措施因个人原因造成计算机网络瘫痪的，将交由行政部门视情节进行处罚多次出现开发漏洞，多次相同的BUG,当月绩效论不及格处理个人原因计算机中毒，并传播给员工的，造成不可逆的后果，公司将进行辞退人员安全管理安全岗位管理L使用范E适用公司所有在职员工

2.等级划分一级岗位安全主办人二级岗位主要负责人三级级岗位安全责任人

3.岗位安全管理制定安全总体的规划网络安全应急策略记录系统安全事项信息安全分析报告

4.岗位安全职责并做好成员的行为观察任务记录，督促成员有效的开展安全工作组织制定并实施安全事故应急救援预案关键岗位人员L人员信息审核计算机专业工作三年以上具备专科以上学历

2.专业考核信息安全岗位人员上岗前，调查其工作背景，是否符合公司其职位安全技术岗位工作人员进行其相关专业知识的考核，确保有岗位必须的能力

3.签订协议公司信息保密协议，安全管理协议员工离职协议安全培训管理

1.员工培训总体规划安全小组根据年度工作计划作出安排不少于20个课时的安全教育培训完成布置的学习安排，并将完成表交由行政部门

2.培训内容公司计算机软件安装的限制岗位知识培训对不良网页浏览的限制计算机安全使用规范上网安全意思，识别含有病毒的网站

3.培训结果验收:利用公司电脑发布虚假等有害信息制造和传播计算机病毒人事部门每天不定时进行随机检查访问无关网站，将在全公司进行通报处理人员离岗管理员工在0A上申请离职流程提交部门主管审批通过IT人员进行员工相关账户关闭.离职人员进行保密教育离岗人员如发生泄露公司机密的，需承担相应的法律责任惩罚措施不遵守公司安全管理规范的对安全培训不重视的部门负责人需对其进行安全教育学习故意制作、传播计算机病毒等破坏性程序的，违反法律规定，利用互联网侵犯用户的通信自由和通信秘密交由公安机关处理访问控制管理访问管理制度使用范围:全体员工权限分配用户申请上网登录用户部门责任人核实身份用户提交到IT责任人系统管理员和普通权限

1.访问控制控制从外部对网络的访问拒绝任何类型的未授权的外部访问使用防火墙

2.访问记录管理访问监控系统日志日志保存特权管理为了适当地管理网络系统、操作系统和应用系统，IT负责人在各部门管理者协商的基础上，可以任命特权管理员并授权他们拥有在需要的时候更改系统配置的特权在选择特权管理员时，IT负责人和各部门管理者必须仔细审查他们的能力和资质;特权管理员的数量必须处于最低限度特权管理员的用户账户和密码管理特权管理员的用户账户和密码必须进行比一般用户更加严格的管理，详细的要求参见《文件管理制定》的规定外部相关方访问组织信息资产时，IT责任人作为该外部相关方的管理者必须保证采取适当的访问控制

1.使用步骤制定系统管理员和普通员工账户分配表各部门员工通过0A申请相应权限

2.管理员审核选择特权管理员时，必须审查他们的能力和资质特权管理员口令比一般用户更加严格特权管理员数量处于最低限度。