我司依据电信有关法律法规制定网络与信息安全管理组织机构设置及工作职责如下:
一、网络与信息安全管理组织机构设置
(一)机构名称:河南省驰龙网络科技有限公司,机构设立时间:2020年6月16日
(二)网络与信息安全管理组织机构设置及岗位职业网络与信息安全第一责任人:党世杰 ,工作职责为:对机构内的信息安全工作负有领导责任;网络与信息安全责任人联系电话:18530677210,网络与信息安全责任人:党世杰,工作职责为:对企业内信息安全工作负有直接领导责任。
二、网络与信息安全管理机构工作职责
(一)网络与信息安全管理责任制
1、 网络安全管理制度
(1)安全责任制:由信息安全管理部负责人负责与IDC协商解决事件故障。
(2)平时积极与各相关部门保持联络并配合其相关工作,当有专项整治活动的时候安排信息安全管理部全面配合其整治工作的开展。当发生信息安全事件时,承诺5分钟内备份用户日志留存并删除有害信息。
(3)本公司现有及以后上线新业务的时候,所有项目正式上线之前按照国家政策法规和电信主管部门的要求做好信 息安全评估工作。
(4)建立专门的网络安全保障团队,开展安全事件的监测和应急处置。 按照相关规定认真开展安全评估和漏洞修补工作,部署网络安全防护系 统等相关工作。
(5)发生网络安全事故时,立即报告并采取妥善措施, 避免危害信息的扩散。
(6)履行对所有网站会员发布的信息进行审查,根据实际情况釆取 监视、记录、限制、删除等措施。
(7)对不服从管理或拒不执行的违法案件处置的人员,将直接辞退处理。
2、 落实好新技术新业务的信息安全评估工作我司网站在上线前已经进行了新技术新业务的信息安全评诂工作。由信息安全管理部安排技术人员和测试人员对新技术新业务 信息安全进行评诂,评估结果由做最后确认审核通过后系统才正式上线。
(二)有害信息发现受理处置机制和投诉机制我司根据互联网信息服务管理办法(国务院 令第292号)第十五条规定,建立的企业内部有害信息发现受理处置机制。
1、有害信息检测、发现及受理工作制度:有害信息发现可以通过技术手段方式、人工审核 方式、客户投诉方式、电信主管部门通知方式获得。
(1)技术手段方式:本公司采用有害 信息发现过滤系统的关键字过滤功能自动过滤非法内容,以及自动记录发布内容的的相关
信息(如:帐户、时间、源IP地址、发布的内容);
(2)人工审核方式:每天3次登陆 业务系统检查发布内容记录;
(3)客户投诉方式:建立举报平台,举报方式有电话和邮件, 通过用户投诉/举报的内容进行详细检査;
(4)电信主管部门通知方式:根据电信主管部反馈有害信息内容对业务系统页面、留言板、互动平台进行审査是否包含有害信息。发现有害信息后的处置流程:
①及时取证:一旦发现有害信息,立即保存包括 信息全部内容及有关来源网址的信息,同时停止该信息在网页的显示,5分钟内删除完。
②消除有害信息:及时清除所发现的有害信息,以免进一步传播,并保留有害信息始发者的 会员号、登陆IP和有害信息内容截图,5分钟内删除完毕。
③及时报告:(1)一般有害信息,应每周形成总结报告,向信息安全管理部负责人报告并保护相关资料,并在后续工作中加强预防和补强工作,5分钟内完成。(2)发现重大有害信息,需要立即通知信息安全管理部负责人,并立即删除有害信息,做好有害信息内容、发布人ID、发 布人的上网IP等,5分钟内完成。(3)有害信息处置后需要立印上报安全处,12小时内完成。
(三)个人用户信息保护措施我司己经制定适合本公司的《用户个人信息保护制度》,确定各部门、各岗位在用户个人信息安全管理的责任,以及须共同選守的规章制度。保证用户信息不被非法使用。其中,主要内容包括:
1、对公司各级人员实行严格的操作人员权限管理,信息安全管理部负责监管个人用户的信息,由信息安全管理部负责统一管理内部操作人员权限,针对内部操作人员的用户名、密码,由系统强制要求定期每月更换一次,严禁操作人员泄漏自己口令。
2、我司把网站和用户个人重要信息存储在境内,并根据《网络安全法》实行用户注册实名制,用户注册时必须绑定个人身份证和实名制手机号,若用户异地登陆,需对用户身份进行验证方可登陆。
3、信息安全管理部负责人对用户信息的批量备份、销毁信息实行审査,如发现有公司任何人员泄露、损坏、更改用户信息或其他损个人用户利益的事件发生,将追究其责任,并给予相应处罚, 情况严重的,将给予降职或开除处罚。
4、信息安全管理部每天对个人用户日志进行排査,以确保信息的准确性、安 全性。对于用户信息通过DES、MD5和RSA加密技术进行加密保护。
5、强制实行个人用户 信息存储半年以上,在公共信息服务中发现、停止传输违法信息,并保留相关记录。定期 记录并留存用户使用的互联网网络地址和内部网络地址对应关系;记录并留存用户登录和 退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;记录并留存 用户注册信息,通过日志留存设备检查是否能将单位用户身份信息、计算机终端内网IP地 址、MAC地址和上网所用账号进行有效绑定,并查看该对应关系数据库(表),并任意找 一个上网用户和其所使用的计算机终端,检査其对应关系是否准确。
6、信息安全管理部 负责及时修复系统漏洞,每周查杀一次病毒,对所有个人用户信息都及时备份,进一步确 保个人用户信息的安全。
7、涉及个人用户信息,公司采用严格的用户登录认证,防止恶意 登录。
8、按照要求定期每月开展一次信息安全评估工作。信息安全管理 部负责个人用户信息安全事件的监测工作,以防随时可能发生的个人用户信息安全事件。 建立专门的网络安全保障团队,开展安全事件的监测和应急处置,并与其他相关部门建立工作机制,及时报告和处置安全事件。
网络与信息安全管理人员配备情况及相应资质:
1.公司成立网络与信息安全领导小组,是网络与信息安全的最高决策机构,下设办公室,负责网络信息安全领导小组的日常事务。
2.网络信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包 括:根据国家和行业有关网络与信息安全的政策、法律和法规,批准公司信息安全总体策略 规划、管理规范和技术标准;确定公司网络与信息安全各有关部门工作职责,指导、监督网 络与信息安全工作。
3.网络与信息安全领导小组下设三个工作组:
(1)信息安全部负责人,分管信息安全工作:
1、 负责信息安全管理,制定信息安全标准及相关指引和流程;
2、 负责网堵安全防御系统的建设、维护与管理;
3、 负责信息系统安全风险评估并持续跟踪管理:
4、 负责安全事件的实时响应、处理及调査取证;
5、 负责自动化安全工具的开发、測试和规则模型优化等工作:
6、 跟踪分析国内外安全动态,研究安全攻击、防御及测试技术。
(2)网络安全部负责人,分管网络安全工作:
1、分析网络现状,对网络系统进行安全评估和安全加固,设计安全的网络解决方案:
2、 在出现网络攻击或安全事件时,提高服务,布助用户恢夏系统及调査取证:
3、 针对客户网络架构,建议合理的网络安全解决方案;
4、 负责协调解决方案的客户化实施、部署与开发,推定解决方案上线;
5、 负责协调公司冋络安全项目的售前和售后支持。
(3)运维部负责人,运维部主要工作职责:
1.贯彻执行维护规程、规章制度、管理办法、技术标准和质量标准,完成通信质觉指标和通信任务。
2 .负责本县区所有基站机房设备的维护和故障处理。
2. 负责本县区所有村庄的测试工作,对每个自然村的覆盖情况了如指掌。
3. 负责上报工程(网优工程和建设工程),同时做好工程随工和验收工作。
5. 负责对所有机房进行巡视,随时掌握设备的运行6.负责对所有机房进行巡视,随时掌握 设备的运行状况,及时、准确、完整、如实地填写各类资料和原始记录。