1）???? 設立信息安全崗位，實行信息安全責任制
（1）設立專職信息安全管理領導崗位和3個信息安全管理崗位；
（2）信息安全崗位工作人員不得在其他單位兼任信息安全崗位；
（3）信息安全管理崗位人員負責本單位制作、復制、發布、批量傳播的信息的初審，信息安全管理領導崗位負責信息審核和批準，信息非經審核批準不得予以發布、傳播。
（4）不得制作、復制、發布、傳播含有下列內容的信息：
???? 反對憲法所確定的基本原則的；
???? 危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的；
???? 損害國家榮譽和利益的；
???? 煽動民族仇恨、民族歧視，破壞民族團結的；
???? 破壞國家宗教政策，宣揚邪教和封建迷信的；
???? 散布謠言，擾亂社會秩序，破壞社會穩定的；
???? 散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；
???? 侮辱或者誹謗他人，侵害他人合法權益的；
???? 含有法律、行政法規禁止的其他內容的。
（5）信息安全部門統一規劃、組織、協調、監督、管理和實施內外部網絡安全，具體職責如下：
???? 負責各種資源的安全監測、安全運行和安全管理；
???? 負責計算機病毒防御、黑客入侵防范和不良信息過濾；
???? 負責各種安全產品的正常運行、管理和維護；
???? 普及信息安全常識、建立相關安全制度、應急處理重大安全事件；
???? 負責安全規劃和安全項目的研究，全面提高網絡安全管理的技術和水平。
?

2）???? 建立并實行服務器日常維護及管理制度
（1）服務器監控：管理員經常性的監控服務器的運行狀況，如發現異常情況，及時處理，并作詳細記錄。
（2）重要數據備份：對于數據服務器中的用戶信息、重要文件和數據進行及時備份。信息天天更新備份，每周一次完全備份，備份信息應保存一個月。
（3）定期系統升級：對于windows操作系統的服務器每周做一次升級，如遇到安全問題立即升級。
?

3）???? 建立并實行機房值班安全制度
（1）確保線路暢通。上班后與下班前檢查線路，尋找網絡隱患。對在運行期間發生的主要事件記錄在案。按時定期對設備進行檢修。每月的最后一個工作日對所有設備進行測試，并填寫報告。
（2）及時、準確、無誤地填寫運行記錄。出現事故盡快處理，馬上填寫故障記錄。當自己不能解決或不能立即解決時，及時與安全主管聯系，并保持與其他值班人員的聯系，在己方線路或設備出現故障時，盡快查明原因，及時處理，并填寫故障記錄。
（3）負擔整個網絡的性能管理任務。對網絡性能進行動態監測，并要有詳細的記錄及統計分析。必要時把網絡性能記錄以圖表形式打印出來。
（4）注意網絡運行安全，對網絡異常現象進行反應。利用路由器等安全系統控制網絡非法侵入。
（5）保證機房的供電及室內空氣的溫度、濕度正常。注意UPS的工作情況。注意網絡設備安全，加強防火，防盜及防止他人破壞的工作。注意臨走時門窗關好，鎖緊。禁止在機房內吸煙。禁止無關人員進入機房。值班人員不得隨意離開。
（6）完成網絡設備的安裝，調試。并對安裝，測試過程中的主要事件，做到有據可查。
（7）主動監測網絡，隨時發現問題，及時查清故障點，并主動與相關主管和部門聯系。
?

4）???? 建立并實行防火墻等軟件更新制度
（1）防火墻軟件的使用與更新：
??? ?采用諾頓企業級防火墻；
???? 及時更新防火墻
（2）堅持使用正確、安全的軟件及軟件操作流程，從細節保障系統安全。
?

5）??? 建立應急處理流程
（1）清點數字資產，確定每項資產應受多大程度的保護
（2）明確界定資源的合理使用，明確規定系統的使用規范，比如誰可以擁有網絡的遠程訪問權，在訪問之前須采取哪些安全措施。
（3）控制系統的訪問權限，公司在允許一些人訪問系統的同時，必須阻止另外一些人進入。網絡防火墻、驗證和授權系統、加密技術都為了保證信息安全。同時采用監視工具和入侵探測工具來查詢公司網絡上的電腦活動，及時發現可疑行為。
（4）使用安全的軟件；
（5）找出問題根源；
（6）提出解決方案并及時解決問題；
（7）加入應急知識庫，預防類似事件再次發生。
?

6）??? 實行關鍵字的設立、過濾與更新規則
（1）通信平臺具有信息內容的過濾功能。信息過濾包括對播放的相關短信、頁面內容進行有效過濾。具體包括關鍵字設定、修改、查詢功能，提供相應的測試端口，并具有嚴格的權限管理功能；對發現的有害短信及時向有關部門匯報，并從技術上予以保證，包括有害信息的內容、發現時間、發現來源；
（2）關鍵字的設立規則根據相關法律和互聯網規定制定
（3）過濾引擎的建立：過濾引擎設定關鍵字、日志管理、報警的管理。管理控制中心顯示詳細的有害信息(有害信息的發送方、接受方、內容、時間)，并截斷該短消息。
（4）對不良信息和事件的發生進行記錄，并儲存，以備后需。
?

7）??? 建立并實行信息儲存與查閱制度
（1）信息采集：信息資料的來源渠道必須正規，不能侵犯他人版權，杜絕政治性和常識性的錯誤；信息采集的內容要廣泛、真實、可靠、健康，要有時效性，有使用價值。
（2）信息審核：信息采集人員要杜絕信息資源格式不規范、措辭不嚴謹等問題出現，減少或避免初審失誤；切實做到“三密”信息不失密、不上網；重大的信息、來源不清的信息、披露性信息要報經信息審核主管終審后才能發布
（3）信息的發布更新：限時更新的信息要及時采集、整理，經審核后盡快發布。要確保及時、準確無誤；各自分工的任務，如不能按規定時限及時更新的，將追究有關人員責任。
（4）信息的存儲：對采集的各種信息進行科學分類，以文本格式存放在統一的文件中；建立信息的匯總渠道，開辟專用空間存放歸集信息，方便保存與查找；數據的備份參見“數據備份與冗余”
（5）信息查閱制度：根據信息的重要性和保密級別的不同，實行區別對待，對涉秘信息、重要數據的查詢需向相關主管人員申請并報總負責人審批。
?

8）??? 投訴流程與方式，處理結構

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

信息安全重在管理，而安全管理又貫穿在整個網絡的運行之中。為此，首先抓好組織機構建設。在原來的基礎上，建立健全了公司計算機安全監察領導小組，并建立了決策層、管理層、執行層的三級計算機安全組織機構。從而將安全工作落實到各個部門，做到分工明細，責任明確。從組織上、技術上切實保障了計算機信息系統的安全運行。

?

在此基礎上，公司制定了完善的安全管理方案，涵蓋安全風險管理、物理安全管理、邏輯安全管理和日常安全管理等各方面。通過各級安全組織機構，全面抓好制度的落實，真正做到事事有人管，事事管理有規章。

?

其中安全風險管理是通過對全網、特別是關鍵資產的周期性風險計算，合理分配資源，為安全控制的范圍、類型和力度等提供決策參考；物理安全管理主要體現在針對物理基礎設施、物理設備和物理訪問的控制中，主要通過機房物理安全來體現;?邏輯安全管理則是從技術層面建立諸如用戶管理、口令管理、網絡設備安全管理和主機系統安全管理的制度，進一步保障網絡的安全性；日常安全管理則偏重于日常安全審計以及安全事件響應的內容。

?

定期對高層管理人員進行信息安全意識和技術培訓，及時組織信息安全員參加信息安全知識技術講座；并通過多種宣傳手段增強各級部門的安全意識。為跟蹤最新的安全技術和了解更多的安全產品，

?

1)???? 信息安全專員負責本網絡的安全保護管理工作，建立健全安全保護管理制度

2)???? 落實安全保護技術措施，保障本網絡的運行安全和信息安全

3)???? 負責對本網絡用戶的安全教育和培訓

4)???? 對委托發布信息的單位和個人進行登記，并對所提供的信息內容按照信息發布審核制度進行審核

5)???? 社區、ＢＢＳ等實現２４小時值班，并將信息安全責任落實到人，各分公司和各網站均有專人負責信息安全工作

6)???? 完善信息安全事件快速處理機制，縮短信息安全事件處理時間和環節，將不良影響降到最低

7)???? 明確信息安全工作重點，日常信息安全工作重點為容易發生信息安全事件的欄目，如社區、ＢＢＳ、留言簿和郵件等

8)???? 采用技術手段檢測和保障信息安全。通過采用如關鍵字過濾、防垃圾郵件等技術手段來杜絕有害信息

9)???? 通過高標準的控制來強化所有安全設施、重要的服務器和通訊平臺