.. . .. . ..
4)群组成员列表。 c)用户登录信息,包括:
1)用户唯一标识;2)登录时间;3)退出时间;4)IP地址及端口号。 d)用户信息发布日志,包括: 1)用户唯一标识; 2)信息标识; 3)信息发布时间; 4)IP地址及端口号;
5)信息标题或摘要,包括图片摘要。 e)用户行为,包括:1)进出群组或频道; 2)修改、删除所发信息; 3)上传、下载文件。
5.3.3应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL与短URL之间的映射关系。
5.3.4应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。
5.3.5应能够根据公安机关要求留存具备指定信息访问日志的留存功能。 审计日志保存周期
a)应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群
. 专业学习资料 .
.. . .. . ..
组)注册信息、成员列表以及历史变更记录;
b)系统维护日志信息保存12个月以上; c)应留存用户日志信息12个月以上; d)对用户发布的信息内容保存6个月以上; e)已下线的系统的日志保存周期也应符合以上规定。
6应用安全
6.1用户管理
6.1.1向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的法律责任。
6.1.2建立用户管理制度,包括:
a)用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用户登记的真实身份,如:1)身份证与姓名实名验证服务:2)有效的银行卡:3)合法、有效的数字证书:4)已确认真实身份的网络服务的注册用户:5)经电信运营商接入实名认证的用户。(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。)
b)应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:
c)建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。
6.1.3当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通
. 专业学习资料 .
.. . .. . ..
过以下方法进行:a)核对行政许可文件:b)通过行政许可主管部门的公开信息:c)通过行政许可主管部门的验证电话、验证平台。
6.2违法有害信息防范和处置
6.2.1公司采取管理与技术措施,及时发现和停止违法有害信息发布。 6.2.2公司采用人工或自动化方式,对发布的信息逐条审核。
采取技术措施过滤违法有害信息,包括且不限于:a)基于关键词的文字信息屏蔽过滤;b)基于样本数据特征值的文件屏蔽过滤;c)基于URL的屏蔽过滤。
6.2.3应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
6.2.4公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。
6.2.5建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括: a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告
b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作
6.2.6与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min之内删除,相关的屏蔽过滤措施应在10min内生效。
. 专业学习资料 .
.. . .. . ..
6.3破坏性程序防范
6.3.1实施破坏性程序的发现和停止发布措施、并保留发现的破坏性程序的相关证据。 6.3.2对软件下载服务提供者(包括应用软件商店),检查用户发布的软件是否是计算机病毒等恶意代码。
7个人电子信息保护
7.1信息保护原则
7.1.1制定明确、清楚的个人电子信息处置规则,并且在显著位置予以公示。在用户注册时,在与用户签订服务协议中明示收集与使用个人电子信息的目的、范围与方式。
7.1.2仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个人电子信息时,取得用户的明确授权同意;公司在将个人电子信息交给第三方处理时,处理方符合本制度标准的要求,并取得用户明确授权同意;法律、行政法规另有规定的,从其规定。
7.1.3公司在修改个人电子信息处理时,应告知用户,并取得其同意。
7.2技术措施
公司建立覆盖个人电子信息处理的各个环节的安全保护制度和技术措施,防止个人电子信息泄露、损毁、丢失,包括:
a)采用加密方式保存用户密码等重要信息
b)审计内部员工对涉及个人电子信息的所有操作,并对审计进行分析,预防内部员工故意泄露
c)审计个人电子信息上载、存储或传输,作为信息泄露,毁损,丢失的查询依据
. 专业学习资料 .
.. . .. . ..
d)建立程序来控制对涉及个人电子信息的系统和服务的访问权的分配。这些程序涵盖用户访问生存周期内的各个阶段,从新用户初始注册到不再需要访问信息系统和服务的用户的最终撤销
e)系统的安全保障技术措施覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险
7.3个人信息泄露事件的处理
a)当发现个人电子信息泄露时间后,应: b)立即采取补救措施,防止信息继续泄露
c)24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失立即告属地公安机关
8安全事件管理
8.1安全时间管理制度
8.1.1建立安全事件的监测、报告和应急处置制度,确保快速有效和有序地响应安全事件.
8.1.2安全事件包括违法有害信息、危害计算机信息系统安全的异常情况及突发公共事件。
8.2应急预案
制定安全事件应急处置预案,向属地公安机关报备,并定期开展应急演练。
. 专业学习资料 .
.. . .. . ..
8.3突发公共事件处理
突发公共事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般),互联网交互式服务提供者应建立相应处置机制,当突发公共事件发生后,投入相应的人力与技术措施开展处置工作:
a)I级:应投入安全管理等部门80%甚至全部人力开展处置工作; b)II级:应投入安全管理等部门50%-80%的人力开展处置工作; c)III级:应投入安全管理等部门30%-50%的人力开展处置工作; d)IV级:应投入安全管理等部门30%的人力开展处置工作。
8.4技术接口
公司网站所设技术接口为公安机关提供的符合国家及公共安全行业标准的技术接口,能确保实时,有效地提供相关证据。
. 专业学习资料 .
信息安全管理制度汇编
