1）     设立信息安全岗位，实行信息安全责任制
（1）设立专职信息安全管理领导岗位和3个信息安全管理岗位；
（2）信息安全岗位工作人员不得在其他单位兼任信息安全岗位；
（3）信息安全管理岗位人员负责本单位制作、复制、发布、批量传播的信息的初审，信息安全管理领导岗位负责信息审核和批准，信息非经审核批准不得予以发布、传播。
（4）不得制作、复制、发布、传播含有下列内容的信息：
     反对宪法所确定的基本原则的；
     危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；
     损害国家荣誉和利益的；
     煽动民族仇恨、民族歧视，破坏民族团结的；
     破坏国家宗教政策，宣扬邪教和封建迷信的；
     散布谣言，扰乱社会秩序，破坏社会稳定的；
     散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；
     侮辱或者诽谤他人，侵害他人合法权益的；
     含有法律、行政法规禁止的其他内容的。
（5）信息安全部门统一规划、组织、协调、监督、管理和实施内外部网络安全，具体职责如下：
     负责各种资源的安全监测、安全运行和安全管理；
     负责计算机病毒防御、黑客入侵防范和不良信息过滤；
     负责各种安全产品的正常运行、管理和维护；
     普及信息安全常识、建立相关安全制度、应急处理重大安全事件；
     负责安全规划和安全项目的研究，全面提高网络安全管理的技术和水平。
 

2）     建立并实行服务器日常维护及管理制度
（1）服务器监控：管理员经常性的监控服务器的运行状况，如发现异常情况，及时处理，并作详细记录。
（2）重要数据备份：对于数据服务器中的用户信息、重要文件和数据进行及时备份。信息天天更新备份，每周一次完全备份，备份信息应保存一个月。
（3）定期系统升级：对于windows操作系统的服务器每周做一次升级，如遇到安全问题立即升级。
 

3）     建立并实行机房值班安全制度
（1）确保线路畅通。上班后与下班前检查线路，寻找网络隐患。对在运行期间发生的主要事件记录在案。按时定期对设备进行检修。每月的最后一个工作日对所有设备进行测试，并填写报告。
（2）及时、准确、无误地填写运行记录。出现事故尽快处理，马上填写故障记录。当自己不能解决或不能立即解决时，及时与安全主管联系，并保持与其他值班人员的联系，在己方线路或设备出现故障时，尽快查明原因，及时处理，并填写故障记录。
（3）负担整个网络的性能管理任务。对网络性能进行动态监测，并要有详细的记录及统计分析。必要时把网络性能记录以图表形式打印出来。
（4）注意网络运行安全，对网络异常现象进行反应。利用路由器等安全系统控制网络非法侵入。
（5）保证机房的供电及室内空气的温度、湿度正常。注意UPS的工作情况。注意网络设备安全，加强防火，防盗及防止他人破坏的工作。注意临走时门窗关好，锁紧。禁止在机房内吸烟。禁止无关人员进入机房。值班人员不得随意离开。
（6）完成网络设备的安装，调试。并对安装，测试过程中的主要事件，做到有据可查。
（7）主动监测网络，随时发现问题，及时查清故障点，并主动与相关主管和部门联系。
 

4）     建立并实行防火墙等软件更新制度
（1）防火墙软件的使用与更新：
     采用诺顿企业级防火墙；
     及时更新防火墙
（2）坚持使用正确、安全的软件及软件操作流程，从细节保障系统安全。
 

5）    建立应急处理流程
（1）清点数字资产，确定每项资产应受多大程度的保护
（2）明确界定资源的合理使用，明确规定系统的使用规范，比如谁可以拥有网络的远程访问权，在访问之前须采取哪些安全措施。
（3）控制系统的访问权限，公司在允许一些人访问系统的同时，必须阻止另外一些人进入。网络防火墙、验证和授权系统、加密技术都为了保证信息安全。同时采用监视工具和入侵探测工具来查询公司网络上的电脑活动，及时发现可疑行为。
（4）使用安全的软件；
（5）找出问题根源；
（6）提出解决方案并及时解决问题；
（7）加入应急知识库，预防类似事件再次发生。
 

6）    实行关键字的设立、过滤与更新规则
（1）通信平台具有信息内容的过滤功能。信息过滤包括对播放的相关短信、页面内容进行有效过滤。具体包括关键字设定、修改、查询功能，提供相应的测试端口，并具有严格的权限管理功能；对发现的有害短信及时向有关部门汇报，并从技术上予以保证，包括有害信息的内容、发现时间、发现来源；
（2）关键字的设立规则根据相关法律和互联网规定制定
（3）过滤引擎的建立：过滤引擎设定关键字、日志管理、报警的管理。管理控制中心显示详细的有害信息(有害信息的发送方、接受方、内容、时间)，并截断该短消息。
（4）对不良信息和事件的发生进行记录，并储存，以备后需。
 

7）    建立并实行信息储存与查阅制度
（1）信息采集：信息资料的来源渠道必须正规，不能侵犯他人版权，杜绝政治性和常识性的错误；信息采集的内容要广泛、真实、可靠、健康，要有时效性，有使用价值。
（2）信息审核：信息采集人员要杜绝信息资源格式不规范、措辞不严谨等问题出现，减少或避免初审失误；切实做到“三密”信息不失密、不上网；重大的信息、来源不清的信息、披露性信息要报经信息审核主管终审后才能发布
（3）信息的发布更新：限时更新的信息要及时采集、整理，经审核后尽快发布。要确保及时、准确无误；各自分工的任务，如不能按规定时限及时更新的，将追究有关人员责任。
（4）信息的存储：对采集的各种信息进行科学分类，以文本格式存放在统一的文件中；建立信息的汇总渠道，开辟专用空间存放归集信息，方便保存与查找；数据的备份参见“数据备份与冗余”
（5）信息查阅制度：根据信息的重要性和保密级别的不同，实行区别对待，对涉秘信息、重要数据的查询需向相关主管人员申请并报总负责人审批。
 

8）    投诉流程与方式，处理结构

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

信息安全重在管理，而安全管理又贯穿在整个网络的运行之中。为此，首先抓好组织机构建设。在原来的基础上，建立健全了公司计算机安全监察领导小组，并建立了决策层、管理层、执行层的三级计算机安全组织机构。从而将安全工作落实到各个部门，做到分工明细，责任明确。从组织上、技术上切实保障了计算机信息系统的安全运行。

 

在此基础上，公司制定了完善的安全管理方案，涵盖安全风险管理、物理安全管理、逻辑安全管理和日常安全管理等各方面。通过各级安全组织机构，全面抓好制度的落实，真正做到事事有人管，事事管理有规章。

 

其中安全风险管理是通过对全网、特别是关键资产的周期性风险计算，合理分配资源，为安全控制的范围、类型和力度等提供决策参考；物理安全管理主要体现在针对物理基础设施、物理设备和物理访问的控制中，主要通过机房物理安全来体现; 逻辑安全管理则是从技术层面建立诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度，进一步保障网络的安全性；日常安全管理则偏重于日常安全审计以及安全事件响应的内容。

 

定期对高层管理人员进行信息安全意识和技术培训，及时组织信息安全员参加信息安全知识技术讲座；并通过多种宣传手段增强各级部门的安全意识。为跟踪最新的安全技术和了解更多的安全产品，

 

1)     信息安全专员负责本网络的安全保护管理工作，建立健全安全保护管理制度

2)     落实安全保护技术措施，保障本网络的运行安全和信息安全

3)     负责对本网络用户的 和培训

4)     对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照信息发布审核制度进行审核

5)     社区、ＢＢＳ等实现２４小时值班，并将信息安全责任落实到人，各分公司和各网站均有专人负责信息安全工作

6)     完善信息安全事件快速处理机制，缩短信息安全事件处理时间和环节，将不良影响降到最低

7)     明确信息安全工作重点，日常信息安全工作重点为容易发生信息安全事件的栏目，如社区、ＢＢＳ、留言簿和邮件等

8)     采用技术手段检测和保障信息安全。通过采用如关键字过滤、防垃圾邮件等技术手段来杜绝有害信息

9)     通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台