信息安全管理規(guī)范

網(wǎng)絡(luò)信息安全，是指通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

本次內(nèi)容主要從管理角度，為會(huì)員提供信息安全管理建議。

一、員工安全意識(shí)教育

1、內(nèi)部員工安全意識(shí)教育，在內(nèi)部進(jìn)行宣講，強(qiáng)調(diào)網(wǎng)絡(luò)安全的重要性；保管好客戶的賬號(hào)信息、個(gè)人信息等，防止被內(nèi)部員工私自收集、泄露。

2、定期開展培訓(xùn)活動(dòng)和學(xué)習(xí)計(jì)劃，為員工進(jìn)行案例分析講解，加強(qiáng)員工的安全意識(shí)，避免被不法分子利用，造成信息安全事件；制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，明確反饋及處理流程，并定期進(jìn)行演練。

3、從自身做起抵制打擊電信詐騙黑色產(chǎn)業(yè)鏈，堅(jiān)持“正道成功”，拒絕刷單、惡意好評(píng)返現(xiàn)等非正當(dāng)途徑，建設(shè)更加安全的網(wǎng)絡(luò)環(huán)境。

二、權(quán)限安全管理

1、結(jié)合業(yè)務(wù)需要，在保證一個(gè)人對(duì)應(yīng)只使用一個(gè)賬號(hào)的前提下，僅創(chuàng)建適當(dāng)數(shù)量的子賬號(hào)。每個(gè)賬號(hào)按最小權(quán)限原則，根據(jù)使用人員的業(yè)務(wù)需要，僅分配需要使用的權(quán)限。嚴(yán)禁大量賬號(hào)同時(shí)具有查看訂單等敏感操作的權(quán)限，避免多人共用一個(gè)賬號(hào)的情況。

2、針對(duì)新入職的員工，建議為其新建專用賬號(hào)，供其熟悉業(yè)務(wù)；短期避免其接觸可操作敏感數(shù)據(jù)（訂單、售后等）的賬號(hào)；針對(duì)已離職員工，在其離職后，需立即刪除或停用其賬號(hào)及權(quán)限。

三、賬號(hào)與密碼安全管理

1、正常情況下，嚴(yán)禁以任何形式將賬號(hào)共享給內(nèi)部/外部人員。若相關(guān)人員有使用賬號(hào)需要，可結(jié)合其需求為其單獨(dú)創(chuàng)建賬號(hào)，并分配所需的權(quán)限。

2、任何情況下，嚴(yán)禁將會(huì)員后臺(tái)賬號(hào)、密碼、驗(yàn)證碼告知他人，切勿隨意點(diǎn)擊不明鏈接，更不要掃描來歷不明的二維碼。請(qǐng)會(huì)員一定要認(rèn)清，避免中招釣魚詐騙。

3、密碼設(shè)置應(yīng)具有安全性、保密性，密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。切勿使用明顯有規(guī)律性的密碼，如“123”、“abc”、“qwert”等；密碼不能包含具有特殊意義的字符串，切勿使用用戶名/生日/姓名等作為密碼的全部或一部分；密碼應(yīng)盡量同時(shí)包含大小寫字母、數(shù)字、特殊符號(hào)等。各應(yīng)用系統(tǒng)密碼應(yīng)定期進(jìn)行更換，如至少3個(gè)月更換一次密碼，降低密碼泄露的風(fēng)險(xiǎn)，如發(fā)現(xiàn)或懷疑密碼遺失或泄露應(yīng)立即修改。

4、避免因?yàn)楸憷?，將賬號(hào)及密碼存儲(chǔ)于word或文本文檔，放置于公用電腦中；應(yīng)當(dāng)定期修改賬號(hào)密碼。

四、敏感數(shù)據(jù)安全管理

1、非必要業(yè)務(wù)需求，避免經(jīng)常導(dǎo)出訂單數(shù)據(jù)，且避免將包含數(shù)據(jù)的excel等文檔直接存在辦公電腦上。對(duì)已導(dǎo)出的不需要再使用的數(shù)據(jù)，需及時(shí)刪除。

2、如有業(yè)務(wù)需要，需將攜帶敏感信息（訂單、售后）的文檔或EXCEL表格等數(shù)據(jù)傳輸至他人，需將文檔使用壓縮包加密后，再進(jìn)行發(fā)送傳輸。壓縮包使用的密碼應(yīng)盡量復(fù)雜，避免如123456…admin…等弱密碼。

3、在任何情形下，嚴(yán)禁將用戶的訂單信息，聯(lián)系方式等通過QQ群、微信群發(fā)送給物流或其他人。且內(nèi)部使用的QQ群、微信群等，需要有嚴(yán)格的加群審核與管控，避免工作人員以外的人員加群。

五、軟件安全管理

1、常用工作軟件應(yīng)從正規(guī)途徑進(jìn)行下載和更新，使用正版軟件；日常運(yùn)營(yíng)中嚴(yán)禁運(yùn)行未經(jīng)檢驗(yàn)和來歷不明的軟件，確保常用軟件從官方途徑進(jìn)行下載和更新，不使用不可信的軟件。

2、電腦軟件盡量避免使用未經(jīng)安全認(rèn)證的第三方插件、防止被不法分子通過技術(shù)手段獲取客戶信息，如有必要，請(qǐng)及時(shí)更換合作的第三方公司。

3、辦公用途的計(jì)算機(jī)未經(jīng)允許不準(zhǔn)安裝與各自業(yè)務(wù)無關(guān)的軟件、嚴(yán)禁安裝各種游戲軟件，不準(zhǔn)使用未經(jīng)查毒處理的存儲(chǔ)介質(zhì)，如光盤、U盤、軟盤、移動(dòng)硬盤等。員工禁止使用辦公電腦訪問不良網(wǎng)站。登陸后臺(tái)的電腦，嚴(yán)禁用于其他用途，不得輕易點(diǎn)擊任何人發(fā)來的不明信息或鏈接。（非.hdwjc.com作為域名結(jié)尾但宣稱為華東五金網(wǎng)網(wǎng)站的，都屬于不明鏈接）

4、應(yīng)指定專人進(jìn)行計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊的防范工作，安裝安全防護(hù)類軟件，定期進(jìn)行計(jì)算機(jī)病毒檢查和漏洞掃描，發(fā)現(xiàn)病毒和數(shù)據(jù)安全隱患等安全問題要及時(shí)處理和上報(bào)。

六、計(jì)算機(jī)設(shè)備安全管理

1、員工需使用公司提供的計(jì)算機(jī)設(shè)備（特殊情況需經(jīng)過上級(jí)審批），不得私自調(diào)換及拆卸，并保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境。禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。

2、嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。當(dāng)計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向公司報(bào)告，不允許私自處理和維修。

3、員工對(duì)所使用計(jì)算機(jī)及相關(guān)設(shè)備的安全負(fù)責(zé)，如暫時(shí)離開座位時(shí)須鎖定系統(tǒng)，移動(dòng)介質(zhì)自行安全保管。未經(jīng)許可，不得私自使用他人設(shè)備。

4、非企業(yè)技術(shù)人員對(duì)計(jì)算機(jī)設(shè)備、系統(tǒng)等進(jìn)行維護(hù)、維修時(shí)，必須由企業(yè)相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督，設(shè)備外送維修，須經(jīng)企業(yè)內(nèi)有關(guān)部門負(fù)責(zé)人審批。

七、應(yīng)急處理措施

如遇到信息安全事件如賬號(hào)被盜，信息泄露，客戶被騙等，請(qǐng)第一時(shí)間按照上述要求進(jìn)行自查，并緊急開展止損措施，包括但不限于：在24小時(shí)內(nèi)對(duì)潛在受害群體進(jìn)行安全提醒；在相應(yīng)商品/店鋪頁面增加安全提醒；對(duì)集中受影響商品進(jìn)行緊急下架等。

【參考規(guī)范條文】

根據(jù)2016年頒發(fā)的《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問題的意見》中“全面懲處關(guān)聯(lián)犯罪”的第二條：違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，竊取或者以其他方法非法獲取公民個(gè)人信息，符合刑法第二百五十三條之一規(guī)定的，以侵犯公民個(gè)人信息罪追究刑事責(zé)任。使用非法獲取的公民個(gè)人信息，實(shí)施電信網(wǎng)絡(luò)詐騙犯罪行為，構(gòu)成數(shù)罪的，應(yīng)當(dāng)依法予以并罰。

根據(jù)《刑法》第二百八十六條之一【拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪】網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：(1)致使違法信息大量傳播的；(2)致使用戶信息泄露，造成嚴(yán)重后果的；(3)致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；(4)有其他嚴(yán)重情節(jié)的。單位犯前三款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。有前兩款行為，同時(shí)構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。