建立安全崗位管理(lǐ)制度，明(míng)确主辦人(rén)、主要負責人(rén)、安全責任人(rén)的(de)職責：崗位管理(lǐ)制度應包括保密管理(lǐ)；

1) 關鍵崗位人(rén)員(yuán)任用(yòng)之前的(de)背景核查應按照(zhào)相關法律、法規、道德規範和(hé)對(duì)應的(de)業務要求來(lái)執行，包括：

2) 應與關鍵崗位人(rén)員(yuán)簽訂保密協議(yì)。

建立安全培訓制度，定期對(duì)所有工作人(rén)員(yuán)進行信息安全培訓，提高(gāo)全員(yuán)的(de)信息安全意識，包括：

1) 上崗前的(de)培訓；

2) 安全制度及其修訂後的(de)培訓；

3) 法律、法規的(de)發展保持同步的(de)繼續培訓；

4) 人(rén)員(yuán)離崗。應嚴格規範人(rén)員(yuán)離崗過程。

建立包括物(wù)理(lǐ)的(de)和(hé)邏輯的(de)系統訪問權限管理(lǐ)制度。

按以下(xià)原則根據人(rén)員(yuán)職責分(fēn)配不同的(de)訪問權限：

1) 角色分(fēn)離，如訪問請求、訪問授權、訪問管理(lǐ)；

2) 未經明(míng)确允許，則一律禁止。

1) 标識出每個(gè)系統或程序的(de)特殊權限；

2) 按照(zhào)按需使用(yòng)六“一事一議(yì)”的(de)原則分(fēn)配特殊權限；

3) 記錄特殊權限的(de)授權與使用(yòng)過程；

4) 特殊訪問權限的(de)分(fēn)配需要管理(lǐ)層的(de)批準。

注：特殊權限是系統超級用(yòng)戶、數據庫管理(lǐ)等系統管理(lǐ)權限。

定期對(duì)訪問權限進行檢查，對(duì)特殊訪問權限的(de)授權情況應在更頻(pín)繁的(de)時(shí)間間隔内進行檢查，如發現不恰當的(de)權限設置，應及時(shí)予以調整。

應維護使用(yòng)的(de)網絡與主機系統的(de)安全，包括：

1) 公司實施計算(suàn)機病毒等惡意代碼的(de)預防．、檢測和(hé)系統被破壞後的(de)恢複措施；

2) 實施7*24h網絡入侵行爲的(de)預防、檢測與響應措施；

3) 對(duì)重要文件的(de)完整性進行檢測，并具備文件完整性受到破壞後的(de)恢複措施；

4) 對(duì)系統的(de)脆弱性進行評估，并采取适當的(de)措施處理(lǐ)相關的(de)風險。注：系統脆弱性評估包括采用(yòng)安全掃描、滲透測試等多(duō)種方式。

1) 應建立備份策略，有足夠的(de)備份設施，确保必要的(de)信息和(hé)軟件在災難或介質故障時(shí)可(kě)以恢複；

2) 網絡基礎服務（登錄、消息發布等）應具備容災能力；

1) 應記錄用(yòng)戶活動、異常情況、故障和(hé)安全事件的(de)日志；

2) 審計日志内容應包括：

3) 應确保審計日志内容的(de)可(kě)溯源性，即可(kě)追溯到真實的(de)用(yòng)戶ID、網絡地址和(hé)協議(yì)。電子郵件、短信息、網絡電話(huà)、即時(shí)消息、網絡聊天等網絡消息服務提供者應能防範僞造、 隐匿發送者真實标記的(de)消息的(de)措施；涉及地址轉換技術的(de)服務，如移動上網、網絡代理(lǐ)、内容分(fēn)發等應審計轉換前後的(de)地址與端口信息；涉及短網址服務的(de)，應審計原始URL與短URL之間的(de)映射關系。

4) 應保護審計日志，保證無法單獨中斷審計進程，防止删除、修改或覆蓋審計日志。

5) 應能夠根據公安機關要求留存具備指定信息訪問日志的(de)留存功能。 審計日志保存周期

1) 向用(yòng)戶宣傳法律法規，應在用(yòng)戶注冊時(shí)．與用(yòng)戶簽訂服務協議(yì)，告知相關權利義務及需承擔的(de)法律責任；

2) 建立用(yòng)戶管理(lǐ)制度，包括：

3) 當用(yòng)戶利用(yòng)互聯網從事的(de)服務需要行政許可(kě)時(shí)，應查驗其合法資質，查驗可(kě)以通(tōng)過以下(xià)方法進行：

1) 公司采取管理(lǐ)與技術措施，及時(shí)發現和(hé)停止違法有害信息發布；

2) 公司采用(yòng)人(rén)工或自動化(huà)方式，對(duì)發布的(de)信息逐條審核，采取技術措施過濾違法有害信息，包括且不限于：

3) 應采取技術措施對(duì)違法有害信息的(de)來(lái)源實施控制，防止繼續傳播。

注：違法有害信息來(lái)源控制技術措施包括但不限于：封禁特定帳号、禁止新建帳号、禁止分(fēn)享、禁止留言及回複、控制特定發布來(lái)源、控制特定地區(qū)或指定甲帳号登陸、禁止客戶端推送、切斷與第三方應用(yòng)的(de)互聯互通(tōng)等。

4) 公司建立7 * 24h信息巡查制度，及時(shí)發現并處置違法有害信息；

5) 建立涉嫌違法犯罪線索、異常情況報告、安全提示和(hé)案件調查配合制度，包括：

6) 與公安機關建立7 * 24h違法有害信息快(kuài)速處置工作機制，有明(míng)确URL的(de)單條違法有害信息和(hé)特定文本、圖片、視頻(pín)、鏈接等信息的(de)源頭及分(fēn)享中的(de)任何一個(gè)環節應能再5min 之内删除，相關的(de)屏蔽過濾措施應在10min内生效。

1) 實施破壞性程序的(de)發現和(hé)停止發布措施、并保留發現的(de)破壞性程序的(de)相關證據；

2) 對(duì)軟件下(xià)載服務提供者（包括應用(yòng)軟件商店(diàn)），檢查用(yòng)戶發布的(de)軟件是否是計算(suàn)機病毒等惡意代碼。

公司建立覆蓋個(gè)人(rén)電子信息處理(lǐ)的(de)各個(gè)環節的(de)安全保護制度和(hé)技術措施，防止個(gè)人(rén)電子信息洩露、損毀、丢失，包括：

a、采用(yòng)加密方式保存用(yòng)戶密碼等重要信息；

b、審計内部員(yuán)工對(duì)涉及個(gè)人(rén)電子信息的(de)所有操作，并對(duì)審計進行分(fēn)析，預防内部員(yuán)工故意洩露；

c、審計個(gè)人(rén)電子信息上載、存儲或傳輸，作爲信息洩露，毀損，丢失的(de)查詢依據；

d、建立程序來(lái)控制對(duì)涉及個(gè)人(rén)電子信息的(de)系統和(hé)服務的(de)訪問權的(de)分(fēn)配。這(zhè)些程序涵蓋用(yòng)戶訪問生存周期内的(de)各個(gè)階段，從新用(yòng)戶初始注冊到不再需要訪問信息系統和(hé)服務的(de)用(yòng)戶的(de)最終撤銷；

e、公司系統的(de)安全保障技術措施覆蓋個(gè)人(rén)電子信息處理(lǐ)的(de)各個(gè)環節，防止網絡違法犯罪活動竊取信息，降低個(gè)人(rén)電子信息洩露的(de)風險。

當發現個(gè)人(rén)電子信息洩露時(shí)間後，應：立即采取補救措施，防止信息繼續洩露，并在0~24小時(shí)内告知用(yòng)戶，根據用(yòng)戶初始注冊信息重新激活賬戶，避免造成更大(dà)的(de)損失立即告屬地公安機關

1) 建立安全事件的(de)監測、報告和(hé)應急處置制度，确保快(kuài)速有效和(hé)有序地響應安全事件；

2) 安全事件包括違法有害信息、危害計算(suàn)機信息系統安全的(de)異常情況及突發公共事件。

制定安全事件應急處置預案，向屬地公安機關寶貝，并定期開展應急演練。

突發公共事件分(fēn)爲四級Ⅰ級（特别重大(dà)）、I l級（重大(dà)）、Ill級（較大(dà)）、IV級（一般），互聯網交互式服務提供者應建立相應處置機制，當突發公共事件發生後，投入相應的(de)人(rén)力與技術措施開展處置工作：

1) Ⅰ級；應投入安全管理(lǐ)等部門80％甚至全部人(rén)力開展處置工作；

2) Ⅱ級：應投入安全管理(lǐ)等部門50％．80％的(de)人(rén)力開展處置工作；

3) Ⅲ級：應投入安全管理(lǐ)等部門30％．50％的(de)人(rén)力開展處置工作；

4) Ⅳ級：應投入安全管理(lǐ)等部門30％的(de)人(rén)力開展處置工作。

公司網站所設技術接口爲公安機關提供的(de)符合國家及公共安全行業标準的(de)技術接口，能确保實時(shí)，有效地提供相關證據。