网约车申牌配合依法查询调取相关数据信息工作制度和责任机构责任人以及联系方式.docx

1、配合依法查询、调取相关数据信息的工作制度和责任机构、责任人以及联系方式 第一章 总则 第一条 为加强科技有限公司信息技术管理和规范，完善科技有限公司治理结构，提高信息技术治理水平，特制定本管理办法。 第二条 系统安全治理是指科技有限公司在运用信息技术过程中，制定的有关系统安全决策权分配和责任承担的框架，主要包括在系统安全原则、系统安全架构、系统安全基础设施、系统安全应用和系统安全投入五个方面制定相关制度并建立有效工作机制，实现系统安全决策的责任和权力的有效分配和控制，提高系统安全资源的有效性、可用性和安全性。 第三条 系统安全治理是科技有限公司治理的重要组成部分，科技有限公

2、司通过建立有效的系统安全治理机制，持续巩固和提升系统安全能力，保持系统安全和业务目标一致，合理利用系统安全资源，有效管理系统安全风险，确保科技有限公司系统建设和运行的安全、高效、稳定，确使系统安全能力成为提升科技有限公司核心竞争力的助力点和促进科技有限公司业务发展的助推器。 第四条 本方案适用于科技有限公司所有和系统安全相关的所有活动。 第二章 公司介绍 公司名称：科技有限公司 统一社会信用代码： 住所： 类型： 注册资本： 公司法人： 经营期限自：年月日至年月日 项目负责人： 公司联系电话： 紧急联系人： 联系电话： 紧急联系人：

3、 联系电话： 国税局、地税局、人民银行联系人： 公司名称： 责任部门：财务部门 联系人： 联系电话： 紧急联系人： 联系电话： 通信部门、交通运输主管部门、公安部门联系人： 公司名称： 责任部门：信息部门 联系人： 联系电话： 第二章 组织机构和职责 第五条 科技有限公司成立计算机系统安全工作领导部门，领导部门下设办公室（设信息中心）。主要负责人是落实计算机系统安全管理制度的第一责任人。 第六条 科技有限公司计算机系统安全工作领导部门负责制定全系统安全管理的办法和规定，协调和处理全科技有限公司有关计算机系统安全的重大问题。 第

4、七条 科技有限公司信息中心负责全系统安全的监督、安全事故的侦查和处罚；负责制定本单位系统安全管理制度、技术规定、控制措施等，并检查执行情况；负责对计算机病毒感染的预防、检测和清除；负责定期维护计算机软件和数据、对重要信息定期进行检查和备份；负责制定计算机系统安全管理办法的实施细则和技术规范，并督促执行。和职教部门协同组织对计算机系统安全管理人员的培训；开展系统安全宣传教育。 第八条 科技有限公司分管信息化工作的负责人和信息技术管理人员，必须在接受专门的计算机信息安全培训后，方能从事计算机信息安全管理工作。 负责岗位 姓名 联系电话 是否为主要负责人 网络管理员 是 系统

5、管理员 是 专职安全管理员 是 平台客服 是 网络管理员职责： 1、 网络管理员负责网络的运行管理，实施网络安全策略和安全运行细则。 2、 网络管理员应制定周密的切实可靠的网络备份和应急恢复方案，防止由于网络设备系统崩溃、硬件损坏等原因而引起业务中断。重要核心网络设备必须采用“双机热备”的方式，非核心网络设备可采用一备多的“冷备”的方式。 3、 网络管理员应定期对中心机房网络设备进行巡检，监测网络设备的物理稳定性和系统稳定性，进行系统日志审计，并对系统状况及安全事件进行分析，制定相应的维护策略。 4、 网络设备发生故障，网络管理员应本着先抢通业务、后

6、排除故障的原则按照规定流程排除故障，并填写《设备故障报告表》，遇到重大故障时应及时上报领导，事后编写故障分析报告。 5、 网络管理员应负责落实、实施涉及网络设备的密码管理机制。 6、 网络设备、服务器等发生破坏案件，或遭到黑客攻击，如该案件影响到公司重要信息系统的正常运行，信息中心负责突发事件应急处置工作并在事发后二十分钟内将事件报备。 系统管理员职责： 1、 系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。 2、 对系统漏洞情况每年至少进行一次扫描，对漏洞风险持续跟踪，在经过充分的验证测试后对必要的漏洞开展修补工作，实施漏洞扫描或漏洞修补前，对可能的风险进行评

7、估和充分准备,选择恰当时间，并做好数据备份和回退方案，漏洞扫描或漏洞修补后应进行验证测试，以保证系统的正常运行，扫描后记录扫描情况，填写《系统安全扫描情况记录表》（附录1） 3、 持续跟踪厂商提供的系统升级更新情况，应在经过充分的测试评估后对必要的补丁进行及时更新，填写《系统和网络设备补丁分析评估表》（附录2），在安装系统补丁前对现有的重要文件进行备份，并对备份情况和系统升级情况进行记录，填写《系统及网络设备升级记录表》（附录3）。 4、 至少每月对运行日志和审计数据进行分析。 附录1：系统安全扫描情况记录表 系统安全扫描情况汇总表 编号：

8、 日期： 提交人 扫描日期 扫描情况 概述 设备名称 多开端口 漏洞情况 主要隐患说明 紧急风险 高风险 中风险 低风险 加固建议 附录2：系统和网络设备补丁分析评估表 系统和网络设备补丁分析评估表 编号：

9、 填表人： 日期： 补丁描述及可能影响 测试服务列表 补丁分析 补丁安装测试 跟踪测试情况 补丁安装计划 □紧急 □危险 □不危险 □不适用 说明： ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 ○ 回退测试 □紧急 □危险 □不危险 □不适用 说明： ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 ○ 回退测试 □紧急 □危险 □不危险 □不适用 说明： ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系

10、统正常 ○ 回退测试 领导审批意见： 签字： 附件3：系统及网络设备升级记录表 系统及网络设备升级记录表 编号： 填表人： 日期： 审批编号 补丁完整性、安全性校验 设备列表 数据备份 具体升级时间 验证检查 操作员 复核 跟踪监控 (签字并注明时间) ○ 已备份

11、○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 ○ 已备份 ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 ○ 已备份 ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 ○ 已备份 ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 ○ 已备份 ○ 机器重启正常 ○ 漏洞已修改 ○ 业务系统正常 专职安全管理人员职责： 1、 负责信息技术工作检查，根据科技有限公司当前信息技术现状明确检查重点，制定检查标准指导检查工作。 2、 工作检查可采取日常检查、组

12、织自查、专项检查、年度检查等方式。年度检查对象包括所有相关部门，且每年不少于一次。 3、 信息技术工作检查应遵循以下原则： （一）独立性原则：检查人员应和被检查部门保持工作和职责上的相互独立。 （二）客观公正原则：检查工作应尽量减少个人主张或判断，应在最小主观判断情形下，基于明确定义的检查方法和解释，对每个要求项进行检查。 （三）保密原则：检查人员应对在检查期间接触到被检查部门的技术、业务机密信息严格保密，不应将包含被检查部门机密信息的资料作为证明材料。 （四）审慎操作原则：防范检查操作风险，禁止在交易期间操作被检查部门在线运行的信息系统，不应在交易期间要求被检查部门进行各类系统切换

13、测试和升级操作。 4、进行现场检查时，应提前通知被检查部门，可根据需要要求被检查部门进行自查，以提高现场检查工作效率。每次检查前，检查小组应核查上次检查提出的整改意见是否落实，整改措施是否有效。 5、检查过程中应综合运用访谈、观察、检查、工具检测、审阅文档记录等检查方法，以获取充分、适当的检查数据，确保检查结果的正确性和客观性。 6、检查工作结束后，应及时撰写检查报告上报科技有限公司，根据科技有限公司批示意见对检查结果进行通报，对存在问题和安全隐患的部分下发整改意见书，要求限期完成整改工作。 平台客服工作职责： 1、 责收集客户信息，了解并分析客户需求，规划用户服务方案。 2、 负

14、责进行有效的客户管理和沟通，以检查用户关系维护的情况 3、 负责发展维护良好的用户关系，对用户反馈意见进行及时反馈。 4、 性格温和，脾气好，有耐心，不和用户争执，有强烈的责任心和团队精神，对待问题的响应速度及时。 第三章 信息安全治理原则和目标 第九条 系统安全原则是指导科技有限公司有效运用系统安全来实现科技有限公司经营目标的基本方针。根据科技有限公司经营目标，确定系统安全原则如下： 1. 满足和推动业务发展； 2. 对新应用快速实现； 3. 系统安全架构完整、统一； 4. 数据集中、信息共享； 5. 控制成本，提高工作效率； 6. 利用行业标准； 第十条 为有效开展系

15、统安全治理工作，确保科技有限公司能够利用系统安全增强核心竞争力,使科技有限公司从系统安全投入中获得更大收益。根据科技有限公司经营规划，确定系统安全治理目标如下： 1. 明确系统安全决策的权力和责任； 2. 实现技术和业务的有效匹配； 3. 实现系统安全资源的最优配置； 4. 实现系统安全风险的可管可控。 第十一条 科技有限公司制定公开、可行的系统安全治理流程，建立科技有限公司业务和系统安全之间清晰的联系框架，采取有效措施，使科技有限公司管理层和各相关部门的人员了解并认同系统安全原则和治理目标。 第十二条 信息中心根据科技有限公司发展需要组织制定系统安全规划。系统安全

16、规划应和科技有限公司发展保持一致，符合科技有限公司经营对系统安全的要求，并使技术和业务部门能正确地理解和把握公司对系统安全的要求。 第十三条 系统安全规划在有效性、可用性和安全性方面应满足行业和科技有限公司可预见的业务发展要求，应在容量、性能和安全保障方面做出规定。 第四章 系统安全措施 第十四条 不得收集、研究、编制、复制、传播计算机病毒，发现计算机病毒要及时向科技有限公司信息中心报告。 第十五条 不得在计算机及网络上制作、查阅、复制、传播或执行违反国家法律法规和科技有限公司部署有关规定、危害国家和科技有限公司安全的软件或信息。 第十六条 不得在计算

17、机及网络上制作、查阅、复制、传播或执行含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息。 第十七条 不得利用电子公告服务制作、复制和传播谩骂、侮辱或诽谤单位和个人的信息。 第十八条 涉及国家或单位机密的信息，必须采取有效的保密措施，按照有关保密规定进行采集、存储、处理、传输、使用和销毁。重要信息必须从物理上进行隔离，并根据需要进行必要的数据加密。 第十九条 对计算机机房及其它重要区域须建立出入制度。 第二十条 对关键应用系统及数据的修改和备份须建立审批制度、日志管理制度、安全审计制度、系统备份制度。 第二十一条 建立帐户、密码的管

18、理制度，严格管理操作系统、重要信息应用系统的用户口令和访问权限，建立和健全系统访问日志，保证信息共享的安全性。 第二十二条 在网络上开展电子公告服务的单位，必须对用户实行帐户管理和建立相应的信息管理制度。申请帐户需填写注册单，提供真实姓名和工作单位等资料，经一定的核实程序，方能成为电子公告服务的合法用户。 第二十三条 对服务器系统软件和个人计算机操作系统须及时进行版本升级或安装补丁程序，杜绝系统级的安全漏洞。 第二十四条 建立计算机网络病毒防治系统和计算机病毒预防、发现、报告及清除管理制度。 第二十五条 科技有限公司内部生产、财务等专用网络和单位局域网之间实现数据交换应采用适当的安全隔

19、离措施，局域网和外单位（银行、电信和政府等部门）系统和住宅区网络实现数据交换应采用严格的隔离措施。 第二十六条 科技有限公司局域网接入国际互联网必须经科技有限公司计算机信息安全工作领导小组批准方可实施，并报当地公安机关计算机安全监察部门备案。联网所采用的安全专用设备必须是经由公安部认证的产品。 第二十七条 各部门对国际互联网接入服务应记录内部用户的访问日志（包括用户、时间、访问网址和用户的网络地址）；对电子公告服务应记录发布的信息内容及其发布时间、用户及其网络地址等。记录备份应当保存60日，并在国家有关机关依法查询时予以提供。 计算机机房应符合国家标准和其它有关规定，必须有防火、防盗、防水、防静电、防雷击、防鼠害等安全措施。在计算机机房附近施工，不得危害计算机的安全。 第五章 附则 第二十八条 本方案由科技有限公司信息中心负责解释。 第二十九条 本方案自发布之日起执行。 公司盖章： 日期：2017年 月 日