网络信息安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
本次内容主要从管理角度,为会员提供信息安全管理建议。
一、员工安全意识教育
1、内部员工安全意识教育,在内部进行宣讲,强调网络安全的重要性;保管好客户的账号信息、个人信息等,防止被内部员工私自收集、泄露。
2、定期开展培训活动和学习计划,为员工进行案例分析讲解,加强员工的安全意识,避免被不法分子利用,造成信息安全事件;制定网络安全事件应急预案,明确反馈及处理流程,并定期进行演练。
3、从自身做起抵制打击电信诈骗黑色产业链,坚持“正道成功”,拒绝刷单、恶意好评返现等非正当途径,建设更加安全的网络环境。
二、权限安全管理
1、结合业务需要,在保证一个人对应只使用一个账号的前提下,仅创建适当数量的子账号。每个账号按最小权限原则,根据使用人员的业务需要,仅分配需要使用的权限。严禁大量账号同时具有查看订单等敏感操作的权限,避免多人共用一个账号的情况。
2、针对新入职的员工,建议为其新建专用账号,供其熟悉业务;短期避免其接触可操作敏感数据(订单、售后等)的账号;针对已离职员工,在其离职后,需立即删除或停用其账号及权限。
三、账号与密码安全管理
1、正常情况下,严禁以任何形式将账号共享给内部/外部人员。若相关人员有使用账号需要,可结合其需求为其单独创建账号,并分配所需的权限。
2、任何情况下,严禁将会员后台账号、密码、验证码告知他人,切勿随意点击不明链接,更不要扫描来历不明的二维码。请会员一定要认清,避免中招钓鱼诈骗。
3、密码设置应具有安全性、保密性,密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。切勿使用明显有规律性的密码,如“123”、“abc”、“qwert”等;密码不能包含具有特殊意义的字符串,切勿使用用户名/生日/姓名等作为密码的全部或一部分;密码应尽量同时包含大小写字母、数字、特殊符号等。各应用系统密码应定期进行更换,如至少3个月更换一次密码,降低密码泄露的风险,如发现或怀疑密码遗失或泄露应立即修改。
4、避免因为便利,将账号及密码存储于word或文本文档,放置于公用电脑中;应当定期修改账号密码。
四、敏感数据安全管理
1、非必要业务需求,避免经常导出订单数据,且避免将包含数据的excel等文档直接存在办公电脑上。对已导出的不需要再使用的数据,需及时删除。
2、如有业务需要,需将携带敏感信息(订单、售后)的文档或EXCEL表格等数据传输至他人,需将文档使用压缩包加密后,再进行发送传输。压缩包使用的密码应尽量复杂,避免如123456…admin…等弱密码。
3、在任何情形下,严禁将用户的订单信息,联系方式等通过QQ群、微信群发送给物流或其他人。且内部使用的QQ群、微信群等,需要有严格的加群审核与管控,避免工作人员以外的人员加群。
五、软件安全管理
1、常用工作软件应从正规途径进行下载和更新,使用正版软件;日常运营中严禁运行未经检验和来历不明的软件,确保常用软件从官方途径进行下载和更新,不使用不可信的软件。
2、电脑软件尽量避免使用未经安全认证的第三方插件、防止被不法分子通过技术手段获取客户信息,如有必要,请及时更换合作的第三方公司。
3、办公用途的计算机未经允许不准安装与各自业务无关的软件、严禁安装各种游戏软件,不准使用未经查毒处理的存储介质,如光盘、U盘、软盘、移动硬盘等。员工禁止使用办公电脑访问不良网站。登陆后台的电脑,严禁用于其他用途,不得轻易点击任何人发来的不明信息或链接。(非.hdwjc.com作为域名结尾但宣称为华东五金网网站的,都属于不明链接)
4、应指定专人进行计算机病毒和网络攻击的防范工作,安装安全防护类软件,定期进行计算机病毒检查和漏洞扫描,发现病毒和数据安全隐患等安全问题要及时处理和上报。
六、计算机设备安全管理
1、员工需使用公司提供的计算机设备(特殊情况需经过上级审批),不得私自调换及拆卸,并保持清洁、安全、良好的计算机设备工作环境。禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。当计算机出现故障时应及时向公司报告,不允许私自处理和维修。
3、员工对所使用计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人设备。
4、非企业技术人员对计算机设备、系统等进行维护、维修时,必须由企业相关技术人员现场全程监督,设备外送维修,须经企业内有关部门负责人审批。
七、应急处理措施
如遇到信息安全事件如账号被盗,信息泄露,客户被骗等,请第一时间按照上述要求进行自查,并紧急开展止损措施,包括但不限于:在24小时内对潜在受害群体进行安全提醒;在相应商品/店铺页面增加安全提醒;对集中受影响商品进行紧急下架等。
【参考规范条文】
根据2016年颁发的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》中“全面惩处关联犯罪”的第二条:违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。
根据《刑法》第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(1)致使违法信息大量传播的;(2)致使用户信息泄露,造成严重后果的;(3)致使刑事案件证据灭失,情节严重的;(4)有其他严重情节的。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。