員工崗位法律風險手冊-網絡信息安全管理

《員工崗位法律風險手冊-網絡信息安全管理》由會員分享，可在線閱讀，更多相關《員工崗位法律風險手冊-網絡信息安全管理（21頁珍藏版）》請在讀根文庫上搜索。

1、1員工崗位法律風險手冊網絡信息安全管理內部資料 注意保密2 內 容一二三四必須知道的法律法規本崗位的主要職責可能引發的法律風險需要關注的法律條文內部資料 注意保密31、貫徹集團公司、信產部、公安部對于公司的信息安全要求，落實國家、部委和集團公司對北京公司的安全要求；2、負責公司網絡和信息安全整體規劃、技術方案審核和信息安全考核工作；3、參與網絡與信息安全相關設備和系統的技術評定；4、負責協調和監督各部門的信息安全工作；5、負責網絡與信息安全工作的應急處理；6、負責公司信息安全體系的建設和維護工作；7、負責組織落實公司網絡與信息安全各項工作；8、負責公司級安全日志的日常審計；9、負責檢查部門網絡

2、信息安全體系的落實情況；10、組織、配合、協調各部門間的網絡生產工作；11、完成上級交辦的其他臨時性工作。網絡信息安全管理崗位：主要職責根據公司2007版崗位說明書內部資料 注意保密4案例一：程某某盜竊xx北京公司充值卡案案情簡介：2005年3月，UT斯達康（中國）有限公司深圳分公司原職員程某某在?？谟霉九浒l的電腦上網，經由西藏移動公司路由器，登錄北京移動公司主機（SMP）進入北京移動公司充值中心（VC），取得最高權限，進入數據庫侯取出充值卡密碼，通過互聯網賣給劉某某、尚某某等人，盜取充值卡面值共計人民幣410萬余元，實際賣出人民幣390萬余元，獲利人民幣380萬余元。處理結果：被告人程某某

3、犯盜竊罪，判處有期徒刑十二年，剝奪政治權力二年，并處罰金人民幣五萬元；追繳非法獲利人民幣377.5萬元。內部資料 注意保密5風險提示：這個案例提醒我們在處理類似問題應尤其注意信息安全管理不當風險之“缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源的未經授權的訪問，非法修改系統數據”除此之外，還有如下風險都是我們應該重點關注的，包括1、未對被訪問信息作記錄，如：訪問者、訪問時間2、對添加、修改、刪除用戶未經過管理層授權，離職員工賬號未及時在系統中刪除，導致對系統及數據未經授權或不適當訪問3、對系統或數據非法和不適當的訪問不能被及時發現4、系統的權限分配與業務部門授權確定的職責分工要求不符5、

4、未對內部網絡進行有效的網絡攻擊防范，如：硬件防范、軟件防范內部資料 注意保密6這些風險一旦觸發，將可能給我公司帶來這些損失：法律后果：可能導致侵犯用戶的隱私權或者我方權利被侵害而不能及時發現。內部資料 注意保密7面對這些信息安全管理不當風險，我們應該如何防范呢？1、加強敏感信息接觸權限控制，保留訪問記錄。2、加強日常監控，發現異常訪問的情況及時阻斷。內部資料 注意保密8案例二：張某違法泄露客戶信息案案情簡介：張某事發前為北京公司客戶服務中心亦莊區域中心員工，負責電腦維修及日常維護工作。從2008年初至2008年10月，張某通過多次試探發現自身賬號擁有超越崗位職責的客戶密碼修改權限，僅僅出于為朋

5、友幫忙的目的，利用當時北京公司CRM系統修改客戶密碼不需要驗證舊密碼的安全漏洞，修改了百余名客戶的服務密碼，將所獲取的客戶資料和通話信息無償提供給患病急需用錢的朋友，后者將其出售，并經層層轉手最后落入“私家偵探”不法分子手中。后來“私家偵探”利用非法獲取的信息違法開展討債業務和婚姻調查等，并由此引發了命案。處理結果：2008年10月，張某被公安機關逮捕。2010年2月，張某因涉嫌出售、非法提供公民個人信息罪被公訴至北京市朝陽區人民法院。內部資料 注意保密9風險提示：這個案例提醒我們在處理類似問題應尤其注意客戶信息管理不當風險之“員工個人違反相關規定，利用職務之便，泄漏或非法利用客戶資料或信息”

6、除此之外，還有如下風險都是我們應該重點關注的，包括1、將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人2、未經客戶同意，將客戶私密信息納入渠道信息管理3、未及時制止社會渠道、合作商泄露客戶資料的行為4、未經客戶同意，泄漏客戶/集團客戶商業秘密5、信息查詢系統設置、屏幕擺放不合理，導致客戶信息泄漏6、未對客戶業務檔案資料進行妥善保管造成客戶資料丟失內部資料 注意保密10這些風險一旦觸發，將可能給我公司帶來這些損失：電信條例第七十一條 違反本條例的規定，有下列行為之一的，由國務院信息產業主管部門或者省、自治區、直轄市電信管理機構依據職權責令改正，沒收違法所得，處違法所

7、得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足1萬元的，處1萬元以上10萬元以下罰款；情節嚴重的，責令停業整頓：(一)在電信網間互聯中違反規定加收費用的；(二)遇有網間通信技術障礙，不采取有效措施予以消除的；(三)擅自向他人提供電信用戶使用電信網絡所傳輸信息的內容的；(四)拒不按照規定繳納電信資源使用費的。內部資料 注意保密11面對這些客戶信息管理不當風險，我們應該如何防范呢？1、嚴禁以任何理由、任何方式擅自將客戶信息對外披露、泄漏、提供第三方（不是否為合作伙伴、是否有能力自行獲得相關信息），該事項不以是否盈利為目的2、加強對員工的法制教育，尤其加強員工對“客戶信息”的保密意識。內部資料

8、 注意保密12除此之外，還有如下風險都是我們應該重點關注的，包括：網絡、信息安全管理違規風險1、未按相關規定，建立健全內部安全保障制度；2、未按相關規定采取安全技術保護措施；3、未按相關規定保護用戶的通信秘密；4、在電信網絡的設計、建設和運行中，未做到與國家安全和電信網絡安全的需求同步規劃，同步建設，同步運行；5、在公共信息服務中，發現電信網絡中傳輸的信息明顯違法的，未立即停止傳輸、保存有關記錄，并向國家有關機關報告；6、發生重大事故后，未按相關規定向相關部門報告；7、向無權或者未按法定程序進行電信內容檢查的主體提供相關信息；8、未對移動通信網絡所接入和傳輸的文字、聲音、圖像和視頻等信息進行日

9、常動態撥測和實時監測；9、制作、復制、傳播計算機病毒或者以其他方式攻擊他人電信網絡等電信設施；10、對電信網的功能或者存儲、處理、傳輸的數據和應用程序進行刪除或者修改內部資料 注意保密13這些風險一旦觸發，將可能給我公司帶來這些損失：行政責任：1、互聯網信息服務管理辦法 第二十三條違反本辦法第十六條規定的義務的，由省、自治區、直轄市電信管理機構責令改正；情節嚴重的，對經營性互聯網信息服務提供者，并由發證機關吊銷經營許可證，對非經營性互聯網信息服務提供者，并由備案機關責令關閉網站。2、計算機信息網絡國際聯網安全保護管理辦法 第二十一條有下列行為之一的，由公安機關責令限期改正，給予警告，有違法所得

10、的，沒收違法所得；在規定的限期內未改正的，對單位的主管負責人員和其他直接責任人員可以并處五千元以下的罰款，對單位可以并處一萬五千元以下的罰款；情節嚴重的，并可以給予六個月以內的停止聯網、停機整頓的處罰，必要時可以建議原發證、審批機構吊銷經營許可證或者取消聯網資格。（一）未建立安全保護管理制度的；（二）未采取安全技術保護措施的；（三）未對網絡用戶進行安全教育和培訓的；（四）未提供安全保護管理所需信息、資料及數據文件，或者所提供內容不真實的；（五）對委托其發布的信息內容未進行審核或者對委托單位和個人未進行登記的；（六）未建立電子公告系統的用戶登記和信息管理制度的；（七）未按照國家有關規定，刪除網絡

11、地址、目錄或者關閉服務器的；（八）未建立公用帳號使用登記制度的；（九）轉借、轉讓用戶帳號的。內部資料 注意保密14第二十二條違反本辦法第四條、第七條規定的，依照有關法律、法規予以處罰。第二十三條違反本辦法第十一條、第十二條規定，不履行備案職責的，由公安機關給予警告或者停機整頓不超過六個月的處罰。3、計算機病毒防治管理辦法第十八條違反本辦法第九條規定的，由公安機關處以警告，并責令其限期改正；逾期不改正的，取消其計算機病毒防治產品檢測機構的檢測資格。第十九條計算機信息系統的使用單位有下列行為之一的，由公安機關處以警告，并根據情況責令其限期改正；逾期不改正的，對單位處以一千元以下罰款，對單位直接負責

12、的主管人員和直接責任人員處以五百元以下罰款：（一）未建立本單位計算機病毒防治管理制度的；（二）未采取計算機病毒安全技術防治措施的；（三）未對本單位計算機信息系統使用人員進行計算機病毒防治教育和培訓的；（四）未及時檢測、清除計算機信息系統中的計算機病毒，對計算機信息系統造成危害的；（五）未使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品，對計算機信息系統造成危害的。內部資料 注意保密15面對這些網絡、信息安全管理違規風險，我們應該如何防范呢？1、嚴格按照相關網絡、信息安全法規、制度進行經營管理；2、依照國家法律法規、政府部門各項規章制度，建立健全內部工作制度，使其書面化，日?；?；

13、3、加大與相關行政管理部門的交流與溝通；4、設定專人管理網絡信息工作，定期檢查是否存在利用電信網絡的非法行為。內部資料 注意保密16為了防控本崗位面臨的這些法律風險，請您盡量熟悉以下法律條文：電信條例第六十條 電信業務經營者應當按照國家有關電信安全的規定，建立健全內部安全保障制度，實行安全保障責任制。第六十一條 電信業務經營者在電信網絡的設計、建設和運行中，應當做到與國家安全和電信網絡安全的需求同步規劃，同步建設，同步運行。第六十二條 在公共信息服務中，電信業務經營者發現電信網絡中傳輸的信息明顯屬于本條例第五十七條所列內容的，應當立即停止傳輸，保存有關記錄，并向國家有關機關報告。第六十六條 電

14、信用戶依法使用電信的自由和通信秘密受法律保護。除因國家安全或者追查刑事犯罪的需要，由公安機關、國家安全機關或者人民檢察院依照法律規定的程序對電信內容進行檢查外，任何組織或者個人不得以任何理由對電信內容進行檢查。電信業務經營者及其工作人員不得擅自向他人提供電信用戶使用電信網絡所傳輸信息的內容。內部資料 注意保密17互聯網信息服務管理辦法 第六條從事經營性互聯網信息服務，除應當符合中華人民共和國電信條例規定的要求外，還應當具備下列條件：（一）有業務發展計劃及相關技術方案；（二）有健全的網絡與信息安全保障措施，包括網站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度；（三）服務項目屬于本辦法

15、第五條規定范圍的，已取得有關主管部門同意的文件。第十六條互聯網信息服務提供者發現其網站傳輸的信息明顯屬于本辦法第十五條所列內容之一的，應當立即停止傳輸，保存有關記錄，并向國家有關機關報告。計算機信息系統安全保護條例 第九條計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。第十條計算機機房應當符合國家標準和國家有關規定。在計算機機房附近施工，不得危害計算機信息系統的安全。第十三條計算機信息系統的使用單位應當建立健全安全管理制度，負責本單位計算機信息系統的安全保護工作。第十四條對計算機信息系統中發生的案件，有關使用單位應當在小時內向當地縣級以上人

16、民政府公安機關報告。內部資料 注意保密18公安部計算機病毒防治管理辦法 第九條 計算機病毒防治產品檢測機構應當對提交的病毒樣本及時進行分析、確認，并將確認結果上報公安部公共信息網絡安全監察部門。第十一條 計算機信息系統的使用單位在計算機病毒防治工作中應當履行下列職責：(一)建立本單位的計算機病毒防治管理制度;(二)采取計算機病毒安全技術防治措施;(三)對本單位計算機信息系統使用人員進行計算機病毒防治教育和培訓;(四)及時檢測、清除計算機信息系統中的計算機病毒，并備有檢測、清除的記錄;(五)使用具有計算機信息系統安全專用產品銷售許可證的計算機病毒防治產品;(六)對因計算機病毒引起的計算機信息系統

17、癱瘓、程序和數據嚴重破壞等重大事故及時向公安機關報告，并保護現場。(七)按照國家有關規定，刪除本網絡中含有本辦法第五條內容的地址、目錄或者關閉服務器。內部資料 注意保密19計算機信息網絡國際聯網安全保護管理辦法 第七條 用戶的通信自由和通信秘密受法律保護。任何單位和個人不得違反法律規定，利用國際聯網侵犯用戶的通信自由和通信秘密。第十條 互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織應當履行下列安全保護職責：(一)負責本網絡的安全保護管理工作，建立健全安全保護管理制度;(二)落實安全保護技術措施，保障本網絡的運行安全和信息安全;(三)負責對本網絡用戶的安全教育和培訓;(四)對委托

18、發布信息的單位和個人進行登記，并對所提供的信息內容按照本辦法第五條進行審核;(五)建立計算機信息網絡電子公告系統的用戶登記和信息管理制度;(六)發現有本辦法第四條、第五條、第六條、第七條所列情形之一的，應當保留有關原始記錄，并在二十四小時內向當地公安機關報告;(七)按照國家有關規定，刪除本網絡中含有本辦法第五條內容的地址、目錄或者關閉服務器。內部資料 注意保密20電信服務規范第七條電信業務經營者應建立健全服務質量管理體系，并按規定的時間、內容和方式向電信管理機構報告，同時向社會通報本企業服務質量狀況。發生重大通信阻斷時，電信業務經營者應當按規定的要求和時限向電信管理機構報告。在事故處理過程中，

19、電信業務經營者應對所有與事故有關的數據進行采集、記錄和保存，相關數據和書面記錄至少保存六個月。中華人民共和國憲法第四十條 中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。內部資料 注意保密21您還可以登錄以下地址了解相關法律法規：http:/10.4.41.71/claw/或者登錄：公司KM首頁法律事務管理系統北大法寶法律查詢系統 1、電信條例2、互聯網信息服務管理辦法3、計算機信息系統安全保護條例4、計算機信息網絡國際聯網安全保護管理辦法5、公安部計算機病毒防治管理辦法6、電信服務規范7、中華人民共和國憲法8、刑法修正案