《企业内容自审制度》

为规范我公司网文文化产品及服务内容的企业自审工作,明确我公司开展相关工作的职责、流程、标准以及责任追究办法。根据《网络文化经营单位内容自审管理办法》的相关要求特制订本制度。

一、基本原则

1. 依照《网络文化经营单位内容自审管理办法》的有关要求制定本制度;

2. 设立专门岗位及专人承担产品内容审核工作并建立严格的审核流程制度。

二、机构设置

自即日起成立独立于各个业务部门的内容审查委员会,委员包括开发小组的董事长或主策划、客服部主管以及市场运营部总监。由公司董事长负责委员会的召集和日常运作事宜。委员会的主要任务是在产品开发过程中规范相关产品内容;在版本验收环节对可能涉及违反法律法规的内容进行自查自纠;在产品运营过程中随时检查各种营销素材、营销活动及其他内容是否有不适当的内容出现。并且一旦发现有违规情况的发生,委员会负责对相关责任人和部门进行查处惩戒。

三、日常运作

委员会每周召集一次全体会议,就公司产品开发过程中的各个环节当中的内容来源、表现方式进行集中审查和讨论,每周在公司内公布违规内容自查结果,如没有违规内容则不公布。委员会委员有义务将最近工作过程中所开发的内容对其他委员进行公开展示,并接受质询。客服部经理将针对测试过程中出现的所有可能涉及违规的内容进行通告,并要求各部门限期整改。

四、内部培训

为确保及时准确的了解国家最新有关政策法规,由委员会召集定期对内部人员进行有关法规的讲解和培训,并进行考试。覆盖对象主要是产品策划、美术及各部门负责人。

培训不定期举行,主要是针对最新出台的法规政策,以及新近升职上任的管理人员所进行。培训基本内容包括《互联网文化管理暂行规定》、《网络文化经营许可证》有关学习材料。

五、自审内容准则

网络文章及产品不得含有以下内容:

(一)违反宪法确定的基本原则的;

(二)危害国家统一、主权和领土完整的;

(三)泄露国家秘密、危害国家安全或者损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯的;

(五)宣扬邪教、迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)宣扬淫秽、色情、赌博、暴力,或者教唆犯罪的;

(八)侮辱、诽谤他人,侵害他人合法权益的;

(九)违背社会公德的;

(十)有法律、行政法规和国家规定禁止的其他内容的。

六、责任追究

1、明确内部对审核人员、开发人员及运营人员的内容审核责任追究规定。

2、对审核人员未能在审核过程中发现问题的,予以口头警告;

3、对审核人员发现问题,但开发人员拒不修改的,予以书面警告;

4、对审核人员发现问题,但开发人员修改,审核通过后自行予以回复的,予以扣除当月奖金;

5、对运营人员在运营过程中未通知审核人员,造成不良后果,而审核人员也未及时发现的,予以扣除当月奖金,累积满三次运营人员予以调离岗位,审核人员予以取消审核资格并调离岗位;

6、其他造成不良后果情形的,予以书面警告。

七、自审机构人员名单

								内容初审人员2人			
								内容复审人员1人
							

八、审核流程
       
我公司按照《网络文化经营单位内容自审管理办法》规定,建立自审管理制度,对网络文化产品及服务内容进行事前审核,网络文化产品及服务的内容审核由2名以上审核人员实施,审核人员填写审核意见并签字后,报本单位内容管理负责人复核签字。我公司通过技术手段对网站(平台)运行的产品及服务的内容进行实时监管,发现违规内容的要立即停止提供,保存有关记录,内容审核记录的保存期不少于2年,重大问题向所在地省级文化行政部门报告。
九、具体操作:
        1、设立自审信息安全小组
        2、信息安全小组负责对公司所有网络资源进行实时监控,做到及时发现、即时处理的原则办理,并对处理结果备案,对重大有害信息事件,应在第一时间上报主管领导及相关部门。
       3、信息安全小组负责界定、监控、受理有害信息事件,要做到即接快办;夜间、节假日值班期间接到、发现的,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记(如遇紧急情况,可直接关闭服务器等设备,暂停网络运行)。
       4、负责查办的相关人员接到交办的事件后,应及时安排办理,要求在最短时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明情况,可适当延长处理时间,处理结果应及时反馈给信息安全小组组长。在处理有害信息事件时,应按照处理流程,及时填写相应表单,并随处理结果报告一并存档。
       5、处理人员应对重大有害信息时间的举报人、发现人要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。
十、自审流程图

十一、《防网络沉迷》

“未成年人家长监护工程”是一项由国内网络学习企业共同发起并参与实施,由中华人民共和国文化部指导,旨在加强家长对未成年人参与网络学习的监护,引导未成年人健康、绿色参与网络学习,和谐家庭关系的社会性公益行动。它提供了一种切实可行的方法,一种家长实施监控的管道,使家长纠正部分未成年子女沉迷网络的行为成为可能。

该项社会公益行动充分反映了中国网络学习行业高度的社会责任感,对未成年玩家合法权益的关注及对用实际行动营造和谐社会的愿望。

“家长监护机制”针对目前未成年人缺乏自控及自律能力,容易陷入沉迷;少数监护人缺少时间照顾未成年人,不能及时监督未成年人观看时间的现状,而推出的一种可由家长实施监控,纠正部分未成年子女沉迷网络的保护机制。

十二、《未成年人健康提示》

随着网络在青少年中的普及,未成年人接触网络学习已经成为普遍现象。为保护未成年人健康参与,在政府进一步加强行业管理的前提下,家长也应当加强监护引导。为此,我们为未成年人参与网络学习提供以下意见:

一、主动控制观看时间。视频只是学习、生活的调剂,要积极参与线下的各类活动,并让父母了解自己在网络学习中的行为和体验。

二、不参与可能耗费较多时间的设置。充值不得超过10元。

三、不要将视频当作精神寄托。尤其在现实生活中遇到压力和挫折时,应多与家人朋友交流倾诉,不要只依靠视频来缓解压力。

四、养成积极健康心态。克服攀比、炫耀、仇恨和报复等心理,避免形成欺凌弱小、抢劫他人等不良网络行为习惯。

五、注意保护个人信息。包括个人家庭、朋友身份信息,家庭、学校、单位地址,电话号码等,防范网络陷阱和网络犯罪。

十三、家长监护服务说明:

家长监护系统充分考虑家长的实际需求,当家长发现自己的孩子过于沉迷的时候,由家长提供合法的监护人资质证明名称账号、以及家长对于限制强度的愿望等信息,可对处于孩子沉迷状态的账号采取几种限制措施,解决未成年人沉迷网络的不良现象,如限制未成年人每天玩观看的时间区间和长度,也可以限制只有节假日才可以观看,或者完全禁止。

十四、家长监护服务进度查询:

如果您已经申请家长监护服务,在服务期间,当您对需要提交的信息、处理结果有疑问,或者其他任何问题,您均可以在工作时间联系我们,我们将由专门负责的受理专员为您提供咨询解答服务,或者配合、指导您解决问题。

十五、注册、跟帖评论

根据《互联网信息服务管理办法》、《互联网电子公告服务管理规定》等相关国家法法规,结合本论坛实际情况,特制定本规定。

公司评论回复须经正式注册才能使用,发表评论。

平台注册用户才能使用评论功能。

注册用户名和昵称须执行如下规定:

1、 不得使用党和国家领导人或其他知名人士的真实姓名、字号、艺名、笔名作为用户名和昵称。

2、 不得使用国家机构或其他机构的名称作为用户名和昵称。

3、 不得使用和其他网友之名相近、相仿的用户名和昵称。

4、 不得使用不文明、不健康,或带攻击性、侮辱性的用户名和昵称。

5、 请勿使用易产生歧义、引起他人误解的用户名和昵称。

6、 不得使用各种奇形怪状的符号作为用户名和昵称。

7、 对于违反规定或产生不良后果的用户名和昵称,本站有权删除而不必事先通知。

一旦发现用户违反规定或提供虚假信息,网站有权暂停或中止该用户评论功能。

平台有权对各注册用户资料及BBS中的言论进行审查。

用户在平台发布评论须遵守如下规定,以及相关法律法规的规定。

遵守相关法规,严禁发表含有下列内容之一的信息:

1、 反对宪法所确定的基本原则的。

2、 危害国-家-安-全,泄露国家秘密,颠-覆-国-家-政-权,破坏国家统一的。

3、 损害国家荣誉和利益的。

4、 煽动民族仇恨、民族歧视,破坏民族团结的。

5、 破坏国家宗教政策,宣扬邪教和封建迷信的。

6、 散布谣言,扰乱社会秩序,破坏社会稳定的。

7、 散布淫秽、色情、赌博、暴-力、凶杀、恐怖或者教唆犯罪的。

8、 侮辱或者诽谤他人,侵害他人合法权益的。

9、 含有法律、行政法规禁止的其他内容的。

10、 使用文明用语,不得张贴对任何人进行人身攻击、谩骂、诋毁的言论。

11、 不得张贴未经公开报道、未经证实的消息。证实的权力仅限于国家的相关机构和官方媒体。个人的经历不能作为消息真实的理由。

12、 不得张贴与所在论坛主题无关的消息、言论和图片。

13、 未经论坛管-理-员同意,不得张贴带有商业性质的内容或任何形式的广告,不得张贴本论坛以外其他网站的链接。

14、 不得恶意灌水。内容相同的帖子不得一文多发。

15、 不得在帖子中(标题和内容)加入各种奇形怪状的符号。

16、 转贴文章应注明原始出处和时间。

对于违反以上规定的内容,在不需要通知和解释的情况下,管-理-员以及版主有权予以删除,并对情节严重者予以封帐号处理。

用户使用本平台提供的服务时,系统将登记其上网行为,登记项目包括:(1)上网用户名,(2)登录时间,(3)IP地址等。

平台将妥善保存用户注册资料、上网行为记录。用户注册资料在本站永久保存,上网行为记录保存60天。

平台有对用户注册资料、上网行为记录履行保密的义务。但应公安部门、法律部门等相关机构的要求,可以向其提供。

 

 

十六、技术安全

本公司对网络系统实施网络安全风险评估 ,本次风险评估通过将信息技术服务和信息安全管理现状 ,与国际标准和业界最佳实践和企业标准进行比较 ,找出二者之间差距,明确当前最突出和待改进的问题,并摸索和建立一套针对蜜蜂嗡嗡信息技术(深圳)有限公司的网络系统业务特点和信息系统运行状况的风险评估方法,将为日后信息科技服务和信息安全管理体系建设能够顺利进行而提供必要保障。 

1、管理安全评估

对安全管理制度、安全管理机构、人员安全管理、安全建设管理和安全运维管理安全域对蜜蜂嗡嗡信息技术(深圳)有限公司的网络安全管理情况进行评估。2、机房物理环境评估

以实地察看等方式对信息系统所在计算机机房、电力、温控、湿控、防火、防盗、防震、防水、防风、防雷、防电磁辐射和环境监控等进行评估。3、网络安全评估

通过人工检查的方式,对核心交换机、内网交换机、防火墙、入侵检测系统的网络安全情况进行评估。  4、设备及软件系统安全评估

以人工访谈,配置检查等方式,对蜜蜂嗡嗡信息技术(深圳)有限公司的网络系统的操作系统、数据库、中间件、网络及安全设备情况进行评估。5、业务及应用安全评估

以人工访谈、配置检查等方式,对蜜蜂嗡嗡信息技术(深圳)有限公司的网络系统的业务及应用安全情况进行评估。6、评估结果

根据电信网和互联网通信网络安全的防护管理相关标准 ,蜜蜂嗡嗡信息技术(深圳)有限公司对本公司的网络安全防护自测评工作 ,总计识别出风险10项。其中高风险 0个,中风险0个,低风险4个,极地风险6个。针对以上评估情况,我司技术人员通过修改安全配置,增加关键字过滤,对存在漏洞的页面进行修复和安全加固,现已达到了工信部的要求,符合电信网和互联网安全防护管理相关标准,具备抗风险能力,可以上线运行。应急响应

网络安全事件的应急响应流程

 

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。

 

(一)网络安全应急响应六大阶段

 

为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。应急响应PDCERF模型如图1所示。

 

 

 

(二)网络安全事件分阶段响应流程

 

1、准备阶段

 

选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具,为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘(或CD−ROM)使机器以已知的预先设定的配置重新启动,这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

 

为了防止不可预期的变化,在试验机器上安装可信任版本的系统;为了避免有意或无意的破坏,所有的介质应该处于硬件写保护状态。

 

建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。建立资源工具包并准备相关硬件设备资源工具包,包含在响应过程中可能要使用的所有工具。确保测试系统正确配置且可用在任何分析或测试中,使用被入侵的系统都可能导致这些系统进一步地暴露和损害。已被入侵的系统产生的任何结果都是不可靠的。此外,采用这样的系统或许会由于恶意程序而暴露正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中,并且部署新安装的打过补丁的安全系统,以便继续运行。在完成分析后,清除所有的磁盘,这样可以确保任何残留文件或恶意程序不影响将来的分析,或任何正在测试系统上进行的工作,或无意中被传到其他运行系统中。这在测试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果,以备将来进一步分析。

 

2、检测阶段

 

检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作,分析所有可能得到的信息来确定入侵行为的特征。

 

一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹,进一步破坏准备拯救的系统。这会使分析无法进行下去。

 

备份并“隔离”被入侵的系统,进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志,确定攻击者的入侵路径和方法,以及入侵者进入系统后都做了什么。

 

在当前缺少安全预警机制的情况下,网络安全的应急响应活动主要还是立足于事中或事后的确认,而且,即使是在事中或事后,也不一定可以发现存在的安全问题,往往都是在已经造成了破坏之后,才发生了对系统可用性、完整性和保密性造成明显破坏的行为或者有了用户投诉后才会去了解发生的安全问题。

 

一般典型的事故现象包括:

 

(1)账号被盗用;

 

(2)骚扰性的垃圾信息;

 

(3)业务服务功能失效;

 

(4)业务内容被明显篡改;

 

(5)系统崩溃、资源不足。

 

3、抑制阶段

 

抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是,一般情况下攻击包都会伪造源IP地址,在Internet这样的大型网络环境中难以确定攻击流的真正来源,因此,要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。

 

抑制采用的方式可能有多种,常见的包括:

 

(1)关掉已受害的系统;

 

(2)断开网络;

 

(3)修改防火墙或路由器的过滤规则;

 

(4)封锁或删除被攻破的登录账号;

 

(5)关闭可被攻击利用的服务功能。

 

4、根除阶段

 

根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

 

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。

 

主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。

 

被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。

 

(1)系统异常行为分析:这是在维护系统及其环境特征白板的基础上,通过与正常情况做比较,找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码。

 

(2)日志审计:日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。

 

(3)入侵监测:对于还在进行的攻击行为,入侵监测方式通过捕获并检测进出系统的数据流,利用入侵监测工具所带的攻击特征数据库,可以在事件分析过程中帮助定位攻击的类型。

 

(4)安全风险评估:无论是利用系统漏洞进行的网络攻击还是感染病毒,都会对系统造成破坏,通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。

 

但是,在实际的事件分析过程中,往往会综合采用被动和主动的事件分析方法。特别是对于在网上自动传播的攻击行为,当采用被动方式难以分析出事件根本原因的时候,采用主动方式往往会很有效。

 

最后,改变全部可能受到攻击的系统的口令、重新设置被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序(包括应用服务)和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露程度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

 

5、恢复阶段

 

恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。

 

6、跟踪阶段

 

跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

 

跟踪阶段的工作主要包括3个方面的内容。

 

(1)形成事件处理的最终报告。

 

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程。

 

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。


  地址:深圳市龙岗区园山街道大康社区山子下路2号东海科技工业园2厂房301

Copyright © 2021 蜜蜂嗡嗡信息技术(深圳)有限公司 版权所有   粤ICP备2022011616号-1 | 粤网文(2021)2118-291号