網(wǎng)站等級(jí)保護(hù)管理制度

網(wǎng)站等級(jí)保護(hù)管理制度一、概述本文檔旨在規(guī)范公司網(wǎng)站的等級(jí)保護(hù)管理制度，確保公司網(wǎng)站的信息安全、網(wǎng)絡(luò)安全，減少安全事件對(duì)公司運(yùn)作和聲譽(yù)的影響。二、等級(jí)劃分公司網(wǎng)站按照信息安全保密程度、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等級(jí)進(jìn)行等級(jí)劃分，分為3個(gè)等級(jí)：1.一級(jí)等保網(wǎng)站保存重要公司資產(chǎn)和機(jī)密信息的網(wǎng)站，如涉及公司經(jīng)營管理、人事管理、財(cái)務(wù)管理、合同管理、生產(chǎn)管理等重要部門的網(wǎng)站。2.二級(jí)等保網(wǎng)站公司業(yè)務(wù)系統(tǒng)、客戶端電子商務(wù)網(wǎng)站、企業(yè)門戶網(wǎng)站等，這些網(wǎng)站不直接儲(chǔ)存公司機(jī)密信息，但對(duì)公司運(yùn)營產(chǎn)生很大影響，如運(yùn)營收入、品牌形象等。3.三級(jí)等保網(wǎng)站運(yùn)營過程中未受保護(hù)的其它網(wǎng)站。這些網(wǎng)站雖然重要性較低，但也需要加強(qiáng)保護(hù)，以避免暴露公司網(wǎng)絡(luò)安全的弱點(diǎn)，被黑客利用進(jìn)一步攻擊公司的一、二級(jí)等保網(wǎng)站。三、保護(hù)措施1.一級(jí)等保網(wǎng)站一級(jí)等保網(wǎng)站的保護(hù)措施應(yīng)包括：手機(jī)二次認(rèn)證登錄安全協(xié)議采用HTTPS敏感數(shù)據(jù)加密存儲(chǔ)支持包括SQL注入、跨站腳本攻擊在內(nèi)的多種攻擊方式防范能力網(wǎng)站日志備份2.二級(jí)等保網(wǎng)站二級(jí)等保的保護(hù)措施應(yīng)包括：采用虛擬卡號(hào)付款技術(shù)前臺(tái)數(shù)據(jù)后臺(tái)加密傳輸保證關(guān)鍵節(jié)點(diǎn)采用防火墻技術(shù)安全運(yùn)營控制日志存檔外網(wǎng)出口流量過濾3.三級(jí)等保網(wǎng)站三級(jí)等保網(wǎng)站的保護(hù)措施應(yīng)包括：WEB硬化，梳理網(wǎng)站脆弱度、安全風(fēng)險(xiǎn)及漏洞安裝殺毒軟件，規(guī)定用戶賬號(hào)使用條件及管理辦法專人修復(fù)漏洞，確保網(wǎng)站的可靠性和安全性使用CDN技術(shù)，著重保護(hù)網(wǎng)站流量和信息安全四、責(zé)任及流程1.責(zé)任分工公司管理層負(fù)責(zé)制定并推行網(wǎng)站等級(jí)保護(hù)制度。安全保密辦公室負(fù)責(zé)實(shí)施和監(jiān)督網(wǎng)站安全保護(hù)工作，定期進(jìn)行安全防護(hù)策略的檢查和評(píng)估。技術(shù)部門負(fù)責(zé)各等級(jí)網(wǎng)站的安全采取措施的技術(shù)實(shí)施和技術(shù)支持，對(duì)安全技術(shù)體系的完整性和穩(wěn)定性進(jìn)行管理工作。網(wǎng)站責(zé)任人負(fù)責(zé)網(wǎng)站的安全保護(hù)工作，定期對(duì)網(wǎng)站安全保護(hù)工作進(jìn)行評(píng)估。2.流程簡介網(wǎng)站開發(fā)前，安全保密辦公室提供安全指導(dǎo)，要求相關(guān)開發(fā)人員按安全要求進(jìn)行設(shè)計(jì)和開發(fā)。開發(fā)完畢后，技術(shù)部門對(duì)網(wǎng)站進(jìn)行安全檢查，確保不會(huì)出現(xiàn)安全漏洞。網(wǎng)站上線后，常規(guī)性進(jìn)行安全檢查，并進(jìn)行及時(shí)修復(fù)和升級(jí)。針對(duì)某些突發(fā)事件，需要隨時(shí)進(jìn)行安全事件應(yīng)急處理，安全保密辦公室會(huì)督促相關(guān)責(zé)任人迅速采取措施，防范風(fēng)險(xiǎn)。五、總結(jié)公司網(wǎng)站等級(jí)保護(hù)管理制度是公司對(duì)于網(wǎng)站安全保護(hù)的重要舉措?？茖W(xué)合理的網(wǎng)站等級(jí)劃分，嚴(yán)格