信息安全管理規范

網絡信息安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

本次內容主要從管理角度，為會員提供信息安全管理建議。

一、員工安全意識教育

1、內部員工安全意識教育，在內部進行宣講，強調網絡安全的重要性；保管好客戶的賬號信息、個人信息等，防止被內部員工私自收集、泄露。

2、定期開展培訓活動和學習計劃，為員工進行案例分析講解，加強員工的安全意識，避免被不法分子利用，造成信息安全事件；制定網絡安全事件應急預案，明確反饋及處理流程，并定期進行演練。

3、從自身做起抵制打擊電信詐騙黑色產業鏈，堅持“正道成功”，拒絕刷單、惡意好評返現等非正當途徑，建設更加安全的網絡環境。

二、權限安全管理

1、結合業務需要，在保證一個人對應只使用一個賬號的前提下，僅創建適當數量的子賬號。每個賬號按最小權限原則，根據使用人員的業務需要，僅分配需要使用的權限。嚴禁大量賬號同時具有查看訂單等敏感操作的權限，避免多人共用一個賬號的情況。

2、針對新入職的員工，建議為其新建專用賬號，供其熟悉業務；短期避免其接觸可操作敏感數據（訂單、售后等）的賬號；針對已離職員工，在其離職后，需立即刪除或停用其賬號及權限。

三、賬號與密碼安全管理

1、正常情況下，嚴禁以任何形式將賬號共享給內部/外部人員。若相關人員有使用賬號需要，可結合其需求為其單獨創建賬號，并分配所需的權限。

2、任何情況下，嚴禁將會員后臺賬號、密碼、驗證碼告知他人，切勿隨意點擊不明鏈接，更不要掃描來歷不明的二維碼。請會員一定要認清，避免中招釣魚詐騙。

3、密碼設置應具有安全性、保密性，密碼是保護系統和數據安全的控制代碼，也是保護用戶自身權益的控制代碼。切勿使用明顯有規律性的密碼，如“123”、“abc”、“qwert”等；密碼不能包含具有特殊意義的字符串，切勿使用用戶名/生日/姓名等作為密碼的全部或一部分；密碼應盡量同時包含大小寫字母、數字、特殊符號等。各應用系統密碼應定期進行更換，如至少3個月更換一次密碼，降低密碼泄露的風險，如發現或懷疑密碼遺失或泄露應立即修改。

4、避免因為便利，將賬號及密碼存儲于word或文本文檔，放置于公用電腦中；應當定期修改賬號密碼。

四、敏感數據安全管理

1、非必要業務需求，避免經常導出訂單數據，且避免將包含數據的excel等文檔直接存在辦公電腦上。對已導出的不需要再使用的數據，需及時刪除。

2、如有業務需要，需將攜帶敏感信息（訂單、售后）的文檔或EXCEL表格等數據傳輸至他人，需將文檔使用壓縮包加密后，再進行發送傳輸。壓縮包使用的密碼應盡量復雜，避免如123456…admin…等弱密碼。

3、在任何情形下，嚴禁將用戶的訂單信息，聯系方式等通過QQ群、微信群發送給物流或其他人。且內部使用的QQ群、微信群等，需要有嚴格的加群審核與管控，避免工作人員以外的人員加群。

五、軟件安全管理

1、常用工作軟件應從正規途徑進行下載和更新，使用正版軟件；日常運營中嚴禁運行未經檢驗和來歷不明的軟件，確保常用軟件從官方途徑進行下載和更新，不使用不可信的軟件。

2、電腦軟件盡量避免使用未經安全認證的第三方插件、防止被不法分子通過技術手段獲取客戶信息，如有必要，請及時更換合作的第三方公司。

3、辦公用途的計算機未經允許不準安裝與各自業務無關的軟件、嚴禁安裝各種游戲軟件，不準使用未經查毒處理的存儲介質，如光盤、U盤、軟盤、移動硬盤等。員工禁止使用辦公電腦訪問不良網站。登陸后臺的電腦，嚴禁用于其他用途，不得輕易點擊任何人發來的不明信息或鏈接。（非.hdwjc.com作為域名結尾但宣稱為華東五金網網站的，都屬于不明鏈接）

4、應指定專人進行計算機病毒和網絡攻擊的防范工作，安裝安全防護類軟件，定期進行計算機病毒檢查和漏洞掃描，發現病毒和數據安全隱患等安全問題要及時處理和上報。

六、計算機設備安全管理

1、員工需使用公司提供的計算機設備（特殊情況需經過上級審批），不得私自調換及拆卸，并保持清潔、安全、良好的計算機設備工作環境。禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。

2、嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。當計算機出現故障時應及時向公司報告，不允許私自處理和維修。

3、員工對所使用計算機及相關設備的安全負責，如暫時離開座位時須鎖定系統，移動介質自行安全保管。未經許可，不得私自使用他人設備。

4、非企業技術人員對計算機設備、系統等進行維護、維修時，必須由企業相關技術人員現場全程監督，設備外送維修，須經企業內有關部門負責人審批。

七、應急處理措施

如遇到信息安全事件如賬號被盜，信息泄露，客戶被騙等，請第一時間按照上述要求進行自查，并緊急開展止損措施，包括但不限于：在24小時內對潛在受害群體進行安全提醒；在相應商品/店鋪頁面增加安全提醒；對集中受影響商品進行緊急下架等。

【參考規范條文】

根據2016年頒發的《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》中“全面懲處關聯犯罪”的第二條：違反國家有關規定，向他人出售或者提供公民個人信息，竊取或者以其他方法非法獲取公民個人信息，符合刑法第二百五十三條之一規定的，以侵犯公民個人信息罪追究刑事責任。使用非法獲取的公民個人信息，實施電信網絡詐騙犯罪行為，構成數罪的，應當依法予以并罰。

根據《刑法》第二百八十六條之一【拒不履行信息網絡安全管理義務罪】網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：(1)致使違法信息大量傳播的；(2)致使用戶信息泄露，造成嚴重后果的；(3)致使刑事案件證據滅失，情節嚴重的；(4)有其他嚴重情節的。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。