3、产品经营人员负责管理和使用平台类账号,负责公司数据安制度的执行;
4、技术岗位人员负责管理和使用平台类、公众号类及技术类账号,负责公司数据安制度的执行;
5、管理岗位人员为本部门涉及的所有账户账号密码使用管理和数据安全的第一责任人;
6、其他岗位人员,对于使用过的账户信息情况须及时报备数据库管理员并配合做好数据保密工作。
(四)账户信息
(五)账户管理
1.平台类账户,统一由数据库管理员整体管理,建立密码使用台账,员工使用平台账号密码须登记使用起始时间、使用人及用途,使用完毕后数据库管理员应及时更改密码并记录(如平台为单一使用人或单一部门专事专用,可自行管理账户密码,密码变更及时报备即可);
2.公众号类账户,管理员账户由数据库管理员保管,日常使用人员分配运营账户(二级账户)并登记;
3.技术类账户,为了保障技术人员的日常使用,不影响日常工作的效率,原则上实行一人一组一用户规则,如一段时期内因工作原因需要频繁登录root账户,可在数据库管理员处报备使用人及使用时间区间,使用完毕后数据库管理员应及时更换密码。
(六)数据安全要求
1.因工作原因接触到公司不可对外发布的数据,公司保密数据的,不得私自下载、留存、交易;
2.因工作原因需要远程登录服务器数据库,需自行在云平台开启远程端口,使用完毕后,必须及时关闭远程端口;
3.在产品设计、功能设计、三方合作上,规定与设计防止用户信息泄漏的处理逻辑,包括用户信息保密、账号权限管理、下载机制、三方接口传输等基于数据安全的设计,不得私自下载、留存、交易;
4.因程序测试、更新、维护等工作需要接触到公司数据安全信息的,不得下载、留存、交易,因程序漏洞造成的用户信息泄漏,公司将追究相关责任;
5.数据维护工作涉及到数据的迁移、数据的拆分、数据的补全、无效数据的删除等工作时,数据维护人员不得利用工作便利私自下载、留存数据,且必须在技术管理负责人在场的情况下进行数据维护工作;
6.因公司发展需要对外开展的商业合作,在技术对接上以加密接口形式进行合作,在用户主观意愿同意下方可向合作伙伴传输用户信息;以外链形式合作的业务,应出现醒目的提示信息,在用户不知情的情况下,不可向合作方推送用户信息。
(七)安全操作规范
1.数据库须配置自动备份机制,增量备份加全库备份形式,数据库管理员须定期查看备份方案是否正常运行;
2.数据库硬件须根据实际容量配置磁盘阵列,RAID5或RAID10以上;
3.所有数据的使用传输一律通过平台账户权限加密形式,不得使用U盘、手机、平板等物理介质存储,不得用QQ、微信、钉钉等软件的聊天窗口传输。
五、网络事件的应急处理
1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
应立即联系技术人员进行维修处理。
2、公司内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
应根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,第一时间上报公司主管领导。
随后以书面形式,将安全事件详情、要求整改内容及时汇报领导。
3、出现网络安全事故后,当事人应立即联系数据库管理员,进行紧急处置,确保网络畅通与信息安全,事件处置过程中要及时掌握损失情况,查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。
如果涉及人为故意破坏应积极配合公安机关开展调查。
4.追究相关责任。
根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
