根据《中华人民共和国计算机信息系统安全保护条例(国务院)》、《中华人民共和国计算机信息网络国际联网管理暂行规定(国务院)》、《计算机信息网络国际联网安全保护管理办法(公安部)》等规定,沃秀信息技术(福州)有限公司将认真开展网络与信息安全工作,明确安全责任,建立健全管理制度,落实技术防范措施,保证必要的经费和条件,充分保护用户的个人隐私、保障用户信息安全。
一、原则
充分发挥和有效利用沃秀信息技术(福州)有限公司的信息资源,保障沃秀智慧工会平台的正常运行,对网络信息进行及时、有效、规范的管理。
尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和相关服务条款以及其他公布的准则规定的情况下,未经用户授权不得随意公布和泄露用户个人身份信息。
二、要求
(一)内容要求
1、在沃秀智慧工会平台服务器上提供的信息,不得危害国家安全、泄露国家秘密;不得有害社会稳定、治安和有伤风化。
(二)人员要求
1、本公司各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息引起的任何法律责任;
2、各部门指定专人担任信息管理员,负责沃秀智慧工会平台信息发布工作,禁止用户将其帐号、密码转让或借予他人使用;因密码泄密给沃秀智慧工会平台及本公司带来的不利影响由泄密人承担全部责任,并追究该部门负责人的管理责任;
3、信息管理员不得随意篡改后台操作记录。
4、定期对相关人员进行网络信息安全培训并进行考核,使信息管理员充分认识到网络安全的重要性,严格遵守相应规章制度。
(三)信息保密要求
1、不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、商标、著作权、商业秘密或其他专属权利之内容加以上载、粘贴。
2、所有信息及时备份,并按规定将系统运行日志和用户使用日志记录保存6月以上,未经审核不得删除;
3、严格遵循部门负责制的原则,明确责任人的职责,细化工作流程,沃秀智慧工会平台相关信息按照编辑上传→初审→终审通过的审核程序发布,切实保障网络信息的有效性、真实性、合法性;
4、遵守对沃秀智慧工会平台服务信息监视、保存、清除和备份的制度,经常开展网络有害信息的排查清理工作,对涉嫌违法犯罪的信息及时报告并协助公安机关查处。
三、用户信息安全管理内容
1、对用户的个人信息严格保密(包括但不限于用户姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等),并承诺未经用户授权,不得编辑或透露其个人信息及保存在沃秀智慧工会平台中的非公开内容。
2、用户应当严格遵守用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
四、用户信息安全管理流程规范
(一)用户信息收集
用户个人信息的收集行为必须满足以下要求:
1、用户个人信息收集前,应通过用户协议、隐私政策、网站公示等渠道向被收集的个人信息主体公示本机构收集的目的、范围、方法和手段、处理方式等信息;
2、对用户个人信息的收集应获得其同意和授权,针对用户协议、隐私政策等与用户签订的协议需得到用户的勾选和确认;
3、个人信息的收集应严格执行收集前签署的用户协议、隐私政策等协议,不应有超范围收集的现象;
4、应确保收集个人信息过程的安全性:
(1) 收集个人信息之前, 应有对被收集人进行身份认证的机制,该身份认证机制应具有相应安全性;
(2)收集个人信息时,信息在传输过程中应进行加密等保护处理;
(3)收集个人信息的系统应落实网络安全等级保护要求;
(4)收集个人信息时应有对收集内容进行安全检测和过滤的机制,防止非法内容提交。
(二)用户信息保存要求
1、收集到的个人信息应采取相应的安全加密存储等安全措施进行处理;
2、保存的个人信息根据收集、使用目的、被收集人授权设置保存6个月的时限;
3、应对保存的个人信息在超出设置的时限后予以删除;
4、保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔, 并使用不少于以下一种备份手段:
(1) 具有本地数据备份功能;
(2)将备份介质进行场外存放;
(3)具有异地数据备份功能。
(三)用户信息应用要求
1、对个人信息的应用, 应符合与个人信息主体签署的用户协议及隐私政策,不应超范围应用个人信息。经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。
2、个人信息主体应拥有控制本人信息的权限,包括:
(1)通过沃秀智慧工会平台,允许对本人信息的访问;
(2)允许用户对本人信息的修改,包括纠正不准确和不完整的数据;
3、应对个人信息的接触者设置相应的访问控制措施,包括:
(1)对被授权访问个人信息数据的工作人员按照最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;
(2)对个人信息的重要操作需要通过内部信息修改审批流程,如批量修改、拷贝、下载等;
(3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批, 并对这种行为进行记录。
4、应对必须要通过界面展示的个人信息进行去标识化的处理。
(四)用户信息删除
1、个人信息相关存储设备,应在个人信息超过保存时限之后进行删除;
2、个人信息相关存储设备,将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复;
3、对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;
4、废弃存储设备,应在进行删除后再进行处理。
(五)共享和转让要求
1、共享和转让行为应经过合法性、必要性评估;
2、在对个人信息进行共享和转让时应进行安全影响评估,应对受让方的数据安全能力进行评估,并按照评估结果采取有效的保护个人信息主体的措施;
3、在共享、转让前应向个人信息主体告知转让该信息的目的、数据接收方的类型等信息;
4、在共享、转让前应得到个人信息主体的授权同意;
5、应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;
6、在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等。
(六)公开披露
1、公开披露行为应经过合法性、必要性评估;
2、应对该行为进行安全影响评估,并按照评估结果采取有效的保护个人信息主体的措施;
3、在披露前应向个人信息主体告知披露的目的、类型等;
4、在公开披露前应得到个人信息主体的明示同意;
5、应记录公开披露的信息内容,将公开披露情况中包括公开披露的日期、数据量、目的和数据接收方的基本情况在内的信息进行记录。
(七)应急处置
1、应建立健全网络安全风险评估和应急工作机制;
2、应制定网络安全事件应急预案;
3、应定期组织相关个人信息事件安全事件演练;
4、应制定相关制度信息,在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制;
5、应对进行个人信息处理的相关内部人员进行应急响应培训和应急演练;
6、应了解知晓应急处置策略和规程;
7、应记录信息安全事件信息,在应急事件发生后对事件内容进行记录,包括发现事件的人员、事件、涉及的个人信息和人数、发生事件的系统名称等;
8、应对事件造成的影响进行评估,并采取必要的措施对事态进行控制;
9、应将事件的情况告知受影响的个人信息主体。
各部门应严格执行本规章制度,并形成规范化管理,并成立由各部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。