安全管理制度
文件编号:LSB-SECURITY-001
版本号:V1.0
生效日期:2026年2月
批准人:凌世彬
适用范围:本制度适用于拾光笔记(lingshibin.cn)的安全管理工作。本网站为个人运营,无公开用户注册功能,仅本人及授权用户使用。
1. 总则
1.1 目的
为规范本网站的安全管理,保障网站安全稳定运行,保护用户个人信息安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网交互式服务安全管理要求》等法律法规,制定本制度。
1.2 适用范围
本制度适用于本网站的安全管理活动,包括但不限于:
- 安全岗位管理
- 系统操作权限管理
- 安全培训管理
- 用户管理
- 新服务、新功能安全评估
- 用户投诉举报处理
- 个人电子信息安全保护
- 安全事件应急处置
1.3 安全责任人
安全责任人信息
姓名:凌世彬
身份证号:440981199109037211
联系电话:17620324183
联系邮箱:651731115@qq.com
职责:全面负责网站安全管理工作,包括安全管理制度的建立、实施与保持,新服务、新功能的风险评估与安全方案审核
2. 安全岗位管理制度
2.1 岗位设置
本网站为个人运营,仅设置安全责任人岗位,由凌世彬担任,全面负责网站安全管理工作。
2.2 岗位职责
安全责任人主要职责包括:
- 负责安全管理制度的建立、实施与保持
- 负责新服务、新功能的风险评估与安全方案审核
- 负责安全事件的监测、报告和应急处置
- 负责定期组织安全培训
- 负责配合公安机关开展安全监管工作
- 负责定期评审安全管理制度的有效性
2.3 保密管理
安全责任人应严格遵守保密规定,不得泄露:
- 网站系统架构和技术方案
- 用户个人信息和访问日志
- 安全漏洞和应急处置方案
- 其他涉及网站安全的信息
3. 系统操作权限管理制度
3.1 权限分配原则
- 最小权限原则:仅分配完成工作需要的最小权限
- 角色分离原则:不同操作由不同权限控制
- 按需授权原则:未经明确允许,一律禁止
3.2 权限管理
- 虚拟主机管理权限仅安全责任人持有
- 通过西部数码主机管理后台登录,采用账号密码 + 手机验证码双重验证
- NAS链接通过内网穿透实现,访问权限独立控制
- 定期对访问权限进行检查和调整
3.3 密码管理
- 使用强密码(至少8位,包含大小写字母、数字和特殊字符)
- 定期更换密码(建议每3个月更换一次)
- 不同系统使用不同密码
- 不得将密码告知他人或记录在易被他人获取的地方
4. 安全培训制度
4.1 培训要求
安全责任人应定期参加信息安全培训,包括:
- 上岗前的安全培训
- 安全制度及其修订后的培训
- 与法律法规发展保持同步的继续培训
4.2 培训内容
- 网络安全法律法规
- 信息安全基础知识
- 安全管理制度和操作规程
- 安全事件应急处置
- 个人信息保护
4.3 培训记录
建立安全培训记录,包括培训时间、内容、方式等,记录保存期限不少于2年。
5. 用户管理制度
5.1 用户注册政策
重要说明:本网站目前暂未开放公开用户注册功能。网站仅设置预设账号供管理员(凌世彬)使用。后续如需增加用户注册及评论等相关功能,将按照《互联网交互式服务安全管理要求》进行安全评估,并更新本制度。
5.2 用户范围
本网站无公开用户注册功能,仅本人及授权用户使用。当前用户账号通过本地配置文件(users.json)进行管理。
5.3 账号管理
- 严格限制用户范围,仅限本人及经授权的特定人员
- 对用户进行身份验证和权限分配
- 定期审查用户权限,及时撤销不再需要的权限
- 账号信息(用户名、密码、姓名、邮箱、电话等)保存在虚拟主机本地配置文件中
- 密码采用明文存储(当前为简化版本,后续将升级为加密存储)
5.4 文章发布权限
- 文章发布功能仅限已验证身份的管理员使用
- 发布文章前必须通过账号密码校验
- 校验成功后方可进入文章编辑和发布界面
- 所有发布操作记录日志,确保可追溯
6. 新服务、新功能安全评估制度
6.1 评估要求
在互联网新服务、新功能上线前,应按照《互联网交互式服务安全管理要求》评估安全风险、制订信息网络安全技术方案。
6.2 评估内容
- 安全风险识别和分析
- 安全技术方案制定
- 安全防护措施设计
- 应急预案制定
6.3 评估流程
- 提出新服务、新功能上线申请
- 进行安全风险评估
- 制定信息网络安全技术方案
- 安全责任人审核批准
- 向属地公安机关报备(如需要)
- 上线实施
7. 用户投诉举报处理制度
7.1 投诉渠道
公开以下投诉举报渠道:
- 邮箱:651731115@qq.com
- 电话:17620324183
7.2 处理流程
- 接收投诉举报
- 登记投诉举报信息
- 调查核实
- 处理并反馈
- 归档记录
7.3 处理时限
- 收到投诉后24小时内响应
- 3个工作日内处理完毕
- 复杂问题可适当延长,但需告知投诉人
7.4 记录留存
保存投诉处理的全部记录,确保可追溯性,记录保存期限不少于2年。
8. 个人电子信息安全保护制度
8.1 保护原则
- 仅收集为实现正当商业目的和提供网络服务所必需的个人信息
- 收集个人电子信息时,应取得用户明确授权同意
- 采取技术和管理措施保护个人电子信息安全
8.2 技术措施
- 采用加密方式保存用户密码等重要信息
- 使用SSL/TLS加密技术保护数据传输
- 建立访问控制机制,防止未授权访问
- 采取防信息泄露技术措施
8.3 管理措施
- 制定个人电子信息处理规则,并在显著位置公示
- 明确告知用户收集与使用个人电子信息的目的、范围与方式
- 不向第三方出售或出租个人信息
- 建立个人信息泄露事件应急处置机制
9. 安全事件应急处置制度
9.1 安全事件类型
- 违法有害信息
- 危害计算机信息系统安全的异常情况
- 突发公共事件
- 个人电子信息泄露、损毁、丢失
9.2 应急处置流程
- 发现与报告:发现安全事件后立即报告安全责任人
- 应急响应:第一时间联系西部数码售后技术支持协助处置(400-028-5800)
- 影响评估:评估事件影响范围和严重程度
- 采取措施:采取必要措施控制事件影响,防止损失扩大
- 报告公安机关:向属地公安机关报告安全事件
- 记录归档:24小时内归档记录事件详情和处理过程
- 事后总结:总结经验教训,改进安全措施
9.3 个人信息泄露应急
当发现个人电子信息泄露、损毁、丢失等情况时:
- 立即采取补救措施(关闭访问、修改密码)
- 24小时内告知用户
- 立即报告属地公安机关
- 留存事件记录
10. 文件控制
10.1 文件评审
应按计划的时间间隔(每年至少一次)或在发生重大变化时评审安全管理制度文件,以确保文件是适当的。
10.2 文件管理
- 确保在使用处可获得适用文件的相关版本
- 确保文件保持清晰、易于识别
- 确保文件是现行有效的
- 对外来文件(如公安机关颁发的规范)进行识别和控制
10.3 记录控制
应建立记录并加以保护与控制,以提供符合本制度要求的证据。记录包括:
- 安全培训记录
- 病毒查杀记录
- 安全事件记录
- 投诉处理记录
- 制度评审记录
11. 附则
11.1 制度解释
本制度由安全责任人负责解释。
11.2 制度修订
本制度根据法律法规变化、业务发展需要或安全检查要求进行修订,修订后需经安全责任人批准。
11.3 生效日期
本制度自2026年2月起生效。
制度文件存档位置
本制度文档存于:
1. 个人电脑"网站安全"文件夹
2. 西部数码虚拟主机"private"目录
← 返回首页