本制度包含网络安全保障、信息安全保密管理、用户信息安全管理三大方面,全面保障平台技术安全与用户信息安全。
一、网站安全保障措施
- 部署Web应用防火墙、DDoS防护、入侵检测系统等安全设施。
- 建立7×24小时安全监控机制,定期进行漏洞扫描与渗透测试。
- 全站启用HTTPS加密,保障数据传输安全。
二、信息安全保密管理措施
1. 保密组织管理架构
公司设立信息安全保密管理小组,具体人员配置如下:
| 职务 |
姓名 |
公司任职 |
保密管理职责 |
| 组长 |
姜云波 |
技术负责人 |
全面负责信息安全保密管理,审批重大信息访问权限 |
| 副组长 |
黄金涛 |
软件工程师 |
负责权限管理、数据加密、漏洞修复 |
| 成员 |
陈焰文 |
数据管理员 |
负责平台内容开发过程中的信息安全和数据保护 |
| 成员 |
戴恒志 |
行政经理 |
负责保密协议审核、违规事件法律评估、合规性指导 |
成立由技术负责人为组长的信息安全保密管理小组,对用户信息、公司核心数据分类分级管理。
2. 信息安全保密管理
| 保密等级 |
信息范围 |
管理要求 |
责任人 |
| 绝密 |
用户支付密码、核心密钥、数据库访问凭证 |
仅限授权接触,双人操作 + 书面审批 |
姜云波 |
| 机密 |
用户身份证、银行卡号、完整手机号 |
加密存储,访问审批,操作留痕 |
黄金涛 |
| 内部 |
用户昵称、脱敏手机号、作品数据、运营数据 |
仅限内部使用,未经批准不得对外提供 |
陈焰文 |
三、用户信息安全管理措施
1. 信息收集原则
平台在收集用户个人信息时,遵循以下四项基本准则:
- 合法性与正当性:仅收集与服务直接相关、实现功能必需的信息,不超范围获取。
- 收集前明确告知:以清晰显著方式告知收集目的、使用范围、存储时长。
- 用户自愿授权:未经明确同意,不收集、使用或向第三方提供个人信息。
- 最小化收集:坚持够用即止,仅收集必需的最少信息。
2. 信息安全保护措施
- 数据加密存储:敏感信息采用AES-256算法加密,密钥与数据分系统管理。
- 界面脱敏展示:手机号、身份证号等敏感字段部分隐藏展示。
- 传输通道加密:全程启用TLS加密协议,防止截获篡改。
- 权限访问控制:按岗位授予最小必要权限,无关人员无权查看。
- 操作日志与审计:所有操作自动记录,定期审计排查异常。
3. 用户个人信息五项权利保障
| 权利类型 |
保障方式 |
| 知情权 |
可随时查阅《隐私政策》,了解收集使用规则 |
| 访问权 |
通过“我的-个人信息”查看本人基本信息 |
| 更正权 |
信息有误可申请更正,7个工作日内处理完成 |
| 删除权 |
账号注销后30日内删除全部信息(法规保留除外) |
| 投诉权 |
通过客服投诉,15个工作日内予以答复 |
4. 信息泄露事件应急响应
- 发现后2小时内:启动预案,成立应急小组,暂停相关权限,防止扩大。
- 发现后4小时内:完成初步排查,确定性质、范围、原因及影响用户数。
- 发现后12小时内:通过短信、站内信通知受影响用户,提示防范措施。
- 发现后24小时内:向监管部门报告,配合调查。
- 发现后72小时内:完成漏洞修复与整改,系统加固。
