最强挑战隐私政策
引言
我司《海南微粒互娱科技有限公司》非常重视用户的个人信息和隐私保护。您在使用我司《最强挑战》游戏或服务时,我司可能会收集和使用您的相关信息。我司希望通过本《隐私政策》向您说明,在使用我司游戏或服务时,我司如何收集、使用、分享、保存和管理这些信息。
本《隐私政策》将帮助您了解以下内容:
第一章 我司如何收集您的个人信息
第二章 我司如何使用您的个人信息
第三章 我司如何使用Cookie和同类技术
第四章 我司如何共享、转让、公开披露您的个人信息
第五章 我司如何保护您的个人信息
第六章 我司如何保存您的个人信息
第七章 管理、查看或删除您的个人信息
第八章 未成年人信息的保护
第九章 本政策如何更新
第十章 投诉及建议
本《隐私政策》与您所使用的我司游戏及/或服务息息相关,希望您在使用我司游戏及/服务前仔细阅读并确认您已充分理解本《隐私政策》项下的内容。在需要时,我司希望您按照本《隐私政策》的指引做出您认为适当的选择。本《隐私政策》中涉及的相关技术词汇或术语,我司尽量以简明扼要的表述,以便您更好地理解。
当您同意和接受《隐私协议》,即表明您已同意我司按照本《隐私政策》(含更新版本)收集、使用、分享、保存和管理您的相关信息。
第一章 我司如何收集您的个人信息
1.1 您向我司提供相关个人信息
1.1.1 为开展网络游戏,您可能首先需要注册账号并登录,我们会收集您的网络身份标识信息及个人常用设备信息,用于标记您为我司游戏的用户。
1.1.1.1 如果您选择手机登录方式,您需向我们提供您的手机号码。我们收集这一信息是为了识别和验证您的身份。如果您拒绝提供手机号码,您将无法以手机号码登录,也无法以手机号码实现游戏数据的同步。如果您选择微信、QQ或微博账号等第三方账号登录,或者选择快速登录,您无需向我们提供手机号码。但是,在您登录后,您可以选择向我们补充提供您的手机号码,以完善您的账号信息。
1.1.1.2 当您选择快速登录时,您无需向我司提供您的个人信息。您将获得一个临时账号并完成登录。有鉴于相关法律法规提出的网络实名制要求,在快速登录且不补充提供手机号码或其他实名认证信息的情况下,您将无法在我司游戏及/或服务中进行任何游戏内充值或其他消费活动。该临时账号下的游戏数据也无法在您的不同设备上实现同步。
1.1.1.3 根据自身需求,您还可以选择修改或补充您的头像等信息,这些信息均属于您的账号信息。您不提供上述信息不会影响您开展网络游戏。对于该账号信息所涉的个人信息,我司将按照本《隐私政策》予以保护。
1.1.2 为满足相关法律法规政策及相关主管部门的要求,我司游戏用户需进行实名认证以继续使用和享受我司游戏。我们会在获得您同意或您主动提供的情况下收集您的实名身份信息(包括姓名、身份证号、照片等信息),该信息属于敏感信息,拒绝提供实名身份信息可能会导致您无法登录我司游戏或在使用我司游戏过程中受到相应限制。
1.1.3 需要获取定位等权限:为保障您正常使用我们的服务,维护游戏基础功能的正常运行,优化游戏产品性能,提升您的游戏体验并保障您的账号安全,并合理地给您安排和分配游戏账号,我们会收集您的设备ID、设备名称、设备类型和版本、系统版本、IP地址、MAC地址、定位信息、应用ID、网络类型等信息。
1.1.4 我司游戏及服务在使用过程中需要网络支持,包括但不限于开启游戏、联网对战、切换网络等,故而为了保证你能持续地使用我司游戏及其服务,并获得良好的游戏体验,我们会获取您的改变配置、获取网络状态、访问网络、改变wifi状态、显示系统界面、读写系统设置等功能和权限。
1.1.5 需要获取存储权限:当您使用我司游戏服务时,我们会收集您的游戏日志信息,例如登录日志、物品日志、游戏对局信息、交友记录等,以便您能够在客户端查看您的游戏历史记录,同时用于游戏运营统计分析、客服投诉处理及其他游戏安全分析,并为提升您的游戏体验,我们可能把前述信息同步至该游戏后续版本或您正在使用的我们提供的其他产品中。基于此,我们或获取您的写入外部存储、挂载文件系统、读取系统日志等功能和权限。包括但不限于游戏前后台时不定时获取并使用相关功能和权限。
1.1.6 需要获取电话权限:如您使用小米、OPPO、华为、VIVO等品牌手机,我司游戏接入的上述手机厂商Push SDK需要收集手机唯一标识信息(例如IMEI),并可能会收集您的手机型号、系统类型、系统版本、设备屏幕尺寸等参数用于实现我司游戏和活动等信息的推送。
1.1.7 当您使用我司游戏产品的消费功能时,我们会收集您的充值记录、消费记录等信息,以便您查询您的交易记录,同时尽最大程度保护您的虚拟物品安全。充值记录、消费记录属于敏感信息,收集上述信息为实现我司游戏产品的消费功能所必须,否则将无法完成交易。如果您使用我司以外的第三方提供的支付功能时,我司不会获取与您付款相关的支付账号、密码等信息。在您成功付款后,我司仅会从相应的第三方付款服务提供商处获取您已完成付款的结果验证信息,进而向您提供相应虚拟产品。若您希望了解第三方服务提供商收集个人信息的具体规则,请参阅您选择的第三方付款服务提供商的隐私政策。
1.1.8 为保障您的游戏账号安全,营造公平、健康及安全的游戏环境,我们会收集您的游戏识别信息、硬件及操作系统信息、进程及游戏崩溃记录等信息,以用于打击破坏游戏公平环境或干扰、破坏游戏服务正常进行的行为(如用于检测盗版、扫描外挂、防止作弊等)。
1.1.9 当您在游戏中通过文字、图片、语音、视频及其他方式与其他玩家进行互动,我们可能会收集并保存您发送的上述信息内容用于过滤色情、暴力、政治、辱骂、恶意广告等不当内容以及禁用键盘锁,使用游戏自定义输入法,以此净化游戏环境,维护健康的上网环境。
1.1.10 如您希望通过图片、语音、视频与其他游戏玩家互动、参与直播,在您授权同意后,游戏会访问您的照片或存储文件、麦克风、摄像头,为您提供截图保存、图片上传、语音聊天、直播互动等功能。
1.1.11 如您希望与附近的游戏玩家互动,在您授权同意后,我们会收集您的地理位置信息和错略信息,用于寻找附近的游戏玩家,以便您与附近的玩家匹配、组队等。地理位置信息和错略信息属于敏感信息,拒绝提供该信息只会导致您无法实现与附近的游戏玩家互动,但不影响您正常使用我司游戏的其他功能,您也可以随时取消您的地理位置信息和错略信息授权。
1.1.12 我们可能会将您的游戏数据进行分析以了解您的偏好,并可能将您的偏好等相关必要的信息分享给其他产品或服务,以便于我们更好地在我司游戏向您展示可能感兴趣的内容。我们可能通过Cookie、标识符及相关技术收集您的信息,为您提供个性化的用户体验、保障服务安全。
1.1.13 为了您在开启我司游戏及服务和使用我司游戏及服务过程中有良好的体验,保障您不掉线、无任务时不锁屏、及时获取游戏资讯和消息、保证游戏的整体流畅性以及退出游戏更加便捷性,我们会获取您的唤醒锁定、开机自动启动、结束系统任务、获取任务信息、使用振动等功能和权限。
1.1.14 在您使用我司游戏及/或服务时,您可能会因账号管理、充值等问题联系我司客服。您可能需要向我司提供手机号码、充值记录、虚拟财产相关的信息、系统操作记录、照片等与您使用我司游戏及/或服务相关的信息,以便我司的客服与您联系,并帮助您解决相关问题。如果您拒绝提供相关信息,我司可能无法帮助您解决相关问题。基于此,我们会获取您的发送短信、读取电话状态等功能和权限。
1.1.15 若您希望快速便捷地通过第三方移动运营商完成支付,在您的设备支持的情况下,您可以选择授权调用您所使用设备中的移动运营相关权限(如短信),以便您快速便捷地完成付款。
1.1.16 我司可能会与第三方服务提供商合作,在我司游戏及/或服务中接入第三方服务(例如投放广告、链接或者其它形式的推广内容)。我司不会将您提供给我司或者我司收集的您的个人信息(如手机号码、昵称、头像、好友列表等)与第三方服务商共享,也不会代表第三方服务商为其收集您的个人信息。通过我司游戏及/或服务接入的第三方服务商可能有自己的隐私政策,其不受本《隐私政策》的约束。第三方服务商可能会根据其自己的隐私政策收集为您提供服务所需的个人信息。我司将尽商业上合理的努力要求第三方服务商在处理您的个人信息时遵守相关法律法规,尽力要求其采取相关的保密和安全措施,但我司无法保证其一定会按照我们的要求采取相应措施。
1.2 您充分知晓,在以下情形下,我们收集、使用个人信息无需征得您的授权同意:
1.2.1 与国家安全、国防安全有关的;
1.2.2 与公共安全、公共卫生、重大公共利益有关的;
1.2.3 与犯罪侦查、起诉、审判和判决执行等有关的;
1.2.4 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
1.2.5 所收集的个人信息是个人信息主体自行向社会公众公开的;
1.2.6 从合法公开披露的信息中收集的您的个人信息的,如合法的新闻报道、政府信息公开等渠道;
1.2.7 根据您的要求签订合同所必需的;
1.2.8 用于维护所提供的产品及/或服务的安全稳定运行所必需的,例如发现、处置产品及/或服务的故障;
1.2.9 为开展合法的新闻报道所必需的;
1.2.10 出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
1.2.11 法律法规规定的其他情形。
1.3 请您理解,我们向您提供的功能和服务是不断更新和发展的,如果某一功能或服务未在前述说明中且收集了您的信息,我们会通过页面提示、交互流程、网站公告等方式另行向您说明信息收集的内容、范围和目的,以征得您的同意。
第二章 我司如何使用您的个人信息
在收集您的个人信息后,我司将根据如下规则使用您的个人信息:
2.1我司会根据本《隐私政策》的约定并为实现我司的产品及/或服务功能对所收集的个人信息进行使用。
2.2 请您注意,对于您在使用我司的产品及/或服务时所提供的所有个人信息,除非您删除或通过相关设置拒绝我们收集,否则您将在使用产品及/或服务期间持续授权我司使用。在您注销账号时,我司将停止使用并删除您的个人信息。
2.3 我司会对旗下产品及/或服务使用情况进行统计,并可能会与公众或第三方共享这些统计信息,以展示我司游戏及/或服务的整体使用趋势。但这些统计信息不会包含您的任何身份识别信息。
2.4 当我司要将您的个人信息用于本政策未载明的其它用途时,或将基于特定目的收集而来的信息用于其他目的时,我司会主动事先征求您的明示同意。
第三章 我司如何使用Cookie和同类技术
3.1 为了更好地向您提供我司游戏及/或服务,我司使用了若干自动数据收集工具,目前包括Flash Cookies和内嵌Web链接。借助这些技术,我司能够实时跟踪您的游戏进度,并了解您的偏好信息,从而为您提供流畅、优质、个性化的用户体验。我司不会将上述技术用于本政策所述目的之外的任何用途。请您理解,我司的某些服务只能通过使用上述技术才可得到实现。如您的设备或相关程序允许,您可以通过改变设置,或通过访问提供商的网页,来关闭或删除上述技术。但这一举动可能会影响您使用我司游戏及/或服务。
3.2 我们使用了第三方SDK名称:友盟+SDK
服务类型:游戏产品数据分析信息
收集个人信息类型:设备信息(IMEI/Mac/android ID/IDFA/OPENUDID/GUID/SIM卡IMSI/地理位置信息)
隐私权政策链接:
https://www.umeng.com/page/policy
3.3我们使用了第三方SDK名称:腾讯定位SDK
服务类型:产品定位分析信息
收集个人信息类型:访问Wi-Fi状态,获取位置,获取设备信息
隐私权政策链接:https://lbs.qq.com/mobile/androidLocationSDK/androidLBSInfo
第四章 我司如何共享、转让、公开披露您的个人信息
共享
4.1 我司将严格遵守相关法律法规,对您的个人信息予以保密。除以下情况外,我们不会向其他人共享您的个人信息:
4.1.1事先获得您明确的同意或授权;
4.1.2根据适用的法律法规规定,或基于司法或行政主管部门的强制性要求进行提供;
4.1.3在法律法规允许的范围内,为维护您或其他我司用户或其他个人的生命、财产等合法权益或是社会公共利益而有必要提供;
4.1.4应您的监护人的合法要求而提供您的信息;
4.1.5根据与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定而提供;
4.1.6与本《隐私政策》第一章所述第三方进行共享:您在使用我司游戏及/或服务的过程中使用本《隐私政策》第一章所述的第三方服务时,我司与第三方的共享规则将遵循本《隐私政策》第一章项下相关约定;
4.1.7本我司可能会基于您的相应授权将您的个人信息与我司的关联方共享。但我司只会共享必要的个人信息,且受本《隐私政策》所述目的之约束。我司的关联方如要改变个人信息的处理目的,将适时向您征得明示同意。
4.2 对我司与之共享个人信息的公司、组织和个人,我司将尽商业上合理的努力要求其在处理您的个人信息时遵守相关法律法规,尽力要求其采取相关的保密和安全措施,以保障您的个人信息安全。
转让
4.3 我司不会将您的个人信息转让给任何公司、组织和个人,但以下情况除外:
4.3.1 事先获得您明确的同意或授权;
4.3.2 根据适用的法律法规、法律程序的要求、强制性的行政或司法要求而必须进行提供;
4.3.3 根据与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定而提供;
4.3.4在涉及收购、兼并、破产清算、重组等变更时,如涉及到个人信息转让,我司会要求新的持有您个人信息的公司或组织继续履行本《隐私政策》项下的责任和义务。如变更后的主体需变更个人信息使用目的,我们会要求其事先获得您的明示同意。
公开披露
4.4 我司仅会在以下情况下,且在采取符合业界标准的安全防护措施的前提下,才会公开披露您的个人信息:
4.4.1 根据您的需求,在您明确同意的披露方式下披露您所指定的个人信息;
4.4.2 根据法律、法规的要求、行政或司法机关的强制性要求,我们可能会公开披露您的个人信息。当我司收到上述披露请求时,我司会依法要求请求方出具相关法律文件,如传票或调查函等。我司会慎重审查每一披露请求,以确保该等披露请求符合相关法律规定。在法律法规许可的前提下,我司会对包含披露信息的文件进行加密保护。
第五章 我司如何保护您的个人信息
5.1 我司非常重视个人信息安全,并会采取一切合理可行的措施,持续保护您的个人信息,以防其他人在未经授权的情况下访问、篡改或披露我司收集的您的个人信息。
5.1.1 我司已采用符合行业标准的安全防护措施来保护您的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的个人信息。例如,在您的移动设备与我司游戏及/或服务之间交换数据时进行SSL加密保护;我们会使用加密技术确保数据的保密性;我们会使用受信赖的保护机制防止数据遭到恶意攻击。
5.1.2 我司仅允许有必要知晓的人员访问相关个人信息,并为此设置了严格的访问权限控制和监控机制。我司同时要求可能接触到您个人信息的所有人员履行相应的保密义务。如果未能履行这些义务,可能会被追究法律责任或被终止与我司的相应法律关系。
5.2 我司会采取一切合理可行的措施,确保未收集无关的信息。
5.3 请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全。您需要了解,您接入我司的服务所用的系统和通讯网络,有可能因我司可控范围外的因素而出现问题。
5.4 在不幸发生信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们同时将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您;难以逐一告知信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,主动上报信息安全事件的处置情况。
第六章 我司如何保存您的个人信息
保存期限
6.1 在用户使用我司游戏及/或服务期间,我们会持续保存用户的个人信息。
6.2 根据相关法规要求,我司将保存您的虚拟货币购买记录至您账号注销之日后的180天。对于其他数据的保存期限,我司承诺将是为了实现我司游戏及/或服务目的所必需的最短期限。在超出上述期限后,我司会对您的相关信息进行删除或匿名化处理。
保存地域
6.3 您的个人信息将全部被存储于中华人民共和国境内。
6.4 目前我司不存在向境外提供个人信息的场景。如将来涉及向境外传输个人信息,我司将明确向您告知个人信息出境的目的、接收方、安全保障措施等情况,并另行征得您的同意。
第七章 管理、查看或删除您的个人信息
我司非常尊重您对自己的个人信息所享有的权利。我们保障您对个人信息所享有的访问、更正、删除、管理等权利。
访问和更正您的个人信息
7.1 除法律法规另有规定之外,您有权行使数据访问权。当您发现我们处理关于您的个人信息有错误或者您有其他修改、补充需求时,您也有权要求我司或自行予以更正。
7.2 您有权知悉通过我司获得您的个人信息的第三方的身份或类型。您可以通过本《隐私政策》第一章和第四章了解第三方的身份或类型。
删除您的个人信息
7.3 在以下情形中,您可以向我司提出删除个人信息的请求:
7.3.1 如果我司处理个人信息的行为违反相关的法律法规;
7.3.2 如果我司收集、使用您的个人信息,却未征得您的同意;
7.3.3 如果我司处理个人信息的行为违反了与您的约定;
7.3.4 如果您不再使用我司的产品及/或服务,或者您注销了相关账号;
7.3.5 如果我司不再为您提供产品及/或服务。
7.4 若我司决定响应您的删除请求,我司还将同时通知从我司获得您的个人信息的实体,要求其及时删除,除非法律法规另有规定或这些实体已获得您的独立授权。
撤回同意
7.5 您有权向我司撤回您此前作出的有关同意收集、使用您的个人信息的授权。当您撤回同意后,我司将不再处理您的相关个人信息。但您撤回同意的决定,不会影响此前基于您的授权而开展的个人信息处理活动。
7.6 您可以通过删除相关个人信息的方式撤回您此前就特定个人信息而对我司作出的同意授权。
注销账号
7.7 您有权随时注销您在我司游戏及/或服务中注册的账号。为保障账号及财产安全,您需要通过客户服务或本《隐私条款》第十章载明的联系方式向我司提出您的账号注销请求。我司将在与您核实相关信息后对您的请求作出响应。
7.8 请您注意,注销我司相关产品及/或服务账号是不可恢复的操作。在注销账号之后,我司将停止为您提供产品及/或服务,并将删除该账号项下的您的个人信息,除非法律法规另有规定。
获取个人信息副本
7.9 根据您的请求,我司可以向您提供我司持有的有关您的个人信息副本(如个人基本资料)。您可以通过客户服务或本《隐私条款》第十章载明的联系方式向我司提出请求。
约束信息系统自动决策
7.10 在我司仅依据信息系统、算法等在内的非人工自动决策机制做出决定,并且这些决定显著影响您的合法权益的情况下,您有权要求我司做出解释,我司也将提供适当的救济方式。
响应您的上述请求
7.11 如果您对我司在以上列明的有关访问、更正、删除您的个人信息,以及撤回同意、注销账号、约束信息系统自动决策方法有任何疑问,您可以通过客户服务或本《隐私政策》第十章载明的联系方式与我司联系。
7.12 我司已经建立申诉管理机制,包括跟踪流程等。为了保障账号及财产安全,我司可能会与您核实相关信息。我司将在收到您的反馈后尽快答复您的请求,最长不超过15天。若您对答复意见不满意,您可以再次通过客户服务进行申诉。
7.13 对于您合理的请求,我司原则上不收取费用,但对多次重复、超出合理限度的请求,我司将视情况收取一定成本费用。对于那些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求,我司可能会予以拒绝。
7.14 在以下情形下,我们可能无法响应您的请求:
7.14.1 与国家安全、国防安全有关的;
7.14.2 与公共安全、公共卫生、重大公共利益有关的;
7.14.3 与犯罪侦查、起诉和审判等有关的;
7.14.4 有充分证据表明您存在主观恶意或滥用权利的;
7.14.5 响应您的请求将导致其他个人、组织的合法权益受到严重损害的;
7.14.6 涉及商业秘密的;
7.14.7 个人信息主体自行向社会公众公开个人信息的;
7.14.8 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
第八章 未成年人信息的保护
8.1 我们会积极按照国家防沉迷政策要求,通过启用防沉迷系统保护未成年人的合法权益。我们会通过实名身份等信息校验判断相关账号的实名信息是否为未成年人,进而决定是否将此账号纳入到防沉迷体系中。另外,我们会收集您的登录时间、游戏时长等信息,通过从系统层面自动干预和限制未成年人游戏时间、启用强制下线功能等方式,引导未成年人合理游戏,并在疑似未成年人消费后尝试联系其监护人进行提醒、确认与处理,帮助未成年人健康上网。
同时,为更好地保护未成年身心健康,促使未成年人健康上网,我们可能在国家有关网络游戏防沉迷政策规定的基础上,实施更为严格的防沉迷措施。如发现用户拒绝验证或提供的信息不符合,我们将视作14周岁及以下未成年人,纳入相应的防沉迷监管。
8.2 如果您是未满18周岁的未成年人,您的监护人需要仔细阅读本《隐私政策》并同意或授权您同意依照本《隐私政策》使用我司游戏及/或服务。如果您是未满14周岁的未成年人,您的监护人需要仔细阅读本《隐私政策》并明示同意您依照本《隐私政策》使用我司游戏及/或服务。
8.3 如果您/您的监护人不同意本《隐私政策》的任何内容,您应该立即停止使用我司游戏及/或服务。
8.4 若您是未成年人的法定监护人,请您关注您所监护的未成年人是否是在取得您的授权同意之后使用我司游戏的服务或提供其个人信息。如果您对您所监护的未成年人的个人信息有疑问,请通过第十章中的联系方式与我们联系。
第九章 本政策如何更新
9.1 如我司游戏及/或服务发生以下变化,我司将及时对本《隐私政策》进行相应的修订:
9.1.1 我司游戏及/或服务所涉业务功能发生变更,导致处理个人信息的目的、类型、使用方式发生变更;
9.1.2 您参与个人信息处理方面的权利及其行使方式发生重大变化;
9.1.3 我司负责处理您的个人信息安全的部门的联络方式及投诉渠道发生变更;
9.1.4 发生其他可能影响用户个人信息安全或影响用户隐私权利的变更等。
9.2 我们可能会适时对本《隐私政策》进行修订。当本《隐私政策》的条款发生变更时,我们会在版本更新时以适当的方式向您提示变更后的《隐私政策》。请您仔细阅读变更后的《隐私政策》内容,您继续使用我司游戏表示您同意我们按照更新后的《隐私政策》收集、处理或使用您的个人信息。
9.3 未经您的明确同意,我司不会削减您基于本《隐私政策》所享有的权利。
9.4 如无特殊说明,修订后的《隐私政策》自公布之日起生效。
第十章 投诉及建议
10.1 您在使用我司游戏及/或服务的过程中,如果对本《隐私政策》有任何的疑义或建议,或您认为您的个人信息没有得到本《隐私政策》规定的保护,您可以通过以下方式联系我司,我司将将尽快审核所涉问题,并在验证您的用户身份后的十五天内予以回复。。
联系邮箱:3107563677@qq.com
客服QQ:3107563677
生效日期:2021年10 月1日
网络信息安全保障机制
总则
为了强化网络信息安全管理,防范计算机信息技术风险,确保网站及网络安全,防止网络病毒危害和恶意攻击,维护正常的网络安全秩序,根据《网络安全法》和《信息安全等级保护管理办法》等有关规定,特制定此网络信息安全管理制度。
第一章 服务器管理制度
服务器和网络管理人员应认真履行以下职责:
(1)负责服务器的日常维护、技术支持,并对服务器的功能提出意见、建议和方案等。
(2)严格执行岗位责任制。实行“谁主管、谁负责”制度。管理人员要坚守岗位,有事外出要向领导或接班工作人员交接清楚。要妥善保管好服务器登录密码,不得告诉他人,有事外出或下班时,要及时退出设置项界面。
(3)加强服务器检查。定期对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储空间、CPU异常、内存异常等问题要及时处理,不能及时处理时应向领导报告,并积极采取措施尽快解决。
(4)加强服务器的病毒防范。要经常了解和掌握网络病毒的流行情况及其解决方案,并积极采取应对措施,避免对服务器及网络内其它终端的感染。一旦被感染,要及时提出杀毒方案,控制传播范围。定期对各服务器进行查毒、杀毒。
(5)保障本系统的实时安全运行,负责每天的信息数据备份。
(6)负责对服务器用户的增加、删除及权限变更工作,严禁无关人员登录服务器。
第二章 控制台管理制度
管理员(admin)角色权限管理:
(1)管理员权限范围:包括所有权限。
(2)管理员权限在项目实施完成后,交由安全委员会指定成员管理。
(3)若系统工程师因管理需要,需向安全委员会申请打开管理员(admin)权限做相应的设置,设置完成,系统维护工程师立即退出管理员(admin)权限帐户。
(4)若系统维护工程师接触到管理员权限密码,应在维护完成后,提醒管理员修改密码,管理员(admin)应该经常性修改密码,避免密码丢失造成控制台管理权限泄密。
(5)管理员定期到“系统日志”中查询管理员登录信息,发现异常登录,及时更新密码,并严格追查管理员控制台权限遗失原因。
第三章 系统维护员角色权限管理制度
(1)系统维护员权限范围:针对所有用户的参数设置、备份、访问所有组权限。
(2)系统维护员根据监控的实际需要制定监控参数设置策略,经过安全管理委员会审核后进行实施。
(3)系统维护员根据硬盘容量和监控数据增长情况制定数据备份策略,经过安全管理委员会审核后进行实施。
(4)系统维护员不得利用职务之便,在未经安全委员会认可的情况下,私下进行个别监控电脑的参数设置,若造成损失,将追究相应责任。
(5)严禁更改服务器操作系统的相关设置,严禁在服务器上进行互联网浏览、不相关应用程序安装。
(6)严守系统信息保密制度。不得随意将系统信息、数据泄露于外界。
第四章 客户端管理制度
实行专人专机,谁使用、谁管理、谁负责制度。各用户应严格遵守以下规定:
(1)要自觉遵守《中华人民共和国计算机信息系统安全保护条例》和其他有关计算机和网络方面的法律、法规,严格遵守计算机操作规程,爱护计算机和网络设备,及时反映和举报违反网络行为规范的人和事。
(2)不得随意更改网络设置。如确需更改须经网络管理人员同意,并在网络管理人员的指导下操作。
(3)不得恶意访问和攻击网络服务器和他人计算机;未经允许不得阅读他人文件、文档、电子邮件;不得滥用网络资源;不得制造和传播计算机病毒;禁止破坏网络数据、网络资源,或在网络上进行恶作剧行为。
(4)要自觉遵守国家保密法律、法规,不得在网上发布、传送携带国家秘密的信息。
(5)不得在网上发布或传送有损国格、人格或具有威胁性、不友好的信息;不得利用网络接收和散布思想内容反动、不健康或色情的信息,如收到内容反动的电子邮件,应及时删除,不得散发。严禁在网上玩游戏或利用网络炒股。严禁职工家属到单位玩电脑。
(6)不得利用网络窃取单位的研究成果或受法律保护的资源。
(7)要妥善保护好自己的上网口令,必要时及时更改。不得擅自转让用户帐号,或将口令随意告诉他人。不得冒用他人帐号、口令上网。
(8)不得使用明文禁止的相关程序和网站,不得对明文禁止的文件做相应的操作。
(9)同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
第五章 病毒检测和网络安全漏洞检测
(1)必须配置经公安机关认定合格的计算机病毒检测、清除工具,经常进行病毒检测和清除。
(2)发现计算机病毒应当及时清除;无法清除的,应当及时向报告,并采取隔离、控制措施。在确认病毒类型、查明传入途径、被感染的设备、磁媒体数量并彻底清除病毒后,方可重新投入使用。
(3)禁止个人安装黑客软件,严禁攻击局域网内其它计算机,严禁散布黑客软件和病毒。
(4)对于系统软件和应用软件的安全隐患,管理人员必须及时从系统软件开发商和应用软件开发商获取相关的补救措施,如安装补丁软件、制定新的安全策略等。
(5)信息中心必须对局域网计算机安装防火墙系统,加强网络安全管理,预防病毒感染和恶意攻击。
(6)网络病毒检测和网络安全检测由信息中心负责;负责人员必须定期对网络安全和病毒检测进行检查。
(7)涉密计算机必须与上互联网计算机做到物理隔离。
第六章 系统数据管理和安全协查
接入互联网的计算机必须自觉遵守网络法规,严禁利用计算机从事下列活动:
(1)未经允许,对办公网上所具有的功能、程序、数据进行删除、修改和增加;
(2)故意制作、传播计算机病毒与破坏性程序;
(3)其他危害办公网络安全的行为。
(4)严禁在互联网和局域网上传递秘密文件,特别是机密级以上的秘密文件。
(5)严禁在网络上使用来历不明、引发病毒传染的软件,对于来历不明的可能引发计算机病毒的软件必须使用公安部门推荐的杀毒软件检查、杀毒。
(6)服务器及网络设备遭受攻击后,网络管理技术人员要立即采取措施予以解决,同时做好系统保护工作。
第七章 账号使用登记和操作权限管理制度
(1)局域网内各主要网络设备、计算机服务器系统由系统管理员统一管理,除管理员外,其他任何人不得擅自操作网络设备,修改网络设置。
(2)局域网内所有网络设备、计算机服务器系统应当正确分配权限,并加口令予以保护,口令应定期修改,任何非系统管理员严禁使用、猜测各类管理员口令。
(3)条对于网络系统要做好备份工作,确保在系统发生故障时能及时恢复。
(4)对于网络系统的设置、修改做好登记、备案工作。重大更改必须向主管领导汇报,征得同意后方可进行。
第八章 安全教育和培训
(1)信息中心负责牵头,定期召开网络安全会议,通报网络安全状况,解决网络安全问题。
(2)信息中心定期举办网络安全培训班,学习网络法律、法规,提高全体员工的网络安全意识,提高网络安全水平。
(3) 违反本管理制度,将视情节给予相应的批评教育、通报批评、/处以警告或解除劳务合同。触犯国家法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
网络信息安全紧急预案
一、总则
1.编制目的
为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。
2.编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《网络安全法》、《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等有关法规、规定,制定本预案。
3.适用范围
本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I- IV 级的网络与信息安全突发事件的应对处置工作。
4.分类分级
本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。
(1)自然灾害是指地震、台风、雷电、火灾、洪水等。
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
(3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。
事件分级
根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II 级(重大)、III 级(较大)、IV 级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。
(1)I 级(特别重大):造成网络与信息系统发生大规模瘫痪, 事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。
(2)II 级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。
(3)III 级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
(4)IV 级(一般):造成网站网络重要网络与信息系统受到一定程度的损坏,但不危害国家安全、社会秩序和公共利益,可由我主管部门处置的突发事件。
二、工作原则
1.积极防御、综合防范。立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节,在管理、技术、宣传等方面,采取多种措施,充分发挥各方面的作用,构筑网络与信息安全保障体系。
2.明确责任、分级负责。按照“谁主管、谁负责”的原则,加强网
络安全管理,认真落实各项安全管理制度和措施。加强计算机信息网络安全的宣传和教育,进一步提高工作人员的信息安全意识。
3.落实措施、确保安全。要对机房、网络设备、服务器等设施定
期开展安全检查,对发现安全漏洞和隐患的进行及时整改;要实行网站的巡察制度,密切关注互联网信息动态,要按照快速反应机 制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处 置,最大程度地减少危害和影响。
4.加强技术储备、规范应急处置措施与操作流程,树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
5、事故上报
当发生网络信息安全突发事件时,应及时按规定向有关部门报告。初次报告最迟不得超过2 小时,重大和特别重大的网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施 等。
三、事后处理
应急响应应急结束网络与信息安全突发事件经应急处置后,得到有效控制,事态下降到一定程度或基本得以解决,将各监测统计数据上报集团领导,由集团领导向相关部门提出应急结束的建议,经批准后实施。
四、人员队伍
保障措施应急技术队伍保障按照一专多能的要求建立集团网络与信息安全应急技术保障队伍。并定期参加信息安全配训。
五、监督管理
1.加强对网络与信息安全等方面专业技能的培训,指定专人负责安全技术工作。
2.定期演练。通过演练,发现应急工作体系和工作机制存在的
问题,不断完善应急预案,提高应急处置能力。
在应急处置工作结束后,应立即组织有关人员组成事件调查组, 查清事件发生的原因及财产损失情况,总结经验教训,写出调查评
估报告,报应急领导小组,并根据问责制的有关规定,对有关责任人员作出处理。特别重大网站网络与信息安全突发公共事件的调查评估报告,报应急领导小组,必要时采取合理的形式向社会公众通报。