信息内容安全管理制度

信息内容安全管理制度

单位：广州蜗壳屋网络科技有限公司（统一社会信用代码：91440104MAEMCKA9X0）

适用：wkwwl.com

生效：2025-08-19

版本：v1.2

一、总则与范围

适用前台、会员注册/登录、留言功能、审核后台、运维日志与备份系统；目标：内容可审可控、日志可追溯、2小时重大事件上报、≥6个月证据留存。

二、组织与职责

设安全负责人统筹；内容审核组负责机审+人工复核+处置；运维组负责账号权限、HTTPS、日志、备份/恢复、漏洞整改；法务外联负责制度审查与对接监管。

三、账号实名与权限

用户侧：手机号+短信验证码实名；记录注册IP/时间/UA。后台：强口令≥12位、90天到期、最小权限、建议2FA；删帖/封禁等高危操作二次确认+审计。

四、内容管理（先审后发）

流程：提交→机审（敏感词分级）→人工复核/必要二审→发布/拒绝→证据保全→反馈；举报入口常显，2h响应/24h初处置/≤72h闭环。

五、日志管理与留存

Nginx 记录真实IP（$http_x_forwarded_for）、UA、Referer 等；应用日志覆盖登录/留言/审核/封禁；日分卷、月归档，留存≥180天，重要归档加密，禁止直接删除。

六、备份与恢复

数据库每日00:30全量备份、≥30天保留，MD5校验；每周恢复演练并形成报告；目标：RPO≤24h，RTO≤2h。

七、漏洞与变更

季度基线检查（口令/端口/补丁/证书/WAF/限流）；CVSS≥7的高危48h内修复；变更需工单与回退方案，紧急变更2h内补单。

八、个人信息保护

最小必要、目的限定、公开透明；HTTPS、加密/脱敏、访问控制、异常告警；权利行使15个工作日内处理；未满14周岁需监护人同意。

九、应急响应

分级：Ⅰ/Ⅱ/Ⅲ；Ⅰ级2h上报属地网安并全网下线；Ⅱ级4h处置；Ⅲ级24h整改；48h内提交复盘报告并完善防复发措施。

十、培训与考核

入职必训、季度案例复盘与抽查；对渎职或违规操作的员工追责。

附录A：审核细则

政治类（最高风险）：涉国家安全/分裂/颠覆——拒绝并上报；

社会类（高风险）：暴恐/赌博/淫秽/诈骗/谣言——拒绝并留样；

广告导流：带外链/二维码等——拒绝或整改；

侵权/隐私泄露——拒绝并证据保全。

附录B：日志字段清单

Web：remote_addr,time_local,request,status,body_bytes_sent,http_referer,http_user_agent,http_x_forwarded_forApp：user_id,phone_masked,ip,ua,action,object_id,result,operator,ts

附录C：台账模板

审核不通过原因/单权限盘点记录/举报受理与处置工单/备份与恢复演练记录

填表说明：单号按规则生成；来源含“用户举报/系统拦截/人工抽检”等；证据支持截图/日志/导出文件；复盘需明确根因、改进项与复查时间。