On May 25, 2018, the GDPR (General Data Protection Regulation) will go into effect and change how organizations deal with personal data of EU citizens. Though GDPR was built to protect Europeans, it will affect organizations around the world doing business in the EU. In preparation, you have to update your Terms of Use and Privacy Policy to give client more control over their data and make it more clear how to use client data. All client, not just those in the EU, will have the same data privacy rights.
电信业务信息安全责任承诺书
XXX通信有限公司东莞市分公司:
为切实加强广东联通电信业务的安全使用和规范管理,维护国家安全和社会稳定,保障社会公众利益和公民合法权益,保障其它客户的合法权益,根据国家相关法律法规对信息(注:本承诺书所指的信息,是指运行在贵司的通信和计算机网络上并由我单位负责提供的任何介质的信息,包括但不限于语音信息、移动通信信息、互联网信息等,若相关法律法规对此有专门定义且与本处所指定义不一致的,以相关法律法规规定的为准)安全管理的要求,我单位承诺并保证遵守以下各项规定(以下规定包括通用条款和专用条款,通用条款完全适用于我单位,专用条款中与我单位使用贵司的实际业务情形一致)。
第一部分 通用条款
一、遵守国家有关法律、行政法规、行政规章和贵司的有关规定,严格执行信息安全管理规定。
二、对我单位发送信息的真实性、准确性、合法性负责。我单位发布的内容必须严格遵守《中华人民共和国电信条例》有关规定,不得发布和传播有害信息,不得散发传播违法、不健康反动等信息,不得违规制作、发布、传播任何含有“九不准”内容的信息、不开展“六不许”不允许的内容。
“九不准”,即:
1. 反对宪法所确定的基本原则的;
2. 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3. 损害国家荣誉和利益的;
4. 煽动民族仇恨、民族歧视,破坏民族团结的;
5. 破坏国家宗教政策,宣扬邪教和封建迷信的;
6. 散布谣言,扰乱社会秩序,破坏社会稳定的;
7. 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8. 侮辱或者诽谤他人,侵害他们合法权益的;
9. 含有法律、行政法规禁止的其他内容的。
“六不许”,即:
1. 决不允许在群众中散布违背党的理论和路线方针政策的意见;
2. 决不允许公开发表同中央的决定相违背的言论;
3. 决不允许对中央的决策部署阳奉阴违;
4. 决不允许编造、传播政治谣言及丑化党和国家形象的言论;
5. 决不允许以任何形式泄露党和国家的秘密;
6. 决不允许参与各种非法组织和非法活动。
三、我单位承诺所使用的贵司电信业务不开展与诈骗、骚扰、涉黄、涉恐、危害国家安全和社会稳定相关的违法活动。如因此引发的社会群众投诉和违法责任将由我单位全部承担,当收到工信部、12321、10019、10010等各类投诉举报时,凡有关主管部门、贵司核查确认投诉举报内容涉嫌上述情况的,我单位同意贵司关停涉事电信业务(包括但不限于在不通知我单位的情况下立刻关停业务)。若我单位在经营中发现存在上述情形的,则我单位同意立即整改或责令有关合作单位整改,并及时将有关情况及时报告贵司。
四、我单位承诺使用贵司的电信业务,保证所提供的资料真实性和准确性,并在资料、业务用途等发生变更时及时以正式函通知贵司,凡因我单位提供资料不详或不准确造成我单位无法收到贵司发出的业务通知的,由此产生的一切后果均由我单位承担。
五、我单位未经贵司同意不得以任何形式转租、转售电信业务使用权,与贵司签订入网协议的企业必须是符合贵司要求、使用贵司电信业务且经贵司同意的最终客户。如发现转租、转售行为,贵司有权单方终止所有与我单位相关的合同。
六、我单位有提供电信业务使用用途、开放范围的义务,不按协议约定超范围使用所造成的一切后果由我单位承担。
七、我单位须建立信息安全保密制度和用户信息安全管理制度,做好用户信息加密和保密工作,不得以任何形式向第三方泄漏贵司用户个人资料,遵守工业与信息化部《电信和互联网用户信息保护规定》(工信部令〔2013〕24 号)对个人用户信息进行保护,否则,贵司有权单方终止所有与我单位相关的合同。
八、我单位承诺严格按照国家及工信部对用户实名制的要求办理贵司移动业务(包括移动电话、行业卡)及固定业务(包括固定电话、宽带)等业务入网,根据工业和信息化部于2016年5 月18 日印发《关于贯彻落实<反恐怖主义法>等法律规定进一步做好用户真实身份信息登记工作的通知》(工信部网安〔2016〕182 号),对入网业务严格实名登记通信业务的具体使用人/责任人信息。
九、我单位须建立信息安全责任人联系制度,并报送贵司和通信主管部门,保证贵司和通信主管部门可以随时与该安全责任人沟通联系。贵司向如下责任人发送的信息或拨打的电话、发送的邮件、传真均视为向我单位送达。
信息安全责任人
责任人 姓名 职务 办公电话 手机
第一责任人
第二责任人
第三责任人
单位邮箱 传真电话
注:表中所列事项发生变更时,我单位将在两个工作日之内通知贵司和通信主管部门,因未能及时通知导致信息不能送达的,责任由我单位承担,并视为我单位已经收到相关信息。
十、我单位若涉及使用贵司电信业务进行通信信息发布的,须建立公共信息内容自动过滤系统和人工值班实时监控制度。对于互联网信息,用户上传的公共信息在贵司网站上网发布前,必须经过我单位网站工作人员的人工审核后,方能上网发布。对于语音信息,我单位电话信息台应当有健全的信息审查责任制,指定专人负责实时电话信息审查工作,完善自我约束机制,加强信息内容的审核和管理。若我单位接到有关举报、投诉、监管或其他指控,声称我单位发布的信息有违法违规情形的,则我单位将第一时间启动核查机制,发现属实的,立即整改,并向贵司报告。
十一、我单位承诺若被发现冒用或伪造身份证照、违法使用、违规外呼、呼叫频次异常、超约定用途使用、转租转售、被公安机关通报以及用户就上述问题投诉较多等情况的,贵司核实确认后,贵司有权立即停止所有电信业务接入服务,且不负任何违约责任。
十二、我单位如出现任何违反此承诺书中承诺的情况,自愿承担违约责任(包括但不限于在不通知我单位的情况下关停业务,直至单方面终止业务合作协议),接受有关部门的处理,包括但不限于限期整改、公开曝光,并承担相应的法律责任等。贵司有权立即停止所有电信业务接入服务,且不负任何违约责任,一切责任后果全部由我单位自行承担,无论我单位与贵司的合同中是否有与此相反的约定。
十三、我单位接受贵司及国家相关部门的管理、监督和检查,有责任和义务积极配合贵司查找、清除非法网络行为,直至按要求处理完毕。
十四、如有其它影响网络安全和信息安全的突发事件,贵司有权采取紧急措施(包括但不限于暂停提供网络服务),以保证网络安全。
十五、如法律或国家主管部门对信息安全管理有新要求,我单位将无条件配合贵司落实相关整改举措,直至符合相关法律及政策文件要求。
十六、若因我单位违反本承诺书的约定给贵司造成损失(包括但不限于被罚款、向其他第三方赔偿)的,我单位同意全额赔偿因此给贵司造成是损失(包括但不限于律师费、诉讼费、调查费、保全费等)。
十七、此承诺书经我单位签署盖章后立即生效,可作为与贵司业务合同的附件,与业务合同具有同等的法律效力,本承诺书赋予我单位更重义务且与业务合同不一致的,我单位同意贵司可以选择适用本承诺书的条款。
第二部分 语音专线业务条款
一、本承诺书适用的语音专线服务范围包括但不限于普通语音专线、呼叫中心直连业务、本地电话、集线通、商E通、沃企总机等语音接入类业务。同时,贵司语音专线业务呼转功能默认为关闭。
二、我单位承诺所使用的贵司语音专线业务的主叫号码为贵司或工信部分配的号码,传送真实有效主叫号码或号段,不隐藏、变更或转租、转售号码。
三、在使用语音专线接入呼叫中心平台的情况下,我单位承诺建立有效的信息安全管理制度和技术保障措施,确保备份呼叫内容录音文件,并接受相关主管部门的管理、监督和检查,为相关主管部门提供技术支持。
四、我单位承诺合法规范使用贵司提供的语音专线业务,包括但不限于:不利用语音专线业务传播非法内容或泄露国家机密,不违规经营、不变更合同约定用途,不隐藏、变更或转租、转售语音专线主叫号码,不开展无特定主被叫的话务批发业务,不私自转接国际来话,不通过技术手段为非法VoIP、改号电话、网络电话(PC软件/APP等)提供语音落地,不采取自动语音群呼方式进行外呼,不经营国家工业和信息化部不允许的业务(如话务批发、落地)。
五、我公司承诺语音专线使用时段及频次,如下:
1.使用时段为:□上午8:00-下午20:00 □其他时段: _______-______________;
2.使用频次为:_____不超过300次/天/号码 。
(1)不针对某一号码进行频繁违规呼叫(违规定义:超出承诺使用时段和频次即为频繁;违规定义:贵司收到上级主管部门下发通报、贵司收到的客户直接投诉或上级主管部门转来的投诉、贵司收到上级主管部门下发的专项规定均视为我单位违规);
(2)每条语音专线号码呼出次数不得超过__30__次/小时,如我单位因正常业务原因将超过该约定须提前至少3个工作日提交加盖我单位公章的申请函至贵司(违规定义:我单位未提前向贵司提交申请函的情况下,贵司监测到我单位某条或多条语音专线号码呼出次数超过了上述约定均视为我单位违规)。
特此承诺。
承诺方(单位全称):XXX有限公司
法定代表人或授权委托人姓名:
单位地址:
联系人姓名:
联系人电话:
[法定代表人或授权委托人签字]:
承诺方[单位公章]:
[日期]:20 年 月 日
URL block List for a China Company
1. Introduction
To protect company network from malware, worm, virus, spam, etc in suspected malicious web sites, we need to define an URL block list (in next section), and setup to restrict those URLs in our network Firewall. This post will list out those suspected URLs, and we will submit this document to management review and approve.
2. URL Block List
2.1 Sports
2.1.1 General Suspected URL:
2.1.2 China Suspected URL:
http://www.xinhuanet.com/sports/
- Streaming Video:
- General Suspected URL:
- China Suspected URL:
http://player.baidu.com/yingyin.html
http://www.ku6.com/client_ku6speed/
- Social Media
- General Suspected URL:
- China Suspected URL:
https://messenger.yahoo.com/web/
- Software downloads
- General Suspected URL:
- China Suspected URL:
- P2P sharing
- General Suspected URL:
- China Suspected URL:
http://www.btchina.net/
http://www.verycd.com/
http://www.btpig.com/
http://www.3e-online.com/
http://www.bbsmovie.com/
http://www.21ou.com/。
http://www.jlpzj.com/
http://www.dream2008.cn/
http://www.cnxp.com/
http://www.btbbt.com/
- Torrents
- General Suspected URL:
- China Suspected URL:
http://thepiratebay.org/
http://isohunt.com/
http://torrentz.com/
http://btjunkie.org/
http://torrentportal.com/
http://www.gamestorrents.com/
http://www.torrentreactor.net/
http://www.sumotorrent.com/
http://www.seedpeer.com/
Reference Sites:
http://urlblacklist.com/?sec=download
http://www.squidguard.org/blacklists.html
http://www.business-in-site.com/webmaster-articles/huge-list-of-156-video-streaming-sites/
http://www.blogsdna.com/923/top-20-best-peer-2-peer-p2p-file-sharing-programs-applications-software.htm
https://torrentfreak.com/top-10-largest-file-sharing-sites-110828/
网络安全稽核工作(Network Security Auditing Work)
安全稽核工作
1.定期对公司系统软件进行渗透测试模拟攻击,及时发现系统安全漏洞,反馈给相关部门
2.利用自主开发的epa软件时行网络监控,对网络违规行为及时制止(如:私自安装与工作无关聊天软件等)
3.对外发邮件进行稽核,特别是外发apk是否含有公司机密文件
4.物理环境稽核,如:私自搭建wifi,各种网络设备规范连接等
5.权限与安全意识稽核,如:账号权限与使用,违规操作等
6.撰写公司各种安全条例规范及安全策略
网络维护,日常管理,调查安全事件,支持及参与公司系统开发,维护及应用;对系统/程序进行测试,以确保整体系统的高品质运作;支持系统的实施及支援;统整有关系统文档
“OWASP” 是什么?
OWASP is a (开放Web 应用安全项目组-OpenWebApplicationSecurityProject) 每隔数年会更新10个最关键的Web应用安全问题清单,即OWASPTOP10。
2013年OWASP TOP 10版本在2010年版本中新添加了一类风险,以涵盖更普遍、更重要的安全漏洞;并基于最新的流行程度数据,对一些风险重新排序。另外,该版本通过一类特定风险而引入了“组件安全”风险,并移除了2010年版中的A6“安全配置错误”风险。
Title 21 CFR Part 11 Requirement
Title 21 CFR Part 11 is the part of Title 21 of the Code of Federal Regulations that establishes the United States Food and Drug Administration(FDA) regulations on electronic records and electronic signatures (ERES). Part 11, as it is commonly called, defines the criteria under which electronic records and electronic signatures are considered trustworthy, reliable, and equivalent to paper records (Title 21 CFR Part 11 Section 11.1 (a)).
Practically speaking, Part 11 applies to drug makers, medical device manufacturers, biotech companies, biologics developers, CROs, and other FDA-regulated industries, with some specific exceptions. It requires that they implement controls, including audits, system validations, audit trails, electronic signatures, and documentation for software and systems involved in processing the electronic data that FDA predicate rules require them to maintain. A predicate rule is any requirement set forth in the Federal Food, Drug and Cosmetic Act, the Public Health Service Act, or any FDA regulation other than Part 11. [1]
The rule also applies to submissions made to the FDA in electronic format (e.g., a New Drug Application) but not to paper submissions by electronic methods (i.e., faxes). It specifically does not require the 21CFR11 requirement for record retention for tracebacks by food manufacturers. Most food manufacturers are not otherwise explicitly required to keep detailed records, but electronic documentation kept for HACCP and similar requirements must meet these requirements.
As of 2007, broad sections of the regulation have been challenged as excessive[who?], and the FDA has stated in guidance that it will exercise enforcement discretion on many parts of the rule. This has led to confusion on exactly what is required, and the rule is being revised. In practice, the requirements on access controls are the only part routinely enforced.[citation needed] The “predicate rules” that required organizations to keep records the first place are still in effect. If electronic records are illegible, inaccessible, or corrupted, manufacturers are still subject to those requirements.
If a regulated firm keeps “hard copies” of all required records, those paper documents can be considered the authoritative document for regulatory purposes, and the computer system is not in scope for electronic records requirements—though systems that control processes subject to predicate rules still require validation.[citation needed] Firms should be careful to make a claim that “hard copies” of required records are authoritative document. For the “hard copy” produced from electronic source to be the authoritative document, the “hard copy” must be a complete and accurate copy of the electronic source. The manufacturer must use the hard copy (rather than electronic versions stored in the system) of the records for regulated activities. The current technical architecture of computer systems increasingly makes the burden of proof for the complete and accurate copy requirement extremely high.[2]
Information Source: https://en.wikipedia.org/wiki/Title_21_CFR_Part_11
IT Routine Work Highlight
IT Routine Work
- Check Daily Backup
- Perform Monthly Backup for permanent storage at least 3 years
- Check the archive and life email client database (.pst file which should not bigger too big, especially outlook 2003 or lower version .pst file should not larger than 2G size)
- Perform Monthly Email Archive in outlook server
- Check Backup of ERP system, and clean-up log file if necessary
- Handle ERP, HR, Email, Share File System, CCTV, Printer, network and phone line routine support
- Backup machine O/S, VMWare Machine Databases at least quarterly
- Perform Off-Site Backup Storage
- Reboot servers at least quarterly
- New Staff computer preparation for email account creation, share-drive access right, printer, door access card, phone
- Staff Exist Preparation for email transfer/deletion, backup computer data
- Handle Ad-Hoc IT project
IT Critical Document:
- password list
- Inventory list
- Internet/External Support contact list
Network Monitoring Software Review
Networks are becoming critical components of business success – irrespective of
whether you are small or BIG. When network fails, customers and employees cannot
communicate, employees cannot access critical information or use basic print or email
services, resulting in productivity loss and revenue loss. Network monitoring software
tools reduce network outages and allow businesses to operate more fluently, cut costs,
and prevent revenue loss. And for those who are small and are not allowed to think of a
budget for network monitoring software, a better alternative is to start with open source
and freeware network monitoring software that reduce the time and money spent on
network administration and management. This paper talks about the top freeware and
open source network monitoring software available today.
[spiderpowa-pdf src=”https://infotechmanagefactory.com/wp-content/uploads/2015/03/Network-Monitoring-Software.pdf”]Network-Monitoring-Software
Proposal to Implement Ip-Guard
Pls translate from Chinese version of this doc .
Script to install snort, barnyard2, acid, mysql, apache, php on Fedora 20
Introduction
The purpose of this document is to provide a simple installation guide to get the Snort Report up and running with Snort intrusion prevention and detection system on Fedora 20 Linux System. Read More