电商平台管理机构和制度

一、管理机构架构图

二、部门职责

1、管理协调小组（总经理）：由公司管理层组成工作小组，总经办直接领导，工作内容包括：战略规划、运营实施、项目监督、员工培训、管理部署、企业文化建设等。

2、运营中心：根据公司战略目标，制定公司电商战略规划，把握电商业务发展方向；根据业务目标，制定整体运营方案、具体策略及营销运营模式，并组织实施；负责电商平台运营管理，提升用户活跃度、留存率及平台交易额；深入了解行业特点、用户特点及需求，提出产品优化建议；下设：商品组、活动组、文案组、商务组、推广组、增长组等

3、客服中心：通过热线电话、在线客服等渠道，为公司各产品客户提供高效、优质的服务体验，并尝试新的服务模式以实现相应客户价值；通过客户反馈，精准定位客户问题，推进优化服务流程、平台规则、商品供应等服务；根据业务需求进行跨部门写作沟通，积极推进有任务落地，及效果反馈并及时调整；下设：客服一组、客服二组…等。

4、技术中心：根据公司业务发展战略，负责电商业务系统设计、技术实现、性能优化及系统安全，为业务发展提供全面技术支持；紧密配合公司业务发展，组织团队完成产品设计和研发工作，确保项目按时保质完成；把握公司发展的技术动向，保证公司技术的领先型，为未来业务的实施做好准备；下设：产品组、设计组、前端组、后台组、APP组、测试组、运维组等。

5、商户服务中心：以公司战略目标为导向，组织完成相关市场调查准备掌握市场及季节需求，制定商家规划方案，准确推出符合市场定位规划；组织建立和完善商家开发、维护、淘汰等管理体系，维护商家资源库；下设：销售部、商户服务部、信息部、美工部等。

6、合规部：持续跟踪法律法规、监管规定和行业自律规则的变化，在公司内进行宣导。负责与相关部门沟通协调，制订落实法律法规的实施方案、管理办法、实施细则。负责保持与政府相关等机构的日常工作联系，及时记录各类监管文件的要求并形成报告。 编写合规案例和宣传材料，组织落实合规培训和宣传项目。对公司新上架产品、新开发业务、进行合规评估，提交合规评审报告，事前规避风险。为管理层和业务部门的经营活动提供合规咨询、意见和建议，支持业务稳健发展。参与违规事件的调查，测试和报告合规风险。收集、反馈公司各部门和业务线发生的合规风险事项及存在的内部控制缺陷等数据。下设：合规一组、合规二组等。

三、管理制度

1、系统安全管理制度

第一章 用户和密码管理

第一条 对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须通过用户和密码认证方可访问。

第二条 应具备管理、操作、审计三类管理权限账号，支持三权分立机制。

第三条 具有重要权限的账号密码设置必须符合以下安全要求:

（1）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容。

(2)密码长度至少是八个字符，组成上必须包含大小写字母、数字、标点等不同的字符。

(3)如果数据库系统、应用系统提供了密码安全周期机制，则账户密码必须至少每90天修改一次。

(4)同一密码不得被给定账户在一年内重复使用。

(5)如果数据库系统、应用系统提供了密码安全机制，则在30分钟之内连续出现5次无效的登录尝试时，其账户必须锁定15分钟。在此期间，管理用户可以采用经过批准的备用验证机制重新启用账户。

(6)厂商默认密码必须在软件或硬件安装调试完毕后进行修改。

(7)对于操作系统，必须禁用GUEST账户，并将管理员账户重命名。

第四条 密码保护与备份策略：

（1）范围：网络设备、服务器操作系统、数据库、应用系统、ADSL账户拨号信息；

（2）包含项目：网络设备包括访问的IP地址、端口，所有超级用户的用户名以及密码；服务器操作系统的IP地址、所有管理员账户名、密码；数据库中所有具有系统数据库管理员权限的用户的用户名和密码；应用系统中所有超级用户的用户名以及密码。

第二章 操作系统安全管理

第一条 操作系统管理员由运维部（部门）领导指定专人担任。

第二条 操作系统管理员主要责任包括：

（1）对操作系统登录账号、权限、账号持有人进行登记分配管理。

（2）制定并实施操作系统的备份和恢复计划。

（3）管理系统资源并根据实际需要提出系统变更、升级计划。

（4）监控系统运行状况，发现不良侵入立即采取措施制止。

（5）每1个月检查系统漏洞，根据实际需要提出版本升级计划，及时安装系统补丁，并记录。

（6）检查系统CPU、内存、文件系统空间的使用情况等。

（7）检查服务器端口的开放情况。

（8）每月分析系统日志和告警信息，根据分析结果提出解决方案。

第三条 在信息系统正式上线前，操作系统管理员必须删除操作系统中所有测试账号，对操作系统中无关的默认账号进行删除或禁用。

第四条 当操作系统管理员变化时，必须及时更换管理员口令。操作系统管理员必须创建专门的操作系统维护账号进行日常维护。

第五条 本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端时，必须退出操作系统。在操作系统设置上，操作系统管理员必须将操作系统账号自动退出时间参数设置为10分钟以内。

第六条 操作系统管理员执行重要操作时，必须开启操作系统日志，对于一些系统无法自动记录的重要操作，由操作系统管理员将操作内容记录在《系统维护日志》上。

第三章 数据安全管理

第一条 数据库管理员由运维部（部门）领导根据工作需要指定专人担任。数据库管理员必须创建专门的服务支撑账号进行日常服务支撑。

第二条 数据库管理员的职责：

（1）数据库用户注册管理及其相关安全管理。

（2）对数据库系统存储空间进行管理，根据实际需要提出扩容计划。对数据库系统性能进行分析、监测，优化数据库的性能。必要时进行数据库碎片整理、重建索引等。

（3）制定并实施数据库的备份及恢复计划，根据备份计划进行数据库数据和配置备份，并检查数据库备份是否成功。

（4）至少每3个月对数据库版本进行管理，提出版本升级计划，需要时安装数据库系统补丁，并做好记录。

（5）监测有关数据库的告警，检查并分析数据库系统日志，及时提出解决方案，并记录服务支撑日志。

（6）检查数据库对主机系统CPU、内存的占用情况。

第四章 终端安全管理

第一条 各计算机终端用户不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动，不得私自调整网络参数配置。

第二条 计算机终端设备为生产设备，不得私用，转让借出，除笔记本电脑外，其它设备严禁无故带出生产工作场所。

第三条 计算机终端设备不得安装与办公无关的软件和进行与办公无关的活动。

第四条 所有计算机终端设备必须统一安装网络防病毒软件，接受防病毒服务器的统一管理，未经运维部（部门）同意，不得私自在计算机中安装非运维部（部门）统一规定的任何防病毒软件及个人防火墙。对于特殊专业使用的终端设备必须安装适合的防病毒软件，符合防病毒安全管理规定。长期在外使用的计算机终端设备，必须及时升级操作系统补丁和防病毒软件。

第五条 运维部（部门）采取必要的管理工具或手段，检查终端设备是否及时升级操作系统补丁、是否及时更新防病毒软件的病毒库信息。

第六条 运维部（部门）定期组织检查办公用机器上是否安装或使用非办公软件及任何与工作无关的软件，定期检查是否访问反动、色情网站。

第七条 各计算机终端用户负责自己所拥有的一切口令的保密，并根据密码管理的要求及时修改口令。不得将自己所拥有系统账号转借他人使用。

第八条 禁止在计算机终端上开放具有“写”权限的共享目录，如果确实必要，可临时开放，必须设置基于用户的共享，禁止将共享权限赋予“Everyone”，在共享使用完之后应立刻取消。在下班时将自己使用的个人计算机关机。

第九条 禁止在个人计算机操作系统分区或卷上存放重要数据，以及以软盘、移动存储设备、红外设备或手提电脑等形式将重要数据带出系统。如需要将移动存储设备连接到个人计算机，需征得运维部（部门）同意并进行病毒查杀后方可接入，未经同意使用U盘、移动硬盘等设备造成机器故障或网络故障的，根据情节，将提交领导进行处理或其它处罚。

第十条 如因工作需要，需将非计算机或者笔记本电脑接入单位内部，必须经运维部（部门）同意并检查后，方可接入。

2、网络安全管理制度

第一条 为规范南通云尚找家纺电子商务有限公司网络安全管理，防范和控制单位网络运行风险，确保业务服务安全正常进行，根据《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》等法律法规及相关规定，结合本单位实际，特制定本制度。

第二条 本制度明确了南通云尚找家纺电子商务有限公司网络的规划、开通、变更、使用、维护等方面的职责、程序等内容和要求。

第三条 本制度适用于南通云尚找家纺电子商务有限公司网络运行的管理。

第四条 网络规划要求

（1）全单位内部网络系统的规划、设计及设备安装，统一由网络管理员负责，并要求严格遵守保密制度。

（2）业务网络的规划，原则上必须严格与外部网络实行完全的物理隔离。

（3）由于远程维护等特殊应用，不能做到完全物理隔离的互联接入应用规划，必须使用VPN接入。并应按照相关要求提出书面申请。

第五条 开通流程的要求

（1）由具体应用项目部门填写《内部网络开通应用审批表》，并提交本部门领导审批后上报黄文靖。

（2）网络管理员对《内部网络开通应用审批表》进行审核后，拟定网络接入方案，并提交至黄文靖审定。

（3）由黄文靖对该应用网络接入的安全性作出安全性评估，黄文靖审批，最后由网络管理员实施。

第六条 变更顺序

（1）由变更需求部门或个人填写《内部网络变更应用审批表》，并提交本部门领导审批后上报黄文靖。

（2）黄文靖对《内部网络变更应用审批表》进行审批后，交网络管理员实施。

（3）对涉及接入方式和安全架构发生重大变化的网络变更，应按项目开通流程执行。

第七条 网络运行与维护管理

（1）网络管理员负责本单位网络设备的安装、调试和维护工作。

（2）重要网络设备应放置在主机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。

（3）网管设备属专管设备，必须严格控制其管理员密码。口令要求每季度更换。

（4）网络管理员应负责经常巡查网络系统是否有可疑设备及非法电缆的接入，定期检查网络日志，随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应即时通知并报告黄文靖。

（5）网络管理员应实时注意观察系统的运行情况，检查登录日志文件，若发现有可疑人员侵入，应立即采取网络应急措施，报告黄文靖。

（6）为保证网络安全运营网络管理员必须做好网络扫描、监测结果和网络运行日志等重要信息应备份存储。

（7）严禁超越网络管理权限，非法操作业务数据信息。任何综合业务网络终端用户，未经运维部许可不得擅自采用任何网络互连设备或其它方式接入网络或其它用途的计算机设备。

（8）网络系统技术文档资料、应用软件及参数设置文件，应交档案管理人员统一管理。

（9）严禁任何人向非授权机构和个人泄露业务网络配置参数和信息资料，擅自更改内部网络的接入方式和架构，以及相关网络和计算机设备的配置参数。

（10）严禁任何人将未经运维部许可的计算机及通信设备接入网络，挪用或移动网络通信设备和线路。

（11）重要网络通信硬件设施、应用软件设施及网络参数配置应有备份。

第八条 安全检查

（1）网络管理员对内网用户的连接和使用实行不定期检查。各使用部门应自觉接受监督检查。

（2）发现问题，网络管理员可立即切断问题设备与内网的连接，上报运维部，责令其立即整改。并可视情况的严重程度进行处罚。

附件：

3、个人信息管理制度

第一条 为了保护南通云尚找家纺电子商务有限公司用户的合法权益，维护网络信息安全，依据《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》，制订本制度。

第二条 我局提供网络信息服务过程中，有收集、使用用户个人信息的网络应用平台（以下简称平台），适用于本制度。

第三条 本制度所称用户个人信息，是指平台在提供服务过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息，以及用户使用服务的时间、地点等信息。

第四条 平台在提供信息服务过程中，收集、使用用户个人信息，应当遵循合法、正当、必要的原则。

第五条 平台对收集、使用的用户个人信息的安全负责，应明确和落实相关人员安全管理责任，对工作人员实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施。

第六条 平台未经用户同意，不得收集、使用用户个人信息，如确需用户提供个人信息，应明确告知用户使用的目的、方式、范围和救济渠道，并告知拒绝提供信息的后果。

第七条 平台收集、使用用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供，不得与他人谈论用户个人信息内容。

第八条 网络安全和信息化工作领导小组对用户个人信息保护工作实施监督管理，平台保管的用户个人信息发生泄露、毁损或者丢失，造成或者可能造成严重后果的，应及时通报领导小组办公室进行调查和应急处置。

第九条 平台保管的用户个人信息因泄露、篡改、毁损或者丢失，对我局工作带来不利影响的，参照《信息公开违规违法行为责任追究制度》办理。

第十条 平台应积极接受公民、法人和其他社会组织的批评、意见和建议，评议工作参照《政府信息公开工作社会评议制度》办理。

第十一条 本制度由找家纺网负责解释。