北京市信息安全制度

北京市信息安全制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律法规，结合国家网络安全等级保护制度要求，以及北京市关于企业信息安全的监管政策，同时参照集团母公司信息安全管理体系规范，为有效防控企业信息安全风险、规范信息安全管理行为、保障业务连续性，经公司研究决定制定本制度。同时，为满足公司数字化转型过程中对数据资产保护、系统安全防护的内部需求，特制定本专项管理制度，以实现信息安全管理的标准化、体系化、合规化。第二条本制度适用于公司总部各部门、下属单位及全体员工，涵盖公司所有业务场景，包括但不限于信息系统运行、数据存储与传输、网络环境管理、办公设备使用、第三方服务合作等，确保所有涉及信息安全的活动均符合本制度要求。第三条本制度中核心术语定义如下：（一）“信息安全专项管理”指公司为维护信息系统安全、保障数据资产完整与可用性、履行合规义务而建立的一整套管理机制、流程与技术措施，涵盖风险识别、管控、处置及持续改进的完整闭环。（二）“信息安全风险”指因技术漏洞、管理缺陷、人为因素或外部威胁等导致信息系统中断、数据泄露、业务瘫痪或合规受限的可能性，分为一般风险与重大风险。（三）“信息安全合规”指公司所有信息安全活动严格遵守国家法律法规、行业准则及本制度要求，确保经营行为在法律框架内运行。第四条信息安全专项管理遵循以下核心原则：（一）全面覆盖原则：确保所有业务场景、系统及数据均纳入安全管控范围，不留管理死角。（二）责任到人原则：明确各层级、各岗位信息安全职责，建立可追溯的责任体系。（三）风险导向原则：优先管控高风险领域，动态调整资源配置，平衡成本与安全效益。（四）持续改进原则：通过定期评估与优化，不断完善信息安全管理体系，适应内外部环境变化。第二章管理组织机构与职责第五条公司主要负责人对信息安全专项管理负总责，承担第一责任人的领导责任；分管领导对专项管理工作负直接责任，负责统筹部署、监督落实与考核评价。第六条设立信息安全专项管理领导小组，由公司主要负责人任组长，分管领导任副组长，成员包括牵头部门负责人、专责部门负责人及业务部门代表，主要履行以下职能：（一）统筹公司信息安全战略规划，协调跨部门重大事项。（二）审议重大信息安全风险处置方案及专项管理制度修订。（三）监督评价信息安全管理体系运行效果，定期听取工作报告。第七条设立信息安全专项管理办公室（由信息中心牵头），作为领导小组日常执行机构，负责统筹管理以下工作：（一）组织制定、修订信息安全专项管理制度及操作规程。（二）统筹开展信息安全风险评估、监测预警与应急响应。（三）监督业务部门信息安全合规情况，提出改进建议。第八条明确三类主体职责分工：（一）牵头部门（信息中心）：1.统筹信息安全技术体系建设，包括边界防护、数据加密、漏洞管理等。2.组织开展信息安全培训与意识宣贯，定期发布风险通报。3.负责信息安全工具（如监控系统、备份系统）的运维管理。（二）专责部门（法务合规部、内控部）：1.负责信息安全合规性审核，包括合同签订、供应商尽职调查等。2.优化业务流程中的安全控制点，推动合规要求嵌入业务系统。3.参与重大信息安全事件的调查处置与责任认定。（三）业务部门/下属单位：1.落实本领域信息安全要求，包括数据分类分级、操作权限管理等。2.开展日常安全检查，及时整改发现的隐患。3.负责人员离岗、转岗时的信息安全交接工作。第九条基层执行岗位人员（如系统管理员、数据操作员）必须履行以下合规操作责任：（一）签署岗位合规承诺书，明确个人操作红线。（二）发现信息安全事件或潜在风险时，及时上报至部门及专项管理办公室。（三）严禁非授权访问、下载、传输涉密或敏感数据，遵守密码管理规范。第三章专项管理重点内容与要求第十条网络边界防护管理：（一）业务操作合规标准：1.关键信息基础设施必须通过等级保护测评，防火墙、入侵检测系统等安全设备定期检测。2.外部访问需通过VPN或专线，实施双因素认证，并记录访问日志。（二）禁止性行为：1.严禁擅自停用安全设备或绕过安全策略访问系统。2.严禁将生产网与办公网直接互联，特殊场景需经审批并设置隔离措施。（三）重点防控点：1.识别DDoS攻击、APT入侵等威胁，建立流量异常监测机制。2.定期开展漏洞扫描，高危漏洞需在X日内修复。第十一条数据分类分级管理：（一）业务操作合规标准：1.按数据敏感性分为核心、重要、一般三级，制定差异化保护措施。2.敏感数据存储需加密，传输需使用安全通道，访问需基于最小权限原则。（二）禁止性行为：1.严禁非必要人员接触核心数据，严禁将敏感数据存储在个人设备中。2.严禁未经脱敏处理的数据用于数据分析或对外合作。（三）重点防控点：1.识别数据泄露风险，如数据库权限滥用、备份介质管理不当等。2.制定数据销毁流程，确保存储介质在废弃时无法恢复信息。第十二条系统与应用安全管理：（一）业务操作合规标准：1.新建系统需通过安全验收，应用系统需定期进行安全测试。2.关键系统需部署高可用架构，并建立灾难恢复预案。（二）禁止性行为：1.严禁使用未经授权的软件或开源组件，严禁系统配置弱口令。2.严禁擅自修改系统源代码或参数设置。（三）重点防控点：1.识别系统逻辑漏洞、SQL注入等风险，建立自动化监测工具。2.严格执行变更管理，重大变更需经领导小组审批。第十三条第三方合作安全管理：（一）业务操作合规标准：1.供应商准入需进行安全评估，签订包含安全责任条款的协议。2.外包服务需明确数据安全要求，定期审计其安全措施。（二）禁止性行为：1.严禁将核心数据存储在第三方未通过安全认证的平台。2.严禁因成本降低而牺牲安全标准选择合作方。（三）重点防控点：1.识别供应链攻击风险，如供应商系统被渗透导致数据泄露。2.建立合作方安全考核机制，不合格者必须整改或终止合作。第十四条人员安全与权限管理：（一）业务操作合规标准：1.新员工入职需签署信息安全保密协议，离职时强制清除权限。2.人员权限按需授予，定期开展权限梳理，及时回收闲置权限。（二）禁止性行为：1.严禁员工将工作设备用于私人用途，严禁非工作需要安装个人软件。2.严禁授权他人操作本人账户或系统。（三）重点防控点：1.识别内部人员作案风险，建立离职员工行为追踪机制。2.对核心岗位人员开展背景调查，确保持证上岗。第十五条应急响应与处置管理：（一）业务操作合规标准：1.制定信息安全事件分级标准，一般事件由业务部门处置，重大事件需上报领导小组。2.建立应急响应流程，明确各环节责任人与联系方式。（二）禁止性行为：1.严禁隐瞒不报信息安全事件，导致损失扩大。2.严禁在应急处置过程中擅自采取可能影响业务连续性的措施。（三）重点防控点：1.识别勒索软件、数据篡改等突发事件，定期开展应急演练。2.建立事件复盘机制，总结经验教训并优化预案。第十六条安全意识与培训管理：（一）业务操作合规标准：1.新员工入职需接受强制安全培训，考核合格后方可上岗。2.每年至少开展X次全员安全意识宣贯，内容涵盖最新风险案例。（二）禁止性行为：1.严禁培训合格后仍违规操作，对屡次违规者按制度处罚。2.严禁将培训内容用于非内部用途。（三）重点防控点：1.识别意识薄弱环节，如钓鱼邮件点击率居高不下时加强针对性培训。2.将培训效果纳入绩效考核，确保全员参与。第四章专项管理运行机制第十七条制度动态更新机制：（一）由信息安全专项管理办公室根据以下情形启动修订：1.国家法律法规或监管政策发生重大变化。2.公司业务架构或技术架构调整。3.出现重大信息安全事件暴露制度漏洞。（二）修订流程包括草案拟定、部门意见征询、领导小组审议、发布实施。第十八条风险识别预警机制：（一）每年X月开展全员信息安全风险排查，重点关注网络、数据、应用等领域。（二）采用定性与定量相结合的方法，对风险进行三级评估（低/中/高），并制定分级管控措施。（三）建立风险预警平台，对高危风险及时发布通报并跟踪整改。第十九条合规审查机制：（一）将信息安全审查嵌入以下关键节点：1.新系统上线前需通过安全验收。2.涉及敏感数据的合作协议需经法务合规部审核。3.重大业务变更需同步评估安全影响。（二）实施“未经审查不得实施”原则，审查不合格的项目一律推迟执行。第二十条风险应对机制：（一）一般风险由业务部门在X日内完成处置，并上报结果。（二）重大风险需成立专项处置组，由领导小组统筹资源协同处置，并及时向公司报告进展。（三）明确应急资源清单（如备用带宽、安全工具接口），确保响应效率。第二十一条责任追究机制：（一）违规情形与处罚标准对应表：|违规行为|处罚方式||----------|----------||非授权访问系统|警告或降级||丢失敏感数据|追究经济责任，情节严重者解除劳动合同||未经审批擅自外包|罚款并要求整改|（二）处罚联动绩效考核，严重者取消评优资格，并移交纪律部门。第二十二条评估改进机制：（一）每年X月组织信息安全管理体系有效性评估，包括制度执行率、风险控制效果等指标。（二）针对评估发现的问题，制定整改计划并跟踪落实，确保持续优化。第五章专项管理保障措施第二十三条组织保障：（一）各级领导干部需履行“一岗双责”，定期听取信息安全工作报告。（二）设立信息安全专项预算，保障安全工具采购、人员培训等投入。第二十四条考核激励机制：（一）将信息安全指标纳入部门年度考核，如系统故障率、培训覆盖率等。（二）设立“信息安全先进部门/个人”奖项，奖励在合规管理中表现突出的团队或个人。第二十五条培训宣传机制：（一）分层级开展培训：管理层侧重合规履职，全员侧重操作规范。（二）利用内网、宣传栏等载体，定期发布安全提示，营造警示氛围。第二十六条信息化支撑：（一）引入安全信息与事件管理（SIEM）系统，实现日志集中分析。（二）通过自动化工具实现漏洞扫描、补丁管理、权限审批等功能。第二十七条文化建设：（一）编制《信息安全合规手册》，作为员工的参考指南。（二）要求全体员工签署年度