2026年共享办公空间运营公司会员信息安全管理制度

2026年共享办公空间运营公司会员信息安全管理制度第一章总则第一条制定目的为规范共享办公空间运营公司（以下简称“公司”）旗下各共享办公空间会员信息安全管理行为，建立标准化、全流程、可追溯的会员信息安全管控体系，保障会员个人信息权益，防范会员信息泄露、篡改、丢失、滥用等安全风险，提升会员信息安全保护水平，结合共享办公行业“会员信息类型多、收集场景杂、使用频次高”的特性及《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《网络安全法》等法律法规要求，特制定本制度。第二条适用范围本制度适用于公司总部及旗下所有共享办公空间（含直营、联营模式）会员信息全生命周期的安全管理，覆盖会员信息收集、存储、使用、共享、传输、销毁、注销等所有环节，涉及总部运营管理部、技术部、安全管理部、行政部、财务部、各空间运营团队等相关职能部门，以及所有接触、处理、管理会员信息的内部员工、合作服务商等相关人员。第三条管理原则合法合规原则：严格遵守个人信息保护相关法律法规，所有会员信息处理行为均需获得会员明确授权，确保信息收集、使用、共享等环节全程合规。最小必要原则：仅收集、使用为提供共享办公服务所必需的会员信息，不超范围收集无关信息，不超权限使用已收集信息。全程防护原则：对会员信息从收集到销毁的全生命周期进行安全防护，通过技术、管理、物理等多维度措施，确保信息安全。权责明确原则：明确总部、各空间、各职能部门的会员信息安全管理职责，做到信息安全责任到人，避免责任推诿。用户知情原则：向会员清晰告知信息收集的目的、方式、范围及使用规则，会员有权查询、更正、删除自身信息，有权撤回信息使用授权。第四条管理职责总部运营管理部：作为会员信息安全管理的归口部门，负责制定会员信息安全管理实施细则；统筹会员信息收集、使用的合规性审核；监督各空间会员信息安全管理制度执行情况；每季度开展会员信息安全专项检查，提出整改优化建议。技术部：负责搭建会员信息安全防护系统，实现信息加密存储、分级访问控制；定期对信息系统进行漏洞扫描、安全加固；处理会员信息系统安全故障，排查信息泄露风险；记录会员信息访问日志，确保操作可追溯。安全管理部：负责制定会员信息泄露、篡改等安全事件的应急处置预案；组织信息安全培训及应急演练；调查处理会员信息安全事故，复盘事故原因并提出改进措施；确保会员信息管理符合数据安全相关法律法规要求。行政部：负责接触会员信息人员的保密管理，组织签署保密协议；管控存储会员信息的物理介质（U盘、硬盘等）；整理会员信息安全管理档案，包括授权记录、安全检查报告、应急处置记录等。财务部：负责会员支付信息、费用信息的安全管理，确保支付数据加密存储，仅用于费用结算相关场景；配合安全管理部排查财务环节的信息安全隐患。各空间运营团队：严格执行会员信息收集授权流程；规范存储和使用本空间会员信息，严禁私自留存、传播会员信息；及时处理会员提出的信息查询、更正、注销申请；发现信息安全异常情况立即上报总部。第二章会员信息收集与存储管理第五条信息收集规范收集原则：仅收集为提供共享办公服务所必需的信息，分为基础信息（姓名、联系方式、身份证号/营业执照信息）、服务信息（办公空间租赁需求、使用时长、门禁权限相关）、支付信息（银行卡号、支付账号等）三类，严禁收集与服务无关的敏感信息（如健康状况、宗教信仰等）。收集授权：线上注册会员需在注册页面明确展示《会员信息收集授权协议》，会员勾选确认后方可收集信息；线下登记会员需签署纸质授权协议，明确告知信息使用范围及期限，无授权不得收集任何信息。收集方式：仅限公司官方注册系统、各空间前台登记两种方式，禁止员工通过私人微信、电话等非官方渠道收集会员信息；收集过程中需核对信息真实性，避免错误收集他人信息。第六条信息存储管理分级存储：基础信息采用公司加密服务器集中存储，服务信息按空间分类存储，支付信息由财务部联合技术部加密存储，所有敏感信息（身份证号、银行卡号）需进行脱敏处理（隐藏中间位数）后展示，原始信息仅授权人员可查询。存储介质：禁止将会员信息存储在私人电脑、手机、U盘等非加密设备中；所有存储会员信息的设备需设置复杂密码并开启自动锁屏，定期更换密码。备份机制：技术部每月对会员信息进行加密备份，备份数据存储在独立服务器，与生产服务器物理隔离；备份记录需留存至少2年，确保数据丢失后可快速恢复。存储期限：会员信息存储期限不超过服务合作期限+法律法规要求的留存期限，无明确法规要求的，服务终止后留存1年即进行匿名化处理，不得继续留存可识别会员身份的信息。第三章会员信息使用与共享管理第七条信息使用规范使用范围：会员信息仅用于提供办公空间租赁服务、费用结算、服务通知、售后响应等约定场景，严禁用于营销推广、对外售卖等非约定场景；如需用于新服务推广，需单独向会员发送授权通知，获得明确同意后方可使用。使用权限：内部员工按岗位分级授权，前台仅可查询本空间会员基础信息，运营管理人员可查询服务信息，财务人员可查询支付信息，安全管理人员可查询全量信息（仅用于安全核查），所有操作需记录日志。信息更正：会员提出信息更正申请（如更换联系方式、更新营业执照信息），需核验会员身份后在1个工作日内完成更正，更正记录留存至信息销毁。第八条信息共享管理内部共享：仅在跨空间服务、总部统一结算等必要场景下进行内部共享，共享前需由运营管理部审核，共享过程采用加密传输，共享后记录共享日志。外部共享：禁止向任何第三方售卖、出借会员信息；确因合作（如保洁服务、设备维保）需共享部分信息的，需与合作方签署《信息安全保密协议》，仅共享必要的服务信息，且需提前告知会员并获得书面授权。禁止行为：所有员工严禁私自复制、转发、传播会员信息；严禁向亲友、无关人员泄露会员信息；严禁利用会员信息谋取私利，包括但不限于推销其他产品、索要好处等。第四章会员信息安全防护管理第九条技术防护措施系统防护：技术部为会员信息管理系统部署防火墙、入侵检测系统，定期进行漏洞扫描和安全更新，每月开展一次渗透测试，发现漏洞24小时内完成修复。访问控制：所有访问会员信息的账号需绑定员工工号，开启双重认证（密码+验证码）；离职员工账号需在离职当日注销，避免越权访问。日志管理：技术部记录所有会员信息的访问、修改、删除操作日志，包含操作人、操作时间、操作内容，日志保存至少1年，便于安全事件追溯。第十条物理防护措施办公环境：存储会员信息的服务器机房需设置门禁，仅授权技术人员可进入；各空间前台电脑需设置屏幕隐私膜，避免访客看到会员信息；打印会员信息的纸张需即时收回，禁止随意丢弃。设备管理：定期检查存储会员信息的电脑、服务器等设备，确保无恶意软件、木马程序；报废设备需由技术部完成数据彻底销毁后，方可交由第三方回收。第十一条应急处置流程安全事件上报：发现会员信息泄露、篡改、丢失等安全事件，相关人员需在10分钟内上报总部安全管理部，严禁瞒报、谎报、迟报；安全管理部接报后立即启动应急预案。事件处置：技术部第一时间切断风险源（如关闭异常访问账号、暂停系统服务），排查事件影响范围；安全管理部评估事件严重程度，对涉及的会员进行告知，必要时配合监管部门调查。整改优化：事件处置完成后，安全管理部复盘事件原因，制定整改措施，技术部在7个工作日内完成系统加固，避免同类事件再次发生。第五章会员信息销毁与注销管理第十二条信息注销流程注销申请：会员提出账号注销申请后，各空间运营团队需核验会员身份，确认无未结清费用后，在3个工作日内提交总部运营管理部审核。注销处理：审核通过后，技术部停止该会员信息的所有使用权限，在7个工作日内完成信息删除或匿名化处理；注销完成后向会员发送确认通知，注销记录留存至少2年。第十三条信息销毁规范介质销毁：存储会员信息的U盘、硬盘等物理介质，销毁时需采用消磁、粉碎等方式，确保数据无法恢复，销毁过程需有2名以上工作人员在场监督，记录销毁时间、方式、人员。数据销毁：服务器中的会员信息销毁需通过专业数据删除工具完成，删除后进行数据恢复测试，确认无法恢复后方可结束；销毁记录纳入会员信息安全管理档案。第六章人员管理与培训第十四条人员权限管理权限授予：接触会员信息的员工需经背景核查，签订《会员信息安全保密协议》，方可授予对应权限；权限遵循“最小授权”原则，不授予与岗位无关的信息访问权限。权限复核：行政部每季度对员工信息访问权限进行复核，对调岗、离职员工及时调整、注销权限；发现权限异常（如非工作时间频繁访问），立即暂停权限并核查原因。第十五条培训与考核全员培训：新入职员工需完成会员信息安全培训后方可上岗，在职员工每半年开展一次信息安全复训，培训内容包括法律法规、管理制度、操作规范、应急处置等。专项培训：技术部、安全管理部、各空间前台等关键岗位人员，每季度开展一次专项培训，重点讲解信息加密、漏洞防范、应急处理等实操技能。培训考核：培训后采用笔试+实操相结合的方式考核，笔试重点考查管理制度和法规要求，实操重点考查信息防护操作技能，考核不合格者需重新培训，直至考核合格。第七章监督考核与责任追究第十六条监督检查机制总部运营管理部联合安全管理部每月抽查各空间会员信息收集、存储、使用情况，重点核查授权记录、访问日志、设备安全状态；每季度开展一次全公司会员信息安全审计，形成审计报告。各空间运营负责人每日监督本空间员工信息操作行为，发现违规操作立即制止并上报，确保信息安全管理制度落地执行。第十七条考核指标体系核心考核指标包括：会员信息收集授权率（要求≥100%）、信息存储加密率（要求≥100%）、权限复核完成率（要求≥100%）、信息安全事件发生率（要求≤0.1%）、培训考核合格率（要求≥98%）。考核结果与各空间运营团队、职能部门绩效奖金挂钩：月度考核综合得分低于85分的，扣减相关团队当月绩效奖金的5%-8%；连续2个月考核不达标的，责令负责人限期整改，并提交整改报告。第十八条责任追究情形对违反本制度规定的行为，视情节轻重追究相关部门及责任人的责任：未按要求获得授权收集会员信息、超范围使用会员信息，导致会员投诉或轻微信息泄露的，责令限期整改，扣减相关人员当月绩效分值，通报批评；员工私自留存、传播、泄露会员信息，或未按规定销毁会员信息，造成会员信息泄露的，给予记过处分，扣减当月绩效奖金的10%-20%，情节严重的解除劳动合同；技术部未按要求进行系统防护、漏洞修复，导致会员信息系统被攻击、数据篡改的，追究技术负责人责任，扣