北京市信息安全制度

北京市信息安全制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等国家法律法规，参照行业信息安全保障准则及集团母公司相关风险管理规定制定。为有效防控信息安全隐患，规范信息安全业务流程，保障公司信息系统安全稳定运行及数据资产安全，结合企业实际发展需求，特制定本制度。第二条本制度适用于公司各部门、下属单位及全体员工，涵盖公司信息系统建设、数据管理、网络安全、应用运维等业务场景，包括但不限于办公系统、业务系统、数据存储、网络传输、终端使用等环节。第三条本制度中下列术语含义：（一）“信息安全专项管理”指公司为保障信息系统安全、数据安全及合规性，建立的全流程风险防控、合规审查及持续改进的管理体系。（二）“信息安全风险”指因技术漏洞、管理缺陷、人为操作等因素可能导致信息系统瘫痪、数据泄露、业务中断或合规处罚的潜在威胁。（三）“信息安全合规”指企业信息系统建设、数据管理及业务操作符合国家法律法规、行业规范及公司内部制度要求的状态。第四条信息安全专项管理应遵循“全面覆盖、责任到人、风险导向、持续改进”的原则。（一）全面覆盖：确保所有信息系统及数据资产纳入安全管理范畴，无死角、无遗漏。（二）责任到人：明确各级管理及执行岗位的安全职责，实现责任闭环。（三）风险导向：以风险管控为核心，优先处置高风险领域及关键环节。（四）持续改进：定期评估管理有效性，优化流程机制，适应内外部环境变化。第二章管理组织机构与职责第五条公司主要负责人为公司信息安全专项管理第一责任人，对信息安全工作负总责；分管信息技术、运营及风控的领导为公司信息安全专项管理直接责任人，负责统筹决策及资源协调。第六条设立信息安全专项管理领导小组，由公司主要负责人牵头，成员包括分管领导、信息技术部、审计部、法务部、各业务部门负责人及下属单位代表。领导小组职责包括：（一）统筹协调信息安全专项管理工作，制定总体战略及年度计划；（二）决策重大信息安全风险处置方案及合规问题整改措施；（三）监督评价各层级信息安全管理成效，审核专项工作报告。第七条成立信息安全专项管理办公室（设在信息技术部），承担领导小组日常管理工作，职能包括：（一）组织编制及修订信息安全专项管理制度；（二）统筹开展信息安全风险评估及隐患排查；（三）监督考核各部门信息安全合规情况；（四）协调跨部门信息安全事件处置及资源调配。第八条明确三类主体职责：（一）信息技术部（牵头部门）：1.统筹公司信息系统安全建设，负责技术防护方案落地；2.组织信息安全风险评估及等级保护测评；3.制定安全事件应急预案并组织演练；4.负责安全意识培训及合规宣贯。（二）审计部、法务部（专责部门）：1.审核信息系统建设、数据管理及业务操作合规性；2.优化信息安全业务流程，提出管理改进建议；3.协调违规事件调查处置，出具合规评估报告。（三）各业务部门、下属单位（实施主体）：1.落实本领域信息安全管控要求，明确岗位操作规范；2.开展日常安全自查，及时上报风险隐患；3.负责终端设备管理及员工行为监督。第九条基层执行岗位人员（含技术、业务及行政人员）应履行以下责任：（一）严格遵守信息安全操作规程，不执行未经授权的指令；（二）发现系统异常或违规操作及时上报，不得隐瞒或擅自处置；（三）签订岗位信息安全承诺书，对职责范围内的安全事件承担责任。第三章专项管理重点内容与要求第十条信息系统建设与运维管控：（一）业务系统开发需通过信息安全部门技术评审，禁止擅自接入未经验收的第三方组件；（二）定期开展系统漏洞扫描及修复，重要系统每月至少一次安全检测；（三）数据库访问需遵循最小权限原则，禁止批量导出敏感数据至公共云平台。第十一条数据安全管控：（一）敏感数据（含个人信息、商业秘密）存储需加密处理，传输应采用安全通道；（二）数据共享需经业务主管审批，并签订数据使用协议；（三）离职人员需立即清除其所有数据访问权限，禁止带离公司数据资源。第十二条网络安全防护要求：（一）办公网络与生产网络物理隔离，禁止非授权设备接入核心网络；（二）外网访问需通过防火墙统一管理，禁止使用默认口令或弱口令；（三）VPN接入需严格身份认证，记录所有网络访问日志，保存期限不少于六个月。第十三条安全意识与技能培训：（一）新员工入职须完成信息安全基础培训，考核合格后方可接触敏感系统；（二）每年组织至少一次全员安全意识测试，高风险岗位需通过专项技能认证；（三）定期发布安全通报，提示最新威胁趋势及防范措施。第十四条应急响应与处置：（一）发生数据泄露、系统瘫痪等事件，应在三十分钟内启动应急预案；（二）事件处置需成立临时工作组，明确分工，全程记录处置过程；（三）事件平息后需进行复盘分析，修订管理制度及技术防护措施。第十五条外部合作安全管理：（一）供应商信息安全评估需覆盖技术能力、管理制度及业务场景适配性；（二）第三方接入需通过安全域隔离，禁止跨域数据流动；（三）合作终止时需审计数据销毁情况，确保无遗留风险。第十六条技术防护标准：（一）重要信息系统需部署入侵检测系统，并定期校准告警规则；（二）终端设备需安装防病毒软件及统一安全策略，禁止擅自卸载；（三）数据备份应遵循“两地三中心”原则，每月验证恢复可用性。第四章专项管理运行机制第十七条制度动态更新机制：（一）信息技术部每年对照法规变化及业务调整，修订信息安全专项管理制度；（二）重大制度修订需经领导小组审议，并组织全员培训；（三）技术标准需同步更新，确保与国家等保要求一致。第十八条风险识别预警机制：（一）每年开展季度性风险评估，重点关注供应链风险、数据泄露风险及系统漏洞；（二）对高风险项需制定整改计划，明确责任部门及完成时限；（三）建立风险预警池，对潜在风险提前发布通报，要求部门自查自纠。第十九条合规审查机制：（一）信息系统上线需通过合规性审查，未经审查的禁止接入生产环境；（二）合同签订前需审核其中信息安全条款，禁止签订含“数据裸奔”条款的协议；（三）审计部门每季度抽查合规执行情况，对问题单位通报批评并约谈负责人。第二十条风险处置机制：（一）一般风险由业务部门自行处置，重大风险需上报领导小组协调解决；（二）突发事件处置需遵循“先控制、后恢复、再分析”原则，责任部门需提交处置报告；（三）跨部门协同处置时，信息技术部统筹资源，各部门落实具体措施。第二十一条责任追究机制：（一）违规操作导致损失的，按损失金额的百分之五十至百分之一百进行经济处罚；（二）屡次发生同类问题的，对责任部门取消年度评优资格；（三）涉嫌违法的，移交法务部按公司规定处理，情节严重的追究法律责任。第二十二条评估改进机制：（一）每年开展信息安全专项管理有效性评估，重点考核风险控制目标达成率；（二）评估结果需提交领导小组审议，作为部门绩效考核依据；（三）针对评估发现的漏洞，需制定专项整改方案，限期完成闭环。第五章专项管理保障措施第二十三条组织保障：（一）公司主要负责人每年听取信息安全专项工作汇报，研究解决重大问题；（二）设立信息安全专项预算，确保技术防护、培训宣贯及应急演练资金到位；（三）下属单位负责人对本单位信息安全负直接责任，需定期向集团报告管理情况。第二十四条考核激励机制：（一）将信息安全合规情况纳入部门年度考核，占比不低于百分之十；（二）对突出贡献的部门及个人授予“信息安全先进奖”，奖励金额不超过年度奖金总额的百分之五；（三）连续三年未发生安全事件的部门，可优先参与集团资源分配。第二十五条培训宣传机制：（一）管理层需接受信息安全合规履职培训，考核合格后方可参与决策；（二）一线员工每月至少接受一次操作规范培训，考核不合格者不得上岗；（三）制作信息安全知识手册，张贴在办公区、数据中心等场所，营造警示氛围。第二十六条信息化支撑：（一）建设统一的安全管理平台，实现风险实时监控、事件自动预警；（二）开发电子化审批系统，将安全检查嵌入业务流程，提高执行效率；（三）引入零信任架构技术，实现基于角色的动态权限控制。第二十七条文化建设：（一）每年举办信息安全月活动，发布合规倡议书，组织知识竞赛；（二）新员工入职需签署《信息安全承诺书》，明确违规后果；（三）设立安全监督举报热线，对提供有效线索的员工给予奖励。第二十八条报告制度：（一）风险事件上报需在两小时内完成，内容包括事件经过、处置措施及改进建议；（二）年度管理报告需在次年第一季度提交，涵盖风险评估、处置成效及预算执行情况；（三）报