信息发布流程管理规定

信息发布流程管理规定第一章总则1.1目的为统一公司对外信息出口，防范法律、舆情、商业三重风险，确保“任何文字、图片、音视频、数据一旦离开公司控制边界即视为已发布”，特制定本规定。1.2适用范围本规定覆盖公司全体员工、实习生、外包驻场人员、顾问、董事及临时项目合作方，适用于一切可能被公众获取的信息载体，包括但不限于官网、社媒、APP、小程序、邮件、PPT、白皮书、海报、代码仓库、直播、采访、演讲、论文、专利、招投标文件、客户交付物。1.3发布定义“发布”指信息首次脱离公司可控技术环境或保密协议约束，被非授权人员实际或可能访问的行为。包括但不限于：点击“发送”“上传”“commit”“合并”“打印”“口头披露”“拍照”“屏幕共享”。1.4责任主体信息发布实行“谁产生、谁初审；谁业务、谁负责；谁平台、谁值守”的三级责任制。任何个人不得代替他人完成审批操作，违者视为伪造审批记录，按红线处理。第二章组织与职责2.1信息发布委员会（简称“发委会”）主任：分管公关副总裁；常设成员：法务、安全、品牌、合规、数据、业务、人力、内审、IT、档案、保密办；秘书机构设在品牌部。发委会每月召开一次例会，遇重大突发事件30分钟内启动战时机制。2.2信息发布官（PIO）每个一级部门设专职或兼职PIO1名，通过发委会认证考试并签署《个人保密及责任状》。PIO拥有唯一审批账号，离职或转岗须完成“账号+权限+待办”三清零。2.3信息安全部负责技术扫描、敏感词库、水印、泄密溯源、暗网监测、应急冻结。2.4法务部负责知识产权、肖像权、广告法、出口管制、GDPR、CCPA、PCI-DSS、行业监管条文审查。2.5品牌部负责口径一致性、VI规范、舆情监测、危机公关、媒体关系。2.6数据治理组负责个人信息、重要数据、核心数据分级，出具《数据出境安全评估报告》。2.7档案室负责发布物料的纸质原件、电子原件、审批单、修改痕迹、授权链永久存档，保存期限自发布之日起不少于10年；涉国家秘密的按《保密法》执行。第三章信息分级与负面清单3.1分级标准T0国家秘密：泄露会造成国家安全和利益特别严重损害；T1公司核心商业秘密：泄露会造成股价剧烈波动或市占率下降≥5%；T2内部敏感：泄露会造成客户批量投诉、监管处罚或收入下降≥1%；T3内部一般：泄露会造成工作被动、舆情升温；T4可公开：已通过官方渠道正式对外披露。3.2负面清单（禁止发布）a)国家秘密、警务数据、国防相关、未脱敏的个人信息、生物识别原始图像；b)未公开的重大战略、并购、重组、财报、股权激励、现金流、债务、诉讼、处罚；c)源代码、算法参数、模型权重、密钥、私钥、证书、密码策略、网络拓扑、未修复漏洞细节；d)供应商合同金额、返点比例、客户名单、未中标信息、价格底牌；e)未经肖像权人书面同意的员工、客户、公众人物正面清晰照片或视频；f)违反广告法“国家级”“最佳”“唯一”等极限词，以及未注明的投资收益率、保本承诺；g)任何可能引致民族、地域、性别、宗教歧视或违反公序良俗的内容；h)未经授权的第三方版权素材、字体、音乐、商标、专利、商业秘密。第四章发布流程4.1流程总图“创建→自审→部门PIO初审→专业会签→发委会终审→发布→监测→归档→复盘”九步闭环，任何一步被驳回即退回起点，重新计数版本号。4.2创建作者使用公司统一模板（Word+样式库、PPT+母版、XD+组件库），在头部插入“草稿”水印；文件名格式：YYYYMMDD_部门_项目_版本_作者.docx。4.3自审作者对照《负面清单》和《敏感词库》逐条勾选，使用“文档检查器”一键脱敏，生成《自审报告》并电子签名。4.4部门PIO初审a)完整性：模板、数据、引用、授权书、修改痕迹；b)分级：确认信息级别并选择对应审批通道；c)风险：填写《信息发布风险评估表》，从法律、舆情、商业、技术四维打分，任一项≥8分（10分制）即升级至发委会。4.5专业会签T0/T1必须经法务、安全、数据、品牌、财务、内审六部门会签；T2须法务+品牌；T3须品牌；T4可直接发布但需备案。会签时限：工作日4小时内反馈，逾期视为同意但保留事后追责权。4.6发委会终审a)材料：终稿、风险评估表、会签意见、授权链、保密协议、第三方检测报告；b)会议：三分之二成员出席方可表决，表决通过须≥60%票数；c)结果：当场出具《信息发布决定书》，编号格式：FB-YYYY-NNN，盖电子章并写入区块链存证；d)否决：发委会否决的稿件，6个月内不得换皮重新提交，作者及部门绩效扣减2分。4.7发布a)账号：仅允许白名单IP、企业微信扫码、硬件UKey三因素登录；b)窗口：每日7:30–22:00为可发布时段，其余时段系统自动关闭；c)双岗：发布操作须“发布人+复核人”双人同时在场，屏幕全程录屏；d)水印：所有对外图片、PDF、视频叠加“公司Logo+发布时间+决定书编号”隐形水印；e)备份：点击发布同时，系统生成ZIP包（含源文件、决定书、截图）自动推送到档案室。4.8监测品牌部使用舆情系统每5分钟爬取一次全网，出现负面信息30分钟内报送发委会；安全部同步做暗网、GitHub、网盘、社媒私有群监测。4.9归档档案室在发布后24小时内完成“四性检测”：真实性、完整性、可用性、安全性，生成《归档回执》并返回发布人。4.10复盘发布后第7天由PIO召集复盘会议，输出《信息发布复盘报告》，含数据表现、舆情曲线、改进建议，抄送发委会。第五章特殊场景细则5.1突发事件a)定义：突然发生、已或可能被媒体曝光、对公司声誉/股价/合规造成即时重大影响的事件；b)启动：事发部门10分钟内电话报告发委会主任，30分钟内提交《事件简报》；c)口径：由品牌部会同法务在1小时内出具“唯一官方口径”，其他任何人员不得擅自接受媒体采访或在社交媒体发声；d)发布：经主任口头授权后可先行发布“事实+态度+后续”三段式声明，2小时内补齐书面审批；e)违规：擅自发声者，首次停职检查，二次解除劳动合同并追偿损失。5.2投融资/并购a)静默期：自项目启动日至公告日设为静默期，所有对外信息统一由投资部指定发言人对接；b)公告：须按《证券法》及交易所规则在指定披露平台首发，同步转载至官网；c)路演PPT：须提前3个工作日提交发委会，逐页添加“未公开信息”页眉，现场分发纸质版须编号、回收、粉碎。5.3代码开源a)评估：安全部进行成分分析，确保无GPL传染性、无硬编码密钥、无注释泄露业务逻辑；b)许可：法务选定许可证（MIT/Apache2.0/BSD3-Clause），并出具《开源合规报告》；c)发布：仅允许推送至公司官方GitHub组织账号，禁止个人账号上传；d)双库：内部GitLab保留只读镜像，任何Issue/PR须同步到Jira跟踪。5.4员工个人社媒a)认证：员工在个人微博/抖音/小红书/知乎/Bio中注明“观点仅代表个人”；b)禁止：头像使用公司Logo、工牌、办公环境未打码照片；c)披露：不得透露未公开产品截图、内部邮件、绩效数据、工资、股票数量；d)带货：不得利用公司资源为个人店铺导流；e)违规：由人力部会同品牌部约谈，删除相关内容并内部通报，造成损失照价赔偿。第六章权限与账号管理6.1最小权限所有发布系统采用RBAC+ABAC组合模型，权限颗粒度到“栏目+操作+时段+IP段”。6.2账号生命周期a)开通：须填写《信息发布系统账号申请表》，经部门负责人、PIO、IT三方签字；b)变更：调岗、晋升、降级须在HR系统确认后2小时内同步至权限中心；c)冻结：发现异常登录、离职、外包结束，IT在30分钟内冻结；d)注销：冻结满90天无争议，由档案室出具《无待归档任务证明》，IT方可彻底删除。6.3多因素认证所有后台强制使用FIDO2硬件钥匙+企业微信扫码+动态令牌，密码长度≥16位，包含大小写、数字、特殊字符，90天强制更换，新密码不得与历史5次重复。6.4操作审计日志保留≥5年，字段含：用户、时间、IP、MAC、操作、对象、结果、耗时、UA、证书序列号。审计部每季度抽查10%日志，发现问题即时通报。第七章技术保障7.1敏感词与正则引擎a)词库：内置政治、法律、暴力、色情、广告法极限词、竞品贬低词共1.2万条；b)更新：安全部每周三拉取国家网安总队、市场总局、行业主管通报，24小时内入库；c)自学习：NLP模型每月用1万条已审批正文微调，误报率控制在2%以内。7.2数字水印a)可见水印：透明度30%，旋转–30°，字体思源黑体，大小占短边6%；b)隐形水印：频域扩频，鲁棒性抵抗压缩、裁剪、重拍，提取误码率<0.5%；c)溯源：发现泄露后30分钟内定位到决定书编号、发布人、复核人。7.3泄密溯源采用“Web+暗网+网盘+IM”四路爬虫，结合图片perceptualhash、代码simhash，相似度≥85%即触发告警。7.4版本比对使用git深度diff算法，对Word、PPT、PDF二进制结构进行结构化解析，高亮新增、删除、移动段落，防止夹带私货。第八章培训与考核8.1入职培训新员工8小时内完成《信息发布安全》线上课程（含VR模拟泄密场景），满分100分，90分合格，不合格禁止开通任何对外账号。8.2年度复训每年6月全员再教育，新增案例、法规、工具更新，缺课者绩效扣减5%。8.3专业认证PIO须通过“CISP-PTE+公司自设发布官”双证，每三年再认证，费用公司承担80%，个人承担20%，未通过者调离岗位。8.4考核指标a)部门：年度发布违规次数≤1次；b)PIO：审批时效平均≤4小时，驳回率5%–15%，低于5%视为“放水”，高于15%视为“过度审查”；c)个人：出现红线即取消当年晋升、调薪、股权激励资格。第九章监督检查与问责9.1日常抽查内审部每月随机抽取上月10%已发布内容，倒查审批链、授权书、水印、日志，发现问题立即下发《整改通知书》，限期3个工作日回复。9.2专项检查遇国家政策调整、重大舆情、监管处罚，发委会可启动专项检查，范围可回溯36个月。9.3问责阶梯a)轻微：口头警告+线上通报；b)一般：书面警告+绩效扣10%；c)严重：记过+降职+冻结股票；d)红线：解除劳动合同+行业通报+民事赔偿+移送司法。9.4申诉通道当事人对问责结果有异议，可在收到通知5个工作日内向“信息发布申诉委员会”提交书面申诉，申诉委员会由法务、工会、内审三方组成，10个工作日内给出终局结论。第十章法律法规清单10.1国家层面《保守国家秘密法》《网络安全法》《数据安全法》《个人信息保护法》《广告法》《反不正当竞争法》《证券法》《著作权法》《专利法》《商标法》《电子商务法》《政府信息公开条例》。10.2行业规章《金融信息服务管理规定》《互联网信息服务管理办法》《区块链信息服务管理规定》《证券期货业信息发布管理办法》《医疗健康数据安全指南》《汽车数据安全管理若干规定》。10.3国际合规GDPR（欧盟）、CCPA（加州）、PIPEDA（加拿大）、LGPD（巴西）、PDPA（新加坡）、SOX（美国萨班斯）、HIPAA（美国医疗）。第十一章应急预案11.1分级响应Ⅰ级（特重大）：国家秘密泄露、监管停牌、重大人身安全事故；Ⅱ级（重大）：T1信息泄露、热搜前10、股价波动≥8%；Ⅲ级（较大）：T2信息泄露、热搜前50、客户投诉≥100起；Ⅳ级（一般）：T3信息泄露、局部舆情、客户投诉<100起。11.2响应流程a)发现：任何员工发现疑似泄露即可拨打24小时热线400-XXX-0000，或通过企业微信“一键应急”小程序；b)初判：安全部10分钟内完成水印提取、日志定位、影响面评估；c)定级：发委会主任30分钟内确定响应级别；d)处置：Ⅰ级：1小时内上报国家主管部门，3小时内召开新闻发布会，24小时内完成全平台删除、搜索引擎缓存刷新；Ⅱ级：2小时内发布官方声明，12小时内完成降温；Ⅲ级：4小时内完成正面稿件覆盖，48小时内结案；Ⅳ级：1工作日内完成内部通报，3工作日内结案。e)复盘：应急结束后5个工作日内输出《应急总结报告》，更新制度。11.3资源池a)技术：备用CDN、404重写、搜索引擎站长工具、SSL证书吊销、域名暂停；b)公关：核心媒体白名单、KOL绿色通