2026年古籍修复公司信息安全管理制度

2026年古籍修复公司信息安全管理制度第一章总则第一条为规范公司信息安全管理工作，防范信息泄露、丢失、篡改、损毁等安全风险，保障公司经营数据、古籍修复核心数据、客户信息及员工信息的安全，依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》《文物保护法》等相关法律法规，结合古籍修复行业信息管理的特殊性及公司实际运营情况，制定本制度。第二条本制度所称信息，是指公司在经营管理、古籍修复业务开展过程中产生、收集、存储、使用的各类数据和资料，包括电子信息（如电子古籍扫描件、修复工艺数据、客户档案、经营报表、员工信息）和纸质信息（如古籍修复档案、纸质客户合同、内部管理文件）两大类。第三条本制度适用于公司全体部门及员工，外包合作方、临时用工人员在公司范围内开展工作涉及信息使用的，须遵守本制度相关要求；外部单位需获取公司信息的，按本制度相关审批流程执行。第四条信息安全管理遵循“分类分级、权责明确、预防为主、全程管控”的原则，聚焦古籍修复核心数据（如珍贵古籍电子扫描件、独家修复工艺）的安全保护，兼顾日常经营信息的合规管理，确保信息安全与业务开展相平衡。第五条公司成立信息安全管理领导小组，由总经理担任组长，分管技术、行政的副总经理担任副组长，IT部门（或行政部指定专人）、技术研发部、项目运营部、财务部负责人为成员；IT部门（或行政部）是信息安全管理归口部门，负责信息安全制度落地、安全设备维护、安全事件处置等统筹工作。第六条信息安全实行“谁主管、谁负责，谁使用、谁担责”的责任制，各部门负责人为本部门信息安全第一责任人，须组织员工学习信息安全知识、遵守安全操作规范，发生信息安全事件时第一时间上报并配合处置。第二章信息分类与保密等级第七条公司信息按业务属性分为四大类，覆盖全经营场景：（一）古籍修复核心信息：包括珍贵古籍电子扫描件/高清照片、古籍修复工艺参数、受损古籍修复方案、古籍材质检测数据、非遗修复技艺相关资料等，是公司核心竞争力相关信息；（二）客户及合作方信息：包括客户委托修复的古籍清单、客户身份信息、合作方资质信息、项目合作合同、报价及结算数据等；（三）公司经营管理信息：包括财务数据、人事档案、行政管理制度、应急预案、资质证书电子档、招投标文件等；（四）通用公开信息：包括公司营业执照（公开版）、行业宣传资料、非核心业务对外公示信息等。第八条公司信息按保密等级分为三级，实行差异化保护：（一）绝密级信息：包括珍贵古籍高清电子扫描件、独家修复工艺参数、核心客户的古籍修复隐私数据等，仅限核心岗位人员（如资深修复技师、技术研发部负责人）在授权范围内使用；（二）机密级信息：包括普通古籍修复方案、客户合同、财务数据、员工人事档案等，仅限相关业务部门人员在工作范围内使用；（三）秘密级信息：包括公司经营报表（非核心）、通用管理制度、合作方公开资质等，仅限公司内部员工使用，禁止对外泄露。第九条归口部门须建立信息分类分级管理台账，明确各类信息的存储位置、保密等级、授权使用人员、备份周期等，每季度核对一次台账信息，确保账实相符。第三章电子信息安全管理第十条电子信息存储安全要求：（一）绝密级、机密级电子信息须存储于公司加密服务器或专用加密存储设备，禁止存储于个人电脑、移动硬盘、U盘等非专用设备；（二）服务器须设置访问权限，按“最小授权”原则分配账号，绝密级信息仅授权指定人员访问，且需双重验证（账号密码+动态验证码）；（三）古籍修复核心电子信息须进行异地备份，备份介质加密存储，备份周期不超过7天，每月验证一次备份数据的完整性；（四）个人办公电脑须安装杀毒软件、开启防火墙，设置复杂登录密码（含字母、数字、特殊符号），每90天更换一次密码，禁止共用账号密码。第十一条电子信息传输安全要求：（一）内部传输绝密级、机密级信息，须使用公司加密通讯工具，禁止通过公共邮箱、社交软件（如微信、QQ）传输；（二）对外传输客户信息、古籍修复相关信息，须经审批后使用加密压缩包形式发送，压缩包标注“仅限XX用途，有效期至XXXX年XX月XX日”；（三）禁止在公共网络（如咖啡厅、酒店Wi-Fi）环境下访问公司服务器、传输核心信息，确需远程办公的，须使用公司指定VPN并验证身份。第十二条电子信息使用安全要求：（一）使用古籍修复核心电子信息时，须在公司指定办公区域操作，禁止截屏、录屏、拍照，禁止复制到非公司设备；（二）办公电脑禁止安装非授权软件，禁止接入不明U盘、移动硬盘等存储设备，确需使用的，须经IT部门（或行政部）检测无病毒后接入；（三）电子信息打印（如古籍修复方案、客户合同）须登记，打印后及时取件，废弃打印纸须碎纸销毁，禁止随意丢弃。第四章纸质信息安全管理第十三条纸质信息存储安全要求：（一）绝密级、机密级纸质信息（如古籍修复工艺手册、核心客户合同）存放于专用保密柜，实行双人双锁管理，钥匙由部门负责人和指定专人分别保管；（二）古籍修复纸质档案须存放于恒温恒湿库房，配备防火、防潮、防虫设施，与电子信息分开存放，避免同时损毁；（三）普通纸质信息存放于带锁文件柜，定期整理，无保留价值的按本制度第十五条规定处理，禁止随意堆放。第十四条纸质信息使用与借阅要求：（一）借阅绝密级纸质信息，须经信息安全管理领导小组审批；借阅机密级纸质信息，须经部门负责人审核、归口部门审批；借阅秘密级纸质信息，须部门负责人审批并登记；（二）借阅期限最长不超过7个工作日，确需延期的须提前1个工作日申请；借阅期间妥善保管，禁止涂改、撕毁、转借，归还时核对信息完整性；（三）纸质信息复印须经审批，复印件标注“复印件”及使用用途，与原件同等管理，使用完毕后及时收回销毁。第十五条纸质信息销毁要求：（一）无保留价值的绝密级、机密级纸质信息，须由两人在场监督碎纸销毁，做好销毁记录（销毁时间、内容、监督人）；（二）普通纸质信息销毁前须去除敏感信息（如客户姓名、联系方式），可采用碎纸或集中焚烧方式，禁止整份丢弃；（三）古籍修复相关纸质档案销毁须经技术研发部审核，确认无保留价值后按流程处理，禁止擅自销毁。第五章人员信息安全管理第十六条员工入职信息安全要求：（一）新员工入职时，须签署《信息安全保密协议》，学习本制度及信息安全操作规范，经考核合格后方可获取信息使用权限；（二）归口部门按“最小授权”原则为新员工分配信息访问权限，仅开放与岗位相关的信息，禁止超权限分配；（三）对涉及古籍修复核心信息的岗位员工，进行专项保密培训，明确保密责任及违规后果。第十七条员工在职信息安全要求：（一）员工须妥善保管个人账号密码，禁止转借他人使用，发现账号异常登录须立即修改密码并上报归口部门；（二）禁止擅自向外部人员泄露公司信息，禁止在社交媒体、公共场合讨论公司保密信息；（三）归口部门每半年组织一次信息安全培训及考核，考核不合格者暂停信息使用权限，补考合格后恢复。第十八条员工离职信息安全要求：（一）员工离职前，归口部门须收回其信息访问权限（如服务器账号、保密柜钥匙），注销办公系统账号，核对其保管的纸质/电子信息；（二）涉及核心岗位的离职员工，须再次确认《信息安全保密协议》履行义务，明确离职后的保密期限（不少于2年）及违约责任；（三）离职员工不得带走公司任何形式的信息，发现违规带走的，公司有权追责并要求返还，造成损失的追究赔偿责任。第六章信息安全事件处置第十九条信息安全事件包括但不限于：核心信息泄露、服务器被攻击、信息被篡改、存储设备丢失、员工违规泄露信息等。第二十条信息安全事件上报要求：（一）员工发现信息安全事件后，须在10分钟内上报本部门负责人，部门负责人核实后30分钟内上报信息安全管理领导小组及归口部门；（二）重大信息安全事件（如珍贵古籍电子信息泄露、服务器数据被篡改）可直接越级上报总经理，上报内容包括事件类型、发生时间、影响范围、初步原因等；（三）禁止瞒报、谎报、迟报信息安全事件，延误处置时机的追究相关人员责任。第二十一条信息安全事件处置要求：（一）存储设备丢失：立即冻结设备绑定的账号权限，核查设备内存储的信息等级，涉及绝密/机密信息的，及时报案并采取补救措施（如告知相关客户、发布信息作废声明）；（二）信息泄露：立即排查泄露渠道，切断泄露源头，回收已泄露的信息载体，对泄露的核心信息进行脱敏处理，必要时寻求专业机构协助；（三）服务器被攻击：立即断开受攻击服务器的网络连接，备份未被篡改的数据，修复系统漏洞，恢复正常运行后核查数据完整性。第二十二条信息安全事件处置结束后，归口部门牵头组织复盘，分析事件原因、处置过程中的问题及改进措施，形成《信息安全事件处置报告》，存档期限不少于5年；针对暴露的漏洞，及时完善制度或升级安全设备。第七章监督检查与责任追究第二十三条归口部门每季度对公司信息安全管理情况开展检查，重点核查信息存储权限、备份情况、员工操作规范、设备安全防护等，检查结果纳入部门绩效考核。第二十四条员工有下列行为之一的，公司视情节轻重给予批评教育、经济处罚、岗位调整等处理，造成经济损失的追究赔偿责任，涉嫌违法的移交司法机关：（一）未按规定分类存储信息，导致核心信息存于非专用设备的；（二）擅自泄露、出售、转借公司保密信息的；（三）违规接入不明设备、使用公共网络传输核心信息，导致信息安全风险的；（四）离职时未按规定交还信息载体、注销账号，或离职后泄露公司保密信息的；（五）发现信息安全事件瞒报、谎报，或拒不配合事件处置的。第二十五条信息安全管理领导小组及归口部门人员未履行职责，导致信息安全管理混乱、发生重大信息安全事件的，给予降职、撤职等处分；情节严重的，解除劳动合同并追究相应责任。第八章附