铁建公司保密制度

铁建公司保密制度一、铁建公司保密制度

1.1总则

铁建公司保密制度旨在规范公司信息安全管理，保护公司核心商业秘密、技术秘密、客户信息及其他敏感信息，维护公司合法权益，防范泄密风险，促进公司健康发展。本制度适用于铁建公司全体员工、关联方及第三方合作单位，涉及公司信息处理的各项业务活动均须严格遵守本制度规定。

1.2保密范围

1.2.1核心商业秘密

核心商业秘密包括但不限于：

（1）公司财务数据：年度预算、决算报告、融资计划、投资方案、成本核算数据等；

（2）市场信息：客户名单、市场份额、竞品分析报告、市场调研数据等；

（3）经营策略：发展战略规划、营销计划、定价策略、并购重组方案等；

（4）管理信息：组织架构调整、人事任免、绩效考核方案等。

1.2.2技术秘密

技术秘密包括但不限于：

（1）工程设计方案：桥梁、隧道、铁路等基础设施工程的施工图纸、设计参数、计算模型等；

（2）施工工艺：特殊施工技术、新型材料应用、施工方法优化方案等；

（3）设备技术：专用施工设备的设计参数、性能参数、维护方案等；

（4）知识产权：专利技术、软件著作权、技术标准等。

1.2.3客户信息

客户信息包括但不限于：

（1）客户基本信息：姓名、联系方式、地址等；

（2）交易信息：订单内容、合同条款、付款方式等；

（3）服务记录：客户投诉、售后服务记录等。

1.2.4其他敏感信息

其他敏感信息包括但不限于：

（1）内部文件：公司会议纪要、工作报告、政策文件等；

（2）个人信息：员工个人信息、供应商信息等；

（3）合作信息：与第三方合作的项目信息、协议条款等。

1.3保密责任

1.3.1员工责任

员工对公司信息负有保密义务，应当：

（1）签署保密协议，明确保密责任；

（2）妥善保管公司文件、数据及资料；

（3）未经授权不得泄露、传递公司信息；

（4）离职后继续履行保密义务，保密期限为离职后两年。

1.3.2管理层责任

管理层对公司信息安全管理负总责，应当：

（1）建立信息安全管理组织架构，明确职责分工；

（2）制定信息安全管理规章制度，并组织实施；

（3）定期开展保密培训，提高员工保密意识；

（4）监督保密制度执行情况，及时整改泄密风险。

1.3.3关联方责任

关联方及第三方合作单位对公司信息负有保密义务，应当：

（1）签署保密协议，明确保密责任；

（2）按照公司要求采取保密措施；

（3）仅限于业务需要接触公司信息，不得擅自使用或泄露。

1.4保密措施

1.4.1物理安全措施

（1）办公场所设置门禁系统，限制非授权人员进入；

（2）重要文件、资料存放于保险柜或保密柜；

（3）废弃文件、资料按规定销毁，不得随意丢弃。

1.4.2信息系统安全措施

（1）信息系统设置访问权限，严格控制用户权限；

（2）重要数据加密存储，防止未授权访问；

（3）定期进行系统漏洞扫描，及时修复安全漏洞。

1.4.3网络安全措施

（1）网络传输采用加密技术，防止数据泄露；

（2）设置防火墙，防止外部攻击；

（3）定期更新防病毒软件，防范病毒入侵。

1.4.4移动设备安全措施

（1）禁止使用非公司提供的移动设备处理公司信息；

（2）移动设备设置密码锁，防止信息泄露；

（3）移动设备与公司信息系统连接时，采取加密措施。

1.5泄密事件处理

1.5.1泄密事件报告

员工发现泄密事件时，应当立即向部门负责人报告，部门负责人应当在24小时内向公司保密委员会报告。

1.5.2泄密事件调查

保密委员会应当及时启动泄密事件调查程序，查明泄密原因、范围及影响，并采取补救措施。

1.5.3泄密事件处理

根据泄密事件的严重程度，采取以下处理措施：

（1）轻微泄密事件：对责任人进行警告或罚款；

（2）一般泄密事件：对责任人进行降级或解聘；

（3）重大泄密事件：对责任人追究法律责任，并赔偿公司损失。

1.6保密培训

1.6.1培训对象

全体员工、关联方及第三方合作单位人员均须参加保密培训。

1.6.2培训内容

（1）保密制度及相关法律法规；

（2）公司信息分类及保密等级；

（3）保密措施及操作规范；

（4）泄密事件处理流程。

1.6.3培训考核

培训结束后进行考核，考核合格者方可上岗，考核不合格者须重新培训。

1.7保密协议

1.7.1员工保密协议

员工入职时签署保密协议，明确保密责任及违约责任。

1.7.2关联方保密协议

关联方及第三方合作单位签署保密协议，明确保密责任及违约责任。

1.7.3协议期限

保密协议期限为员工在职期间及离职后两年，关联方及第三方合作单位的保密协议期限根据合作合同确定。

二、铁建公司保密制度实施细则

2.1信息分类分级管理

2.1.1信息分类

公司信息按照其性质、价值和敏感程度分为四类：

（1）公开信息：对外公开披露的资讯，如公司年报、新闻稿等；

（2）内部信息：公司内部使用的信息，如会议纪要、工作计划等；

（3）敏感信息：具有一定保密要求的信息，如客户资料、财务数据等；

（4）核心秘密：公司最高级别的保密信息，如核心商业秘密、技术秘密等。

2.1.2信息分级

公司信息按照保密等级分为三级：

（1）一般级：公开信息及内部信息中价值较低的信息；

（2）秘密级：敏感信息中价值一般的信息；

（3）核心级：核心秘密及敏感信息中价值较高的信息。

2.1.3分类分级标准

信息分类分级标准如下：

（1）公开信息：无保密要求，可对外公开披露；

（2）内部信息：仅限公司内部人员使用，不得对外泄露；

（3）敏感信息：需采取保密措施，防止未授权访问；

（4）核心秘密：需采取严格保密措施，防止泄露。

2.1.4信息标识

公司信息按照分类分级进行标识，标识方式如下：

（1）公开信息：无标识；

（2）内部信息：标注“内部”字样；

（3）敏感信息：标注“敏感”字样；

（4）核心秘密：标注“核心”字样。

2.2保密制度执行监督

2.2.1保密委员会

公司设立保密委员会，负责公司信息安全管理，主要职责包括：

（1）制定保密制度及实施细则；

（2）监督保密制度执行情况；

（3）调查处理泄密事件；

（4）定期开展保密培训。

2.2.2部门负责制

各部门负责人对本部门信息安全管理负总责，应当：

（1）组织部门员工学习保密制度；

（2）监督部门员工执行保密制度；

（3）及时报告泄密事件；

（4）配合保密委员会调查处理泄密事件。

2.2.3员工监督

员工有权监督公司信息安全管理，发现泄密风险或泄密事件时，应当立即向部门负责人报告。

2.2.4定期检查

保密委员会定期对公司信息安全管理进行检查，内容包括：

（1）保密制度执行情况；

（2）信息系统安全状况；

（3）保密措施落实情况。

2.2.5检查结果处理

定期检查发现的问题，应当及时整改，并形成书面报告存档。

2.3保密协议管理

2.3.1协议签订

（1）员工入职时签署保密协议，明确保密责任及违约责任；

（2）关联方及第三方合作单位签署保密协议，明确保密责任及违约责任。

2.3.2协议内容

保密协议内容包括：

（1）保密信息的范围；

（2）保密责任；

（3）保密期限；

（4）违约责任。

2.3.3协议期限

（1）员工保密协议期限为员工在职期间及离职后两年；

（2）关联方及第三方合作单位的保密协议期限根据合作合同确定。

2.3.4协议变更

协议内容发生变更时，双方应当及时签署补充协议。

2.3.5协议解除

（1）员工离职时，应当交回所有保密资料，并继续履行保密义务；

（2）关联方及第三方合作单位终止合作时，应当销毁所有保密资料，并继续履行保密义务。

2.4信息安全防护措施

2.4.1物理安全防护

（1）办公场所设置门禁系统，限制非授权人员进入；

（2）重要文件、资料存放于保险柜或保密柜；

（3）废弃文件、资料按规定销毁，不得随意丢弃；

（4）会议室设置保密装置，防止会议内容泄露。

2.4.2信息系统安全防护

（1）信息系统设置访问权限，严格控制用户权限；

（2）重要数据加密存储，防止未授权访问；

（3）定期进行系统漏洞扫描，及时修复安全漏洞；

（4）信息系统备份，防止数据丢失。

2.4.3网络安全防护

（1）网络传输采用加密技术，防止数据泄露；

（2）设置防火墙，防止外部攻击；

（3）定期更新防病毒软件，防范病毒入侵；

（4）网络监控，及时发现并处理网络安全事件。

2.4.4移动设备安全防护

（1）禁止使用非公司提供的移动设备处理公司信息；

（2）移动设备设置密码锁，防止信息泄露；

（3）移动设备与公司信息系统连接时，采取加密措施；

（4）移动设备丢失或被盗时，立即远程锁定或删除公司信息。

2.4.5人员安全防护

（1）员工离职时，进行保密培训，强调保密责任；

（2）对外合作时，签订保密协议，明确保密责任；

（3）对核心人员，进行背景调查，确保其可靠性。

2.5泄密事件应急处理

2.5.1泄密事件报告

员工发现泄密事件时，应当立即向部门负责人报告，部门负责人应当在24小时内向公司保密委员会报告。

2.5.2泄密事件调查

保密委员会应当及时启动泄密事件调查程序，查明泄密原因、范围及影响，并采取补救措施。

2.5.3泄密事件处理

根据泄密事件的严重程度，采取以下处理措施：

（1）轻微泄密事件：对责任人进行警告或罚款；

（2）一般泄密事件：对责任人进行降级或解聘；

（3）重大泄密事件：对责任人追究法律责任，并赔偿公司损失。

2.5.4补救措施

泄密事件发生后，应当采取补救措施，包括：

（1）通知相关方，采取补救措施；

（2）加强保密措施，防止类似事件再次发生；

（3）对受损进行评估，并采取补救措施。

2.5.5事件记录

泄密事件处理完毕后，应当形成书面报告存档，并定期进行复盘，总结经验教训。

2.6保密培训与教育

2.6.1培训对象

全体员工、关联方及第三方合作单位人员均须参加保密培训。

2.6.2培训内容

（1）保密制度及相关法律法规；

（2）公司信息分类及保密等级；

（3）保密措施及操作规范；

（4）泄密事件处理流程。

2.6.3培训方式

保密培训采用多种方式，包括：

（1）集中培训：定期组织员工进行集中培训；

（2）在线培训：通过公司内部平台进行在线培训；

（3）案例分析：通过案例分析，提高员工保密意识。

2.6.4培训考核

培训结束后进行考核，考核合格者方可上岗，考核不合格者须重新培训。

2.6.5培训记录

保密培训记录存档，并定期进行评估，不断改进培训效果。

三、铁建公司保密制度操作规程

3.1文件资料管理

3.1.1文件制作

公司文件资料制作时，应当根据文件内容确定保密等级，并在文件首页标注保密标识。核心秘密级文件应当由部门负责人审核，敏感信息级文件应当由分管领导审核。

3.1.2文件保管

文件资料保管时，应当根据保密等级采取相应措施：

（1）核心秘密级文件：存放于保险柜或保密柜，由专人保管；

（2）敏感信息级文件：存放于文件柜，由部门负责人指定人员保管；

（3）内部信息级文件：存放于文件柜，由文件使用者保管。

3.1.3文件使用

文件资料使用时，应当遵守以下规定：

（1）核心秘密级文件：仅限授权人员使用，使用时应当登记，并采取必要的保密措施；

（2）敏感信息级文件：仅限部门内部人员使用，使用时应当登记；

（3）内部信息级文件：仅限公司内部人员使用，使用时无需登记。

3.1.4文件传递

文件资料传递时，应当遵守以下规定：

（1）核心秘密级文件：仅限通过公司内部系统传递，或由专人递送；

（2）敏感信息级文件：仅限通过公司内部系统传递，或通过加密邮件传递；

（3）内部信息级文件：可通过公司内部系统传递，或通过邮件传递。

3.1.5文件复制

文件资料复制时，应当遵守以下规定：

（1）核心秘密级文件：不得复制；

（2）敏感信息级文件：经部门负责人批准后方可复制；

（3）内部信息级文件：无需批准即可复制。

3.1.6文件销毁

文件资料销毁时，应当遵守以下规定：

（1）核心秘密级文件：应当由专人销毁，销毁时应当进行登记，并监督销毁过程；

（2）敏感信息级文件：应当由部门负责人指定人员销毁，销毁时应当进行登记；

（3）内部信息级文件：可直接销毁，无需登记。

3.2信息系统管理

3.2.1访问控制

信息系统访问时，应当遵守以下规定：

（1）核心秘密级信息系统：仅限授权人员访问，访问时应当进行身份验证，并记录访问日志；

（2）敏感信息级信息系统：仅限部门内部人员访问，访问时应当进行身份验证，并记录访问日志；

（3）内部信息级信息系统：仅限公司内部人员访问，访问时应当进行身份验证。

3.2.2数据安全

信息系统数据安全时，应当遵守以下规定：

（1）核心秘密级信息系统：数据加密存储，数据传输加密；

（2）敏感信息级信息系统：数据加密存储，数据传输加密；

（3）内部信息级信息系统：数据加密存储。

3.2.3系统维护

信息系统维护时，应当遵守以下规定：

（1）核心秘密级信息系统：定期进行系统漏洞扫描，及时修复安全漏洞；

（2）敏感信息级信息系统：定期进行系统漏洞扫描，及时修复安全漏洞；

（3）内部信息级信息系统：定期进行系统漏洞扫描，及时修复安全漏洞。

3.2.4系统备份

信息系统备份时，应当遵守以下规定：

（1）核心秘密级信息系统：每日进行数据备份，备份数据存储于异地；

（2）敏感信息级信息系统：每周进行数据备份，备份数据存储于异地；

（3）内部信息级信息系统：每月进行数据备份，备份数据存储于本地。

3.3网络安全管理

3.3.1网络访问

网络访问时，应当遵守以下规定：

（1）公司内部网络：仅限公司内部人员访问，访问时应当进行身份验证；

（2）外部网络：通过VPN访问公司内部网络，访问时应当进行身份验证，并记录访问日志。

3.3.2防火墙设置

防火墙设置时，应当遵守以下规定：

（1）公司内部网络：设置防火墙，限制外部网络访问；

（2）外部网络：通过VPN访问公司内部网络，VPN服务器设置防火墙，限制外部网络访问。

3.3.3病毒防护

病毒防护时，应当遵守以下规定：

（1）公司内部网络：安装防病毒软件，定期更新病毒库；

（2）外部网络：通过VPN访问公司内部网络，VPN服务器安装防病毒软件，定期更新病毒库。

3.3.4网络监控

网络监控时，应当遵守以下规定：

（1）公司内部网络：定期进行网络监控，及时发现并处理网络安全事件；

（2）外部网络：通过VPN访问公司内部网络，VPN服务器定期进行网络监控，及时发现并处理网络安全事件。

3.4移动设备管理

3.4.1设备使用

移动设备使用时，应当遵守以下规定：

（1）公司内部移动设备：仅限授权人员使用，使用时应当采取必要的保密措施；

（2）个人移动设备：不得用于处理公司信息。

3.4.2设备安全

移动设备安全时，应当遵守以下规定：

（1）公司内部移动设备：设置密码锁，防止信息泄露；

（2）个人移动设备：不得使用个人移动设备处理公司信息。

3.4.3设备连接

移动设备连接时，应当遵守以下规定：

（1）公司内部移动设备：通过加密方式连接公司内部网络；

（2）个人移动设备：不得连接公司内部网络。

3.4.4设备丢失

移动设备丢失时，应当立即采取措施：

（1）公司内部移动设备：立即远程锁定或删除公司信息；

（2）个人移动设备：立即报告公司，并采取必要措施。

3.5外部合作管理

3.5.1合作协议

外部合作时，应当签订保密协议，明确保密责任及违约责任。

3.5.2信息提供

外部合作时，应当根据合作需要提供信息，不得提供核心秘密级信息。

3.5.3信息接收

外部合作时，应当接收外部合作单位提供的信息，并采取必要的保密措施。

3.5.4合作监督

外部合作时，应当对外部合作单位进行监督，确保其遵守保密协议。

3.5.5合作结束

外部合作结束时，应当要求外部合作单位销毁所有保密资料，并继续履行保密义务。

四、铁建公司保密制度奖惩规定

4.1奖励措施

4.1.1保密先进工作者

公司每年评选一次保密先进工作者，对在保密工作中表现突出的员工进行表彰。评选标准包括：

（1）严格遵守保密制度，无泄密行为；

（2）积极宣传保密制度，提高员工保密意识；

（3）发现泄密风险或泄密事件，及时报告并采取措施；

（4）在保密技术创新方面取得显著成绩。

获奖员工将获得公司颁发的荣誉证书和奖金，并在公司内部进行通报表扬。

4.1.2保密技术创新奖

公司设立保密技术创新奖，对在保密技术创新方面取得显著成绩的员工或团队进行奖励。奖励标准包括：

（1）提出新的保密技术方案，并成功应用于公司信息安全管理；

（2）改进现有保密技术，提高公司信息安全管理水平；

（3）在保密技术研究中取得突破性成果，并得到公司应用。

获奖员工或团队将获得公司颁发的奖金，并在公司内部进行通报表扬。

4.1.3保密贡献奖

公司设立保密贡献奖，对在保密工作中做出突出贡献的员工或团队进行奖励。奖励标准包括：

（1）在重大泄密事件中，及时发现并采取措施，避免公司损失；

（2）在保密工作中，为公司创造显著的经济效益或社会效益；

（3）在保密工作中，为公司树立良好形象，提升公司品牌价值。

获奖员工或团队将获得公司颁发的奖金，并在公司内部进行通报表扬。

4.1.4保密宣传奖

公司设立保密宣传奖，对在保密宣传工作中表现突出的员工进行奖励。奖励标准包括：

（1）编写高质量的保密宣传材料，提高员工保密意识；

（2）组织有效的保密宣传活动，扩大保密宣传效果；

（3）在保密宣传工作中，创新宣传方式，提升宣传效果。

获奖员工将获得公司颁发的奖金，并在公司内部进行通报表扬。

4.2惩罚措施

4.2.1警告

员工违反保密制度，情节轻微的，给予警告处分。警告处分将在公司内部进行记录，并通知员工本人。

4.2.2罚款

员工违反保密制度，情节较重的，给予罚款处分。罚款金额根据违反保密制度的情节轻重进行确定，罚款金额最高不超过员工当月工资的百分之五十。

4.2.3降级或解聘

员工违反保密制度，情节严重的，给予降级或解聘处分。降级或解聘决定将由公司管理层根据违反保密制度的情节轻重进行确定。

4.2.4追究法律责任

员工违反保密制度，造成公司重大损失的，公司将依法追究其法律责任。公司将根据相关法律法规，要求员工赔偿公司损失，并移交司法机关处理。

4.2.5违约责任

关联方及第三方合作单位违反保密协议，造成公司损失的，公司将依法追究其违约责任。公司将根据保密协议，要求关联方及第三方合作单位赔偿公司损失。

4.3惩罚程序

4.3.1举报

公司员工发现违反保密制度的行为，可以向公司保密委员会或部门负责人进行举报。举报时，应当提供详细的情况说明和相关证据。

4.3.2调查

公司保密委员会或部门负责人接到举报后，应当及时进行调查。调查时，应当收集相关证据，并听取当事人的陈述。

4.3.3处理

调查结束后，公司保密委员会或部门负责人应当根据调查结果，提出处理意见。处理意见将报公司管理层审批。

4.3.4通知

公司管理层审批后，将通知当事人处理决定。当事人对处理决定不服的，可以向上级部门进行申诉。

4.3.5记录

处理决定将记录在公司内部，并作为员工绩效考核的参考依据。

4.4特殊情况处理

4.4.1离职员工

离职员工离职时，应当继续履行保密义务。公司将与离职员工签订保密协议，明确其离职后的保密责任。离职员工违反保密协议的，公司将依法追究其法律责任。

4.4.2职务变动

员工职务变动时，应当重新进行保密培训，并签订新的保密协议。新职务的保密要求高于原职务的，员工应当遵守新的保密要求。

4.4.3泄密事件

发生泄密事件时，公司将立即启动应急处理程序。公司将根据泄密事件的严重程度，采取相应的补救措施，并追究相关责任人的责任。

4.5奖惩记录

公司将建立奖惩记录，记录员工在保密工作中的表现。奖惩记录将作为员工绩效考核的参考依据，并作为员工晋升、降级、解聘的重要参考。

4.6奖惩公示

公司将定期对保密工作表现突出的员工进行表彰，并对违反保密制度的员工进行通报批评。表彰和批评将在公司内部进行公示，以起到警示作用。

五、铁建公司保密制度监督与评估

5.1内部监督机制

5.1.1保密委员会职责

公司设立保密委员会，作为公司信息安全管理的主导机构。保密委员会负责全面领导公司保密工作，其主要职责包括：

（1）制定和完善公司保密制度及实施细则；

（2）组织公司保密工作的宣传教育，提高全体员工的保密意识；

（3）监督公司保密制度的执行情况，及时发现并纠正违反保密制度的行为；

（4）调查处理公司发生的泄密事件，并采取有效措施防止类似事件再次发生；

（5）定期评估公司保密工作的有效性，并提出改进建议；

（6）与外部保密机构保持联系，了解最新的保密法律法规和保密技术动态。

5.1.2部门监督职责

各部门负责人对本部门的信息安全负总责，应当积极配合保密委员会开展保密工作。其主要职责包括：

（1）组织本部门员工学习保密制度，确保员工了解并遵守保密制度；

（2）监督本部门员工执行保密制度，及时发现并纠正违反保密制度的行为；

（3）定期检查本部门的信息安全状况，确保信息安全措施落实到位；

（4）发现泄密风险或泄密事件时，立即向保密委员会报告，并采取有效措施防止泄密事件扩大；

（5）配合保密委员会调查处理泄密事件。

5.1.3员工监督职责

公司全体员工均有责任和义务监督保密制度的执行，对违反保密制度的行为有权进行举报。其主要职责包括：

（1）积极学习保密制度，提高自身的保密意识；

（2）在日常工作中严格遵守保密制度，防止泄密事件的发生；

（3）发现泄密风险或泄密事件时，立即向部门负责人报告；

（4）对违反保密制度的行为有权进行举报，并积极配合保密委员会调查处理泄密事件。

5.1.4监督检查

保密委员会定期或不定期地对公司各部门的信息安全工作进行监督检查，内容包括：

（1）保密制度执行情况；

（2）信息系统安全状况；

（3）保密措施落实情况；

（4）员工保密意识。

监督检查结果将形成书面报告，报公司管理层审阅。

5.2外部监督机制

5.2.1政府监管

公司应当遵守国家有关保密的法律法规，积极配合政府相关部门的监督检查。政府相关部门对公司保密工作的监督检查内容包括：

（1）公司保密制度的建立和实施情况；

（2）公司保密措施的落实情况；

（3）公司泄密事件的处理情况。

公司应当如实提供相关资料，并积极配合政府相关部门的监督检查。

5.2.2行业监督

公司应当积极参加行业协会组织的保密交流活动，学习借鉴其他企业的先进经验，不断提高公司的保密工作水平。行业协会对公司保密工作的监督内容包括：

（1）公司保密制度的建立和实施情况；

（2）公司保密措施的落实情况；

（3）公司泄密事件的处理情况。

公司应当积极配合行业协会的监督，及时改进保密工作中的不足。

5.2.3社会监督

公司应当重视社会监督，主动接受社会各界的监督。社会监督的主要内容包括：

（1）公司保密制度的公开情况；

（2）公司保密措施的落实情况；

（3）公司泄密事件的处理情况。

公司应当积极回应社会监督，及时改进保密工作中的不足。

5.3保密工作评估

5.3.1评估目的

公司定期对公司保密工作进行评估，旨在全面了解公司保密工作的现状，发现保密工作中的不足，并提出改进措施，不断提高公司保密工作的水平。

5.3.2评估内容

公司保密工作评估的内容包括：

（1）保密制度的健全性；

（2）保密制度的执行情况；

（3）保密措施的落实情况；

（4）员工保密意识；

（5）泄密事件的发生情况及处理情况。

5.3.3评估方法

公司保密工作评估采用多种方法，包括：

（1）问卷调查：通过问卷调查了解员工的保密意识和对保密制度的了解程度；

（2）访谈：通过访谈了解各部门负责人对保密工作的重视程度和对保密制度的执行情况；

（3）检查：通过检查了解公司保密措施的落实情况；

（4）案例分析：通过分析公司发生的泄密事件，找出保密工作中的不足。

5.3.4评估结果

公司保密工作评估结果将形成书面