北京市信息安全制度

北京市信息安全制度第一章总则第一条制度制定依据本制度依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家法律法规，参照国家信息安全等级保护标准及行业最佳实践，结合集团母公司关于信息安全管理的总体要求，并充分考虑公司内部信息化建设及业务发展对信息安全管理的实际需求，旨在构建全面覆盖、权责清晰、运行高效的信息安全管理体系，有效防控信息安全风险，保障公司业务持续稳定运行及核心数据资产安全。第二条适用范围本制度适用于公司全体员工、各部门、下属单位及所有业务场景，包括但不限于信息系统建设与运维、数据采集与处理、网络安全防护、办公设备使用、第三方合作等场景。所有涉及信息生成、存储、传输、使用、销毁等环节的活动，均须遵循本制度规定。第三条核心术语定义（一）信息安全专项管理：指公司为确保信息系统、数据资产及业务连续性，在组织架构、制度流程、技术防护、应急响应等方面开展的系统性管理活动。（二）信息安全风险：指因技术漏洞、管理缺陷、人为操作不当等导致信息资产遭受破坏、泄露或非法控制的可能性及其后果。（三）合规要求：指信息安全管理活动需满足的法律法规、行业标准及公司内部制度规定。第四条专项管理核心原则（一）全面覆盖：确保信息安全管理覆盖所有信息资产及业务场景，不留管理空白。（二）责任到人：明确各层级、各部门及岗位的信息安全责任，做到责任可追溯。（三）风险导向：聚焦重大及高频风险，优先配置资源，实施差异化管控。（四）持续改进：定期评估管理有效性，根据内外部环境变化及时优化制度流程。第二章管理组织机构与职责第五条决策层职责公司主要负责人对公司信息安全工作负总责，承担决策审批、资源保障及考核督导责任；分管信息技术、业务运营的领导为直接责任人，负责专项管理制度的组织实施及日常监督。第六条专项管理领导小组设立信息安全专项管理领导小组，由公司主要负责人担任组长，分管领导担任副组长，成员包括信息技术部、审计部、法务合规部及各业务部门负责人。领导小组职能包括：（一）统筹公司信息安全战略规划及重大事项决策；（二）审批年度信息安全工作计划及预算；（三）监督专项管理制度执行情况，定期听取工作报告。第七条职能分工（一）信息技术部（牵头部门）：1.负责信息安全专项管理制度建设与修订；2.组织开展信息安全风险评估与隐患排查；3.统筹信息安全技术防护体系建设与运维；4.负责信息安全事件应急响应与处置。（二）审计部（专责部门）：1.负责信息安全合规性审查，嵌入业务流程关键节点；2.开展专项审计，评估制度有效性；3.提出优化建议，推动问题整改。（三）业务部门/下属单位：1.落实本领域信息安全管控要求，开展日常风险防控；2.组织员工培训，提升全员安全意识；3.及时上报风险事件，配合调查处置。第八条基层执行岗责任所有岗位员工须遵守信息安全操作规范，履行以下义务：（一）签署岗位合规承诺书，明确个人责任；（二）按要求报告可疑风险事件，不得瞒报或迟报；（三）妥善保管账号密码及敏感信息，定期更新密码。第三章专项管理重点内容与要求第九条信息系统分级分类管理（一）明确信息系统安全等级保护要求，按重要程度划分为核心系统、重要系统、一般系统，实施差异化管控。（二）核心系统须通过等级测评，定期开展安全加固；重要系统须实施访问控制，禁止非授权接入。第十条数据全生命周期安全管理（一）数据采集阶段：遵循最小必要原则，明确采集范围及目的，签订数据采集授权协议；（二）数据存储阶段：采用加密存储、脱敏处理等技术手段，禁止明文存储敏感信息；（三）数据传输阶段：使用专用通道或加密协议，防止传输过程中泄露；（四）数据使用阶段：建立内部审批机制，严禁超出授权范围使用；（五）数据销毁阶段：制定销毁标准，通过技术手段或物理销毁确保数据不可恢复。第十一条网络安全防护管理（一）边界防护：部署防火墙、入侵检测系统，定期更新安全策略；（二）终端安全：强制启用多因素认证，定期扫描病毒木马，禁止使用非授权软件；（三）无线安全：规范Wi-Fi管理，禁止使用未经审批的移动热点；（四）漏洞管理：建立漏洞扫描与修复机制，高危漏洞须72小时内处置。第十二条访问权限管理（一）遵循“按需授权”原则，实施基于角色的访问控制；（二）定期开展权限核查，禁止“默认口令”或长期未变更的密码；（三）离职员工须及时回收账号权限，变更权限需经审批流程。第十三条第三方合作安全管理（一）供应商尽职调查：对提供信息系统或数据服务的第三方，须评估其安全能力及合规资质；（二）合同约束：在合作协议中明确信息安全责任条款，要求第三方签署保密协议；（三）过程监督：定期审计第三方服务交付的安全质量，不合格的须限期整改。第十四条应急响应管理（一）建立信息安全事件分级标准，按紧急程度分为一般事件、重大事件；（二）制定应急响应预案，明确报告流程、处置措施及协同机制；（三）定期开展应急演练，检验预案有效性及团队协作能力。第十五条安全意识与技能培训（一）新员工入职须接受信息安全培训，考核合格后方可接触敏感信息；（二）定期开展专题培训，内容涵盖数据保护、网络诈骗防范等；（三）通过案例分析、知识竞赛等形式，提升全员安全意识。第四章专项管理运行机制第十六条制度动态更新机制（一）信息技术部每年组织评估制度适用性，根据法规变化、业务调整提出修订建议；（二）重大制度修订需经领导小组审议，确保与外部要求保持一致。第十七条风险识别预警机制（一）信息技术部每季度开展风险排查，重点评估系统漏洞、数据泄露等风险；（二）建立风险数据库，对高频风险发布预警通知，要求相关单位整改。第十八条合规审查机制（一）将信息安全审查嵌入以下关键节点：信息系统采购、项目上线、合同签订；（二）未经合规审查的业务活动，禁止实施，并由审计部记录备案。第十九条风险应对机制（一）一般事件由业务部门自行处置，重大事件须上报领导小组协调；（二）明确应急处置流程，包括临时隔离、数据备份、恢复服务等措施；（三）事件处置完毕后须形成报告，分析原因并制定防范措施。第二十条责任追究机制（一）违规情形及处罚标准：1.违规操作导致信息泄露的，视情节轻重给予警告、降级或解除劳动合同；2.拒不配合调查或隐瞒事件的，从重处罚；3.因管理失职导致重大损失的，追究部门负责人责任。（二）处罚联动绩效考核，违规记录纳入员工档案。第二十一条评估改进机制（一）每年开展专项管理有效性评估，内容包括制度覆盖率、风险整改率等；（二）评估结果作为优化制度的依据，形成闭环管理。第五章专项管理保障措施第二十二条组织保障公司主要负责人每月听取信息安全工作汇报，分管领导每周检查重点任务进展，确保制度落地。第二十三条考核激励机制（一）将信息安全考核纳入部门年度评优，达标率低于X%的取消评优资格；（二）设立专项奖励，对发现重大风险隐患或提出优化建议的员工给予奖励。第二十四条培训宣传机制（一）管理层：每半年组织合规履职培训，强化责任意识；（二）一线员工：每月开展操作规范培训，重点讲解日常防范措施；（三）通过宣传栏、内网专栏等形式，营造安全文化氛围。第二十五条信息化支撑（一）建设信息安全管理系统，实现风险实时监控、事件自动上报；（二）通过电子签名、人脸识别等技术，提升权限管理效率。第二十六条文化建设（一）编制《信息安全合规手册》，明确红线底线；（二）全员签署《信息安全承诺书》，强化责任认同；（三）设立“安全月”活动，通过知识竞赛、案例分享等形式深化认知。第二十七条报告制度（一）风险事件上报：须在X小时内完成初步报告，48小时内提交详细分析；（二）年度管理情况报告须于次年X月提交，内