北京市信息安全制度

北京市信息安全制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律法规，参照国家信息安全等级保护制度及行业最佳实践，结合企业内部数字化转型战略与风险防控需求，为规范信息安全管理活动，提升信息安全保障能力，特制定本制度。本制度旨在明确信息安全管理的政策依据、适用范围、核心术语、管理原则，为公司信息安全工作提供系统性、制度性指导。第二条本制度适用于公司各部门、下属单位及全体员工，覆盖公司信息系统建设、数据管理、网络运行、应用开发、供应链协作等所有涉及信息安全的业务场景。各部门及员工应严格遵守本制度，确保信息安全管理工作与公司整体战略协同推进。第三条本制度下列术语定义如下：（一）“信息安全专项管理”指公司为保障信息系统和数据资产安全，围绕风险识别、管控、处置、改进等环节开展的全流程管理活动，包括但不限于技术防护、制度规范、组织保障、应急响应等内容。（二）“信息安全风险”指因信息系统设计缺陷、配置错误、操作不当、外部攻击等原因，可能导致信息泄露、系统瘫痪、业务中断、合规处罚等负面影响的可能性。（三）“信息安全合规”指公司信息系统及数据管理活动符合国家法律法规、行业标准及内部制度要求的状态，包括数据采集、存储、使用、传输、销毁等全生命周期的合规性要求。第四条信息安全专项管理遵循以下核心原则：（一）全面覆盖原则：确保所有信息系统和数据资产纳入管理范围，不留监管空白。（二）责任到人原则：明确各级组织及岗位信息安全职责，实现责任闭环。（三）风险导向原则：以风险识别和评估为基础，优先管控重大风险。（四）持续改进原则：根据内外部环境变化，动态优化管理体系。（五）内外兼修原则：统筹兼顾技术防护与制度规范，强化主动防御能力。第二章管理组织机构与职责第五条公司主要负责人对公司信息安全负总责，负责统筹决策、资源保障和责任落实；分管信息安全的领导为直接责任人，负责专项管理工作的组织实施和监督考核。第六条公司设立信息安全专项管理领导小组，由主要负责人担任组长，分管领导担任副组长，成员包括各部门及下属单位负责人。领导小组负责统筹协调信息安全重大事项，审批重大风险处置方案，监督考核专项管理成效。第七条领导小组下设办公室，挂靠在公司信息技术部，负责日常工作，主要职能包括：（一）统筹推进信息安全专项管理制度建设，协调跨部门协作事项；（二）组织年度信息安全风险评估，发布风险预警；（三）监督专项管理措施的落地执行，开展定期检查；（四）组织信息安全培训，提升全员安全意识。第八条牵头部门（信息技术部）职责：（一）负责信息安全专项管理制度的起草、修订和宣贯；（二）统筹开展信息系统安全评估，推动等级保护工作；（三）建设完善信息安全技术防护体系，包括防火墙、入侵检测、数据加密等；（四）牵头组织信息安全应急演练，提升事件处置能力。第九条专责部门（法务合规部、内审部）职责：（一）法务合规部负责审核信息安全相关合同条款，监督数据合规使用；（二）内审部负责定期开展信息安全专项审计，检查制度执行情况；（三）联合牵头部门制定违规行为处罚标准，推动问题整改。第十条业务部门及下属单位职责：（一）落实本领域信息安全要求，开展日常风险排查；（二）负责业务系统用户权限管理，确保“按需授权、最小化原则”；（三）建立数据备份和恢复机制，保障业务连续性；（四）配合完成信息安全检查和应急响应工作。第十一条基层执行岗位责任：（一）严格遵守操作规程，不得违规操作信息系统；（二）主动报告发现的安全隐患，如系统异常、账号异常等；（三）签署岗位信息安全承诺书，明确个人责任；（四）参加定期安全培训，掌握基本防护技能。第三章专项管理重点内容与要求第十二条访问控制管理：（一）业务操作合规标准：实施基于角色的访问控制（RBAC），遵循“职责分离”原则，定期开展权限复测；（二）禁止性行为：严禁越权访问非业务所需数据，禁止将个人账号共享给他人；（三）重点防控：防止内部人员利用职务便利窃取敏感数据，加强离职人员权限回收管理。第十三条数据安全管控：（一）合规标准：建立数据分类分级制度，明确不同级别数据的保护要求；实施脱敏处理，确保数据用于非生产场景时匿名化；（二）禁止行为：严禁将未脱敏的敏感数据用于市场推广或第三方共享；（三）重点防控：防止云存储、数据库等场景的数据泄露，加强数据传输加密管理。第十四条系统运维管理：（一）合规标准：严格执行变更管理流程，禁止非授权系统变更；定期开展漏洞扫描，及时修复高危漏洞；（二）禁止行为：严禁在非工作时间修改核心系统配置，禁止使用破解软件；（三）重点防控：防止因系统缺陷导致业务中断，加强监控告警阈值设置。第十五条安全审计管理：（一）合规标准：记录关键操作日志，包括登录、数据修改、权限变更等；日志留存期限不少于三年；（二）禁止行为：严禁删除或篡改系统日志，禁止使用脚本工具清除审计记录；（三）重点防控：防止通过伪造日志掩盖违规行为，定期开展日志核查。第十六条供应链安全管理：（一）合规标准：对第三方服务商开展信息安全尽职调查，签订安全责任协议；（二）禁止行为：严禁使用无资质服务商处理敏感数据，禁止转包核心系统运维；（三）重点防控：防止供应链风险传导，定期评估服务商合规状况。第十七条应用开发管理：（一）合规标准：开发过程中嵌入安全测试，实施代码安全扫描；禁止开发人员硬编码敏感信息；（二）禁止行为：严禁将密钥存储在源代码中，禁止未经测试直接发布新版本；（三）重点防控：防止开发阶段引入安全漏洞，加强上线前渗透测试。第十八条应急响应管理：（一）合规标准：制定应急预案，明确事件分级标准；每月开展至少一次应急演练；（二）禁止行为：严禁隐瞒重大安全事件，禁止响应过程中推诿责任；（三）重点防控：防止因响应迟缓扩大损失，加强应急资源储备。第四章专项管理运行机制第十九条制度动态更新机制：（一）信息技术部每年至少组织一次制度评估，根据法律法规变化、技术迭代、业务调整等修订内容；（二）重大调整需经领导小组审议通过，并同步更新相关流程文档；（三）修订后的制度通过公司内网发布，全员需重新学习考核。第二十条风险识别预警机制：（一）信息技术部每季度开展信息安全风险排查，结合行业通报、漏洞数据、内部检查结果识别风险点；（二）风险按“低、中、高、重大”四级评估，重大风险需形成专题报告报领导小组；（三）通过内网发布预警通知，明确风险内容及防范措施。第二十一条合规审查机制：（一）新增系统、重大数据应用需经信息安全合规审查，未经审查不得上线；（二）审查内容包括技术方案、数据合规性、应急措施等；（三）审查结论作为项目立项的重要依据，不合格项需整改闭环。第二十二条风险应对机制：（一）一般风险由业务部门自行处置，重大风险由领导小组统筹协调；（二）建立分级上报流程，一般风险逐级上报至信息技术部，重大风险需在24小时内上报至领导小组；（三）应急处置过程中，相关责任部门需保持24小时联络畅通。第二十三条责任追究机制：（一）违规情形包括：违反操作规程、泄露敏感数据、隐瞒安全事件等；（二）处罚标准：一般违规通报批评，造成损失的按损失金额10%-50%处罚；（三）处罚结果与绩效考核、评优评先挂钩，情节严重的依法解除劳动合同。第二十四条评估改进机制：（一）每年12月开展专项管理体系有效性评估，指标包括制度覆盖率、风险整改率等；（二）评估结果作为次年预算分配的重要参考；（三）针对评估发现的问题，制定优化方案并跟踪落实。第五章专项管理保障措施第二十五条组织保障：（一）各级领导干部需履行“一岗双责”，每季度至少听取一次信息安全工作汇报；（二）设立信息安全专项预算，优先保障技术投入；（三）建立跨部门协调机制，定期召开联席会议解决共性问题。第二十六条考核激励机制：（一）将信息安全表现纳入部门年度考核，占比不低于10%；（二）对突出贡献的团队或个人授予“年度安全标兵”称号，与奖金挂钩；（三）连续三年考核优秀的部门，可优先获得资源倾斜。第二十七条培训宣传机制：（一）新员工入职必须接受信息安全基础培训，考核合格后方可上岗；（二）每年6月开展全员安全意识月活动，组织知识竞赛、案例警示等；（三）针对关键岗位（如数据管理员、开发人员）开展专项技能培训，每月至少一次。第二十八条信息化支撑：（一）建设统一的安全运营中心（SOC），实现日志汇聚、威胁感知、自动化处置；（二）通过系统工具强制执行权限管控，禁止手动绕过风控规则；（三）开发移动端安全应用，实现异常行为实时告警。第二十九条文化建设：（一）编制《信息安全合规手册》，人手一册，内容包括制度汇编、操作指南、案例汇编；（二）组织全员签署《信息安全承诺书》，明确责任与后果；（三）设立“安全建议奖”，鼓励员工发现并报告隐患。第三十条报告制度：（一）风险事件上报：重大事件需在2小时内形成初步报告，8小时内上报至领导小组；（二）年度报告：每年1