信息安全和保密管理制度

信息安全和保密管理制度1适用范围与权责划分1.1适用范围本制度适用于公司全体相关人员，包括正式员工、试用期员工、劳务派遣人员、外包服务人员、合作方驻场人员、临时访客，覆盖所有涉及公司信息处理的活动，包括但不限于信息生成、存储、传输、使用、销毁等全流程环节，覆盖公司所有办公区域、线上办公系统、业务系统及关联的外部合作场景。1.2权责划分各角色权责及考核标准如下表所示：序号角色核心权责考核标准1信息安全管理委员会（CEO、各分管副总组成）审批信息安全和保密管理制度、重大涉密信息的外发/查阅申请；决策重大信息安全事件的处置方案；每年至少召开2次信息安全专题会议未及时审批造成损失的承担领导责任；未按要求召开专题会议的扣减年度绩效5%2IT安全部（专职管理部门）制定、更新保密管理制度；开展保密培训和日常检查；负责系统、网络的安全防护；处置信息安全事件；维护涉密信息全流程台账未及时更新制度造成管理漏洞的扣减部门绩效10%；未及时处置事件造成损失扩大的扣减部门绩效20%3各部门负责人本部门保密管理第一责任人；审批本部门员工的涉密信息操作申请；督促本部门员工遵守保密制度；每月至少开展1次部门内部保密自查本部门出现1次一般保密事件扣减当月绩效10%；出现较大事件扣减当月绩效30%；出现重大事件予以降职或辞退4保密管理员（专职岗位）负责涉密信息的密级审核；登记涉密信息的查阅、外发、销毁台账；监督涉密操作的合规性；保管涉密备份介质台账登记错误造成信息失控的扣减当月绩效20%；未按要求保管介质的予以记过处分5全体员工/外来服务人员严格遵守保密制度；主动标注所生成信息的密级；不违规操作涉密信息；发现泄密隐患第一时间上报违规操作未造成损失的按情节处罚；造成损失的承担相应赔偿责任2信息分类与密级划定2.1信息分类公司所有信息按业务属性分为6大类：业务类（客户信息、合作协议、业务方案等）、技术类（源代码、算法模型、产品设计文档、技术专利资料等）、运营类（未公开的运营数据、活动方案、市场推广计划等）、人事类（员工薪酬信息、核心人员任免计划、绩效考核数据等）、财务类（未公开的财务报表、投融资方案、预算数据、成本核算信息等）、行政类（董事会决议、并购重组方案、未公开的重大决策信息等）。2.2密级划分及管控要求所有信息按泄露造成的影响程度划分为4个等级，具体要求如下表所示：序号密级等级定义核心包含内容知悉范围基础管控要求1核心涉密泄露会对公司造成重大经济损失、严重声誉损害，甚至影响公司生存发展的信息核心算法源代码、未公开的并购重组方案、季度/年度未发布财报、核心客户的核心保密信息、核心技术专利的未公开资料仅公司指定的核心岗位人员，且需经CEO审批确认仅可存储于公司内网加密核心服务器，禁止拷贝、打印、传输至外网，禁止以任何形式带出办公区域，查阅仅可在指定涉密终端操作2重要涉密泄露会对公司造成较大经济损失、影响公司业务正常开展的信息非核心的业务源代码、客户全量信息、未公开的产品迭代计划、员工薪酬全量数据、年度预算方案、未公开的重大合作协议对应业务条线的相关岗位人员，且需经部门负责人审批确认可存储于公司配发的加密办公终端，禁止使用个人邮箱、微信、QQ等公共传输工具传输，禁止存储于个人设备或公共云盘，打印需经分管副总审批3内部公开仅可在公司内部人员范围内流通，泄露会对公司造成一定不良影响的信息内部规章制度、普通业务流程文档、非核心的运营数据、内部培训资料、普通人事任免通知公司全体正式员工可存储于办公终端，可通过企业微信等内部工具传输，禁止对外泄露，对外发布需经部门负责人审批4对外公开经公司审核批准可面向社会公开的信息公开的品牌宣传资料、已发布的产品信息、公开的招聘信息、已披露的财报数据全社会发布前需经品牌部审核确认，不得包含未公开的涉密内容3全生命周期信息安全管控3.1信息生成环节所有员工生成公司相关信息时，需第一时间对照密级划分标准主动标注密级，纸质文件需在首页右上角加盖公司统一的密级印章，电子文件需在文件名前缀添加【核心涉密】【重要涉密】【内部公开】【对外公开】标识，同时在文件页眉处标注对应密级。信息生成后2个工作日内，需将涉密信息（核心涉密、重要涉密）报备至部门保密管理员，由保密管理员统一登记台账，包括信息名称、密级、生成人、知悉范围、存储位置等内容。对于无法明确密级的信息，需提交至IT安全部进行密级评定，3个工作日内给出评定结果，不得擅自降低或提升密级。3.2信息存储环节核心涉密信息仅可存储于公司内网核心加密服务器，该服务器与外网物理隔离，仅指定的2名系统管理员拥有访问权限，访问操作全程留痕，日志保存期限不低于1年。核心涉密信息禁止存储于任何终端设备、移动存储介质或公共云盘，每日自动生成冷备份，备份介质存放于公司保险柜，实行双人双锁管理，两人同时在场才可开启保险柜。重要涉密信息可存储于公司配发的加密办公终端，终端需开启全盘加密功能，禁止设置自动登录，离开工位时需锁定屏幕。重要涉密信息的备份需存储于公司内网加密备份服务器，每周自动备份一次，备份数据禁止外传。内部公开信息可存储于办公终端或公司内部共享盘，禁止存储于个人云盘或外部公共存储平台。所有涉密信息的存储设备禁止带出办公区域，确因工作需要带出的，需经分管副总审批，由IT安全部做临时加密处理，返回后第一时间做数据擦除检查。3.3信息传输环节核心涉密信息禁止通过任何互联网渠道传输，确需跨区域传递的，需由2名专人共同递送加密存储介质，递送前登记介质编号、传递内容、递送人员、接收人员信息，交接时双方签字确认，返回后介质交由保密管理员统一做数据粉碎处理。重要涉密信息仅可通过公司加密邮箱或内网加密通道传输，禁止使用微信、QQ、个人邮箱、抖音等公共互联网工具传输，传输时需添加访问密码，密码通过线下或内部电话告知接收方，不得与文件同渠道传输。内部公开信息可通过企业微信等内部办公工具传输，传输对象仅限公司内部人员，不得转发至外部群组或外部人员。所有涉密信息的传输操作需留痕，日志保存期限不低于6个月。3.4信息使用环节所有涉密信息的操作需严格遵循审批流程，具体要求如下表所示：序号操作类型对应密级审批流程需提交材料1查阅核心涉密申请人提交申请→部门负责人签字→IT安全部审核→CEO审批→保密管理员登记后开放权限查阅申请单（明确查阅原因、查阅时长）2查阅重要涉密申请人提交申请→部门负责人审批→保密管理员登记后开放权限查阅申请单3打印核心涉密原则上禁止打印，确需打印的需CEO审批，打印后由保密管理员全程陪同，使用完立刻收回粉碎打印申请单4打印重要涉密申请人提交申请→部门负责人签字→分管副总审批→保密管理员登记后打印打印申请单5外发核心涉密原则上禁止外发，确需外发的需CEO审批，且合作方需签署额外保密协议外发申请单、合作方保密协议6外发重要涉密申请人提交申请→部门负责人签字→分管副总审批→IT安全部审核→保密管理员登记后外发外发申请单、接收方保密承诺函7外发内部公开申请人提交申请→部门负责人审批→品牌部审核（涉及对外宣传的）外发申请单核心涉密信息的查阅需在公司指定的涉密查阅室进行，查阅室无对外网络连接、无摄像设备，进入查阅室需存放所有个人电子设备，全程有监控记录，查阅时禁止拍照、录像、摘抄、复制内容，查阅结束后保密管理员需检查终端是否留存缓存信息，确认无误后才可离开。重要涉密信息的查阅仅限在办公区域内进行，不得带出办公区，不得转借无关人员查阅。3.5信息销毁环节涉密纸质文件的销毁需使用公司统一的涉密碎纸机粉碎，禁止直接丢弃至垃圾桶或当做废品售卖，销毁时需2名人员在场，登记销毁文件名称、数量、销毁时间、经办人信息。涉密电子信息的销毁需使用专业的数据粉碎工具进行多次覆写操作，禁止仅做删除或格式化处理，核心涉密电子信息的销毁需保密管理员在场监督，销毁后需提交销毁确认单至IT安全部存档。超过保存期限的涉密备份介质的销毁，需进行物理破坏，包括砸毁、消磁等操作，禁止直接丢弃或转售，销毁过程全程录像，录像保存期限不低于1年。4人员保密管理4.1入职管理所有人员入职时需签署《保密承诺书》，核心岗位（包括核心研发、财务、投资、董事会办公室、核心运营等岗位）还需签署《竞业限制协议》，入职前需完成背景调查，确认无相关不良记录。新员工入职培训必须包含信息安全和保密管理内容，培训时长不低于4小时，培训后需参加考试，80分以上为合格，不合格者需补考，补考仍不合格的不予录用。核心岗位人员入职时需由IT安全部单独做专项保密培训，明确岗位涉密内容和管控要求。4.2在职管理公司每年组织至少2次全员保密培训，核心岗位每季度组织1次专项培训，培训内容包括最新的保密法律法规、公司保密制度更新内容、涉密信息识别方法、违规操作案例警示、应急处置流程等。各部门每月需开展1次内部保密自查，检查内容包括员工终端是否存储涉密信息、是否存在违规传输涉密信息的行为、涉密纸质文件是否妥善保管等，自查结果需提交至IT安全部存档。IT安全部每季度开展1次全员保密抽查，抽查比例不低于总人数的20%，发现违规行为及时通报处罚。员工不得在公共场合、公共网络平台谈论公司涉密信息，不得在朋友圈、微博、抖音等社交平台发布任何涉及公司涉密信息的内容。4.3离岗管理员工提出离职申请后，需第一时间办理资料交接手续，交回所有持有的涉密纸质文件、电子存储介质、公司配发的办公设备，由部门负责人和保密管理员共同核查交接内容是否完整。IT安全部需在员工离职当日注销所有系统账号、办公网络权限，核查员工个人设备是否留存公司涉密信息，确认无留存后才可办理后续离职手续。所有离职人员需签署《离岗保密承诺书》，明确离职后2年内仍需承担保密义务，不得泄露公司任何涉密信息，违反承诺的需承担相应的法律责任和经济赔偿责任。4.4外来人员管理临时访客进入办公区域需在前台登记，领取临时访客证，由接待人员全程陪同，禁止进入核心研发区、机房、财务室等涉密区域，访客禁止携带摄像设备进入涉密区域，如需拍摄需经品牌部审批。合作方驻场人员入职前需签署《合作方保密协议》，由IT安全部分配专门的办公账号和网络权限，权限实行最小化原则，仅开放工作所需的最低权限，驻场结束后第一时间注销账号，收回所有公司资料，核查个人设备无留存涉密信息后才可离开。5系统与设备安全管控5.1办公设备管理公司所有配发的办公电脑、手机、平板等设备均需安装统一的终端安全管理系统、全盘加密系统，员工不得私自重装系统、卸载安全软件、关闭加密功能，不得私自将办公设备转借他人使用。个人设备（包括个人手机、电脑、U盘等）禁止接入公司内网，禁止在个人设备上存储、处理任何涉密信息。公司统一配发加密移动存储介质，分为涉密U盘和非涉密U盘，涉密U盘仅可在内网设备上使用，禁止接入外网设备，非涉密U盘仅可在外网设备上使用，禁止接入内网设备，交叉使用将触发系统警报，IT安全部会第一时间核查处理。5.2系统账号管理所有业务系统、办公系统的账号均实行实名制管理，一人一号，禁止共享账号、转借账号。账号权限实行最小化原则，仅开放员工工作所需的最低权限，岗位调整时需第一时间调整账号权限，离职时第一时间注销账号。账号密码需符合复杂度要求，长度不低于8位，包含大写字母、小写字母、数字、特殊符号中的至少3种，每90天需更换一次密码，禁止使用生日、手机号、简单连续字符作为密码。5.3网络安全管理公司内网与外网实行物理隔离，核心服务器仅可在内网访问，禁止连接外网。办公区域WIFI分为员工WIFI和访客WIFI，访客WIFI与内网完全隔离，仅可访问互联网，不可访问任何内部资源。所有网络操作均需留痕，网络日志保存期限不低于6个月，IT安全部每月对网络日志进行分析，排查异常操作。禁止员工在办公区域私自搭建WIFI热点，禁止使用个人热点连接办公设备处理涉密信息。5.4机房管理机房实行24小时视频监控，监控录像保存期限不低于3个月，进入机房需刷卡+人脸识别双重验证，登记进入时间、事由、离开时间，禁止携带任何移动存储设备、摄像设备进入机房。机房服务器每半月打一次安全补丁，每月做一次漏洞扫描，每季度做一次渗透测试，发现安全隐患第一时间修复。机房备份介质存放于专用保险柜，双人双锁管理，每月核查一次备份介质的完整性。6应急处置与奖惩机制6.1应急响应流程任何人员发现信息泄露隐患或已发生泄露事件时，需第一时间上报IT安全部，不得隐瞒或私自处理。IT安全部接到上报后1小时内启动应急预案，首先切断泄露源，包括冻结涉事账号、断开涉事设备网络、删除已泄露的可管控内容等，然后评估泄露的信息密级、影响范围、损失程度，制定补救措施，包括通知相关受影响方、发布声明、报警等。随后成立专项调查小组，溯源泄露原因，确定责任人，形成调查报告上报信息安全管理委员会，最后针对泄露原因制定整改方案，更新管理制度，开展全员警示培训，避免同类事件再次发生。6.2事件分级标准信息安全事件按影响程度分为3个等级，处置要求如下表所示：序号事件等级判定标准处置响应级别1一般事件内部公开信息泄露，未造成经济损失，未对公司声誉造成影响部门级响应，由IT安全部和涉事部门共同处置2较大事件重要涉密信息泄露，造成经济损失10万元以下，或对公司声誉造成轻微影响公司级响应，由分管副总牵头处置3重大事件核心涉密信息泄露，造成经济损失10万元以上，或对公司声誉造成严重影响委员会级响应，由CEO牵头处置，必要时报警6.3追责机制因个人过失导致信息泄露，未造成损失的，首次给予口头警告，扣当月绩效10%；二次给予记过处分，扣当月绩效50%；三次及以上予以辞退；造成经济损失的，需承担不低于损失金额20%的赔偿责任。因个人故意泄露公司涉密信息，包括售卖、私自外传、用于个人牟利等行为，公司直接予以辞退，要求承担全部经济损失，情节