公司保密管理制度及信息安全管理规定

公司保密管理制度及信息安全管理规定1.总则1.1目的为规范公司保密及信息安全管理工作，保障经营、技术、客户、财务类核心信息资产安全，防范内外部信息窃取、泄露、篡改、损毁风险，维护公司知识产权、市场竞争优势及合法权益，同时符合《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求，结合公司实际经营情况制定本规定。1.2适用范围本规定适用于所有与公司存在关联关系的主体，包括但不限于正式员工、试用期员工、劳务派遣人员、外包服务人员、实习生、临时聘用人员、外来访客、合作伙伴、供应商、服务商、临时参与公司项目的外部专家及顾问。所有主体在接触、使用公司信息资产期间，均需严格遵守本规定要求。1.3权责划分公司设立保密委员会作为保密及信息安全管理的最高决策机构，由董事长、分管运营的副总经理、CIO、行政部负责人、IT部负责人、法务部负责人、财务部负责人及各核心业务部门负责人组成，主要负责审批管理制度、统筹资源投入、处置重大安全事件、审定奖惩方案。行政部下设保密办，作为日常执行机构，负责制度落地宣贯、涉密载体管理、日常监督检查、保密资质审核、事件跟进协调等工作；IT部作为技术支撑机构，负责网络安全防护、系统权限管理、数据加密存储、访问日志审计、技术溯源排查、安全工具迭代等工作；各部门负责人为本部门保密及信息安全第一责任人，负责落实本部门管控要求、开展内部培训自查、上报本部门安全隐患、配合事件处置工作；全体在岗人员为自身行为的直接责任人，需严格遵守管控要求，主动学习安全知识，及时上报发现的风险隐患，对自身操作产生的安全后果承担直接责任。2.保密管理核心规范2.1密级划分标准公司所有信息资产按照价值、泄露影响程度划分为四个密级，具体划分标准如下表所示：密级定义核心涵盖范围泄露后果知悉范围基础保管要求绝密级对公司核心利益有极端重大影响，泄露会使公司遭受毁灭性损失的核心信息1.核心产品未公开的源代码、算法模型、底层技术架构；2.未公开的并购重组、投融资、IPO申报核心材料；3.头部核心客户的年度合作底价、独家排他性合作条款；4.未公开的核心产品研发路线图、技术突破节点规划；5.公司年度薪酬总方案、核心高管及核心技术人员的薪酬明细、股权激励方案直接经济损失超5000万元、丧失核心技术壁垒、丢失30%以上市场份额、上市进程终止、承担重大法律责任仅限董事长、总经理及保密委员会专项书面授权的核心人员，知悉人员需单独签署绝密级信息保密承诺书纸质载体锁入公司专用保险柜，电子文档加密后仅存储于离线物理介质，禁止接入任何网络，访问需提前3个工作日提交申请，经保密委员会全员审批通过后方可查阅，查阅全程有专人陪同，访问记录永久留存机密级对公司重要利益有重大影响，泄露会使公司遭受严重损失的重要信息1.未公开的招投标项目报价标底、应标核心策略；2.全量核心客户名单、联系方式、合作偏好、消费数据；3.未发布的新品定价策略、营销方案、上市时间规划；4.核心技术的测试数据、参数指标、实验报告；5.公司年度经营预算、利润分配方案、未公开的财务报表；6.独家供应商的供货价格、合作期限等核心条款直接经济损失1000-5000万元、丢失重要招投标项目、市场竞争力下降15%以上、核心客户流失率超20%部门负责人及以上职级人员，以及经部门负责人+保密办双重书面授权的对应岗位人员电子文档仅存储于公司加密云盘，设置精细化访问权限，禁止下载至本地设备、禁止截屏、禁止转发；纸质载体锁入部门专用保密柜，传阅需登记，阅后即时归还，禁止私自复印秘密级对公司正常经营有直接影响，泄露会使公司遭受一定损失的内部信息1.未公开的人事调整方案、核心岗位招聘计划、员工绩效考核制度；2.普通客户的合作信息、非核心业务的运营数据；3.内部非公开的培训课件、项目复盘报告、问题整改方案；4.非核心技术的研发资料、内部操作手册；5.未正式发布的公司管理制度、内部通知直接经济损失100-1000万元、影响内部管理秩序、普通客户流失率超10%、供应商合作成本上升与信息内容相关的在岗员工，经部门负责人审批后可获取访问权限电子文档存储于公司内部OA系统或普通共享云盘，禁止对外转发；纸质载体妥善存放于办公区域，禁止带出办公区，废弃后需用碎纸机粉碎内部公开级仅限公司内部人员知晓，对外发布需经过审批的通用信息1.已公开产品的常规参数、操作指引；2.内部通用工作流程、普通行政通知；3.对外公开的宣传素材、招聘信息的初稿版本；4.非敏感的日常工作沟通内容直接经济损失100万元以下、对公司声誉造成轻微不良影响全体在职员工可存储于公司内部办公系统，禁止随意对外发布，对外发布前需经部门负责人审批2.2全场景保密行为规范入职阶段：所有人员入职当天需参加不少于2小时的保密专项培训，考核合格（80分以上）后方可上岗，同时签署《保密承诺书》，核心涉密岗位需额外签署《竞业限制协议》，明确在职及离职后的保密义务；在职阶段：禁止在私人社交媒体、公开论坛、知识分享平台发布任何涉密信息；禁止在地铁、餐厅、机场等公共场合讨论涉密事项；禁止私自拍照、复印、拷贝涉密载体；禁止将涉密载体带出办公区域，确因工作需要带出的，需提前提交申请，明确用途、带出时间、归还时间，经部门负责人+保密办双重审批后方可带出，绝密级载体带出需经总经理审批；离职阶段：人员提出离职申请后，部门需第一时间冻结其系统访问权限，交接时需清退所有涉密纸质载体、电子存储介质、办公设备，由部门负责人、保密办、IT部三方共同审核交接清单，确认所有涉密信息已归还或销毁后，签署《离职保密承诺书》，明确离职后3-5年的保密义务，核心涉密岗位需遵守3-6个月的脱密期要求，脱密期内不得入职同类竞争企业、不得参与同类竞品的研发运营工作；对外合作阶段：所有合作合同需附带保密条款或单独签署保密协议，明确涉密范围、保密期限、违约责任，违约责任需明确泄露涉密信息的赔偿金额不低于损失金额的2倍，无明确损失的不低于100万元；合作方人员进入办公区需提前登记随身设备，发放访客证，仅限在指定会客区域活动，进入办公区需由公司专人全程陪同，禁止进入涉密区域；合作过程中向合作方提供的涉密资料需添加专属水印，明确仅限本次合作使用，合作结束后15个工作日内需督促合作方销毁所有涉密资料，提供销毁证明并存档。3.信息安全管理核心规范3.1网络与技术安全管控公司实行内外网物理隔离机制，核心涉密区域网络完全断网，所有对外网络出入口部署下一代防火墙、入侵检测系统、防病毒系统、数据泄露防护系统，IT部每周更新病毒库，每月开展一次全系统漏洞扫描，每季度开展一次渗透测试，发现高危漏洞需在24小时内完成修复，中危漏洞72小时内修复，低危漏洞7个工作日内修复。所有涉密电子文档采用AES-256加密算法加密，传输涉密信息必须使用公司加密VPN通道，禁止使用微信、QQ、私人邮箱、公共云盘等非授权工具传输任何涉密信息；核心数据采用“两地三中心”架构存储，每日自动备份，备份数据与主数据物理隔离，每季度开展一次数据恢复演练，确保备份数据可用。3.2设备分类管控要求公司所有办公设备实行分类分级管理，具体管控要求如下表所示：设备类型授权使用人员核心管控要求带出审批权限核心涉密设备（存储绝密级信息的服务器、离线存储介质、涉密计算机）保密委员会专项授权的专人放置于带生物识别门禁的专用机房，24小时视频监控，进出机房需登记，禁止连接外网，禁止接入任何私人设备，操作全程留痕，禁止安装任何非授权软件总经理签字审批普通涉密设备（存储机密级信息的部门办公电脑、涉密打印机、涉密U盘）部门授权的涉密岗位人员安装桌面管理系统，默认禁用USB接口，确需使用的需提交临时申请，禁止连接公共WiFi，禁止安装非公司授权的软件，系统开启自动截屏、操作日志留存功能部门负责人+保密办双重审批普通办公设备（员工日常办公电脑、普通打印机、办公U盘）全体在职员工安装公司统一的防病毒软件，定期推送系统补丁，禁止将私人设备接入公司内网，禁止在办公电脑存储大量私人敏感信息，离职时需清空所有工作资料，归还设备后方可办理离职手续部门负责人审批访客设备外来访客进入办公区前需登记，禁止接入公司内网，如需使用网络需接入独立的访客WiFi，与内网资源完全隔离，禁止携带摄像设备进入涉密区域无需带出审批，离开办公区时需确认未拷贝公司涉密信息3.3账号与权限安全管控所有公司系统账号实行“一人一号”制，禁止转借、共用账号，密码要求长度不少于8位，包含大小写字母、数字、特殊符号，每90天强制更换一次，禁止使用过往5次以内的旧密码；核心系统（财务系统、CRM系统、代码仓库、核心数据库）登录必须启用双因素认证，采用“密码+动态令牌/人脸验证”方式，禁止单一密码登录。权限分配实行“最小必要”原则，员工系统权限仅限满足本职工作需求的最小范围，岗位调整、离职时，IT部需在24小时内调整或注销对应账号权限；核心系统权限申请需经部门负责人+系统管理员双重审批，每季度开展一次全公司权限复盘，清理冗余权限、闲置账号，确保权限与岗位匹配。3.4个人信息保护专项要求公司采集员工、客户个人信息需严格遵循合法、正当、必要原则，明确告知信息采集用途，获得信息主体的明确授权，禁止超范围采集敏感个人信息；个人信息存储采用脱敏加密方式，身份证号、手机号、银行卡号等敏感字段需加密存储，禁止明文展示；如需向第三方提供个人信息，需获得信息主体的单独书面授权，同时与第三方签署个人信息保护协议，明确对方的保护义务及违约责任，禁止未经授权向任何第三方泄露个人信息。远程办公场景下，员工需使用公司配发的办公电脑，通过加密VPN接入公司内网，禁止使用私人电脑访问核心系统，禁止在公共环境下处理敏感个人信息，禁止让无关人员接触办公设备。4.监督检查与责任追究4.1监督检查机制保密办每月抽取不少于20%的部门开展现场抽查，检查内容包括涉密载体保管情况、设备使用情况、权限匹配情况；IT部每月导出系统访问日志、操作日志开展审计，排查异常访问、超权限操作行为；每年开展不少于2次的模拟钓鱼测试、社会工程学攻击测试，对点击钓鱼链接、泄露敏感信息的员工开展专项再培训。公司设立保密举报邮箱及举报热线，对举报泄密、违规操作等行为的人员予以严格保密，举报内容经查实后，根据违规严重程度给予举报人500-50000元不等的现金奖励。4.2违规处罚标准所有违规行为按照严重程度划分为四个等级，具体处罚标准如下表所示：违规等级违规情形直接责任人处罚连带责任人处罚一级违规（特别严重）1.泄露绝密级信息；2.故意窃取、售卖公司涉密信息谋取私利；3.违规操作导致核心数据泄露，造成500万元以上损失；4.恶意破坏公司信息安全防护系统解除劳动合同，全额承担造成的经济损失，构成犯罪的移交司法机关追究刑事责任，纳入公司招聘黑名单部门负责人、分管领导承担损失金额10%-20%的连带赔偿责任，取消当年所有评优、奖金资格二级违规（严重）1.泄露机密级信息；2.私自拷贝、带出涉密载体；3.使用非授权工具传输涉密信息；4.违规操作导致数据损失100-500万元记大过处分，降薪20%-50%，承担损失金额30%-50%的赔偿责任，取消当年所有评优、奖金资格，情节严重的解除劳动合同部门负责人承担损失金额5%-10%的连带赔偿责任，取消当年评优资格三级违规（较重）1.泄露秘密级信息；2.转借、共用系统账号；3.私自将私人设备接入公司内网；4.违规操作导致数据损失10-100万元记过处分，降薪10%-20%，承担损失金额10%-30%的赔偿责任，取消当季度所有奖金，参加不少于4小时的专项培训，考核合格后方可返岗直属领导承担损失金额2%-5%的连带赔偿责任，给予书面警告四级违规（一般）1.未经审批对外发布内部公开级信息；2.密码90天以上未更换；3.安装非授权软件；4.未按要求保管涉密载体未造成实际损失书面警告，罚款200-2000元，参加不少于2小时的专项培训，考核合格后方可返岗直属领导给予口头警告5.应急处置机制5.1预案与演练保密委员会牵头制定《泄密及信息安全事件应急预案》，明确不同等级事件的处置流程、各部门职责、止损措施、溯源方案，每年至少组织一次应急演练，模拟核心数据泄露、黑客攻击、涉密载体丢失等场景，演练结束后3个工作日内出具复盘报告，优化应急预案短板。5.2事件上报与处置发生泄密或信息安全事件后，当事人或发现人需在1小时内上报部门负责人及保密办，禁止隐瞒、缓报、谎报。保密办接到上报后第一时间成立应急小组，由IT部、法务部、相关业务部门负责人共同组成，按照预案开展处置：1.止损阶段：IT部第一时间切断相关网络连接、冻结涉事账号、回收涉事设备，控制传播范围，防止信息进一步扩散；2.溯源阶段：IT部通过日志审计、技术排查确定泄露源头、传播路径、影响范围，出具技术溯源报告；3.补救阶段：法务部评估法律风险，必要时发布官方声明、采取证据保全措施，业务部门对接受影响的客户、合作方，做好沟