安全备案规范

安全备案规范第一章总则1.1目的与依据为建立健全公司安全管理体系，规范各类安全事项的备案流程，确保公司运营活动符合国家法律法规、行业标准及内部管理要求，有效防范和控制各类安全风险，特制定本规范。本规范依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《个人信息保护法》及相关行业监管规定，结合公司实际业务情况编制，旨在通过标准化的备案机制，实现安全风险的可知、可防、可控。1.2适用范围本规范适用于公司总部、各分支机构、全资子公司及控股公司（以下统称“各单位”）的所有部门及全体员工。凡涉及公司信息系统建设与运营、数据处理活动、重大网络安全事件、关键人员安全准入等事项，均须严格按照本规范执行安全备案程序。公司投资参股的企业可参照本规范执行，或由公司相关职能部门依据股权协议要求向其传达备案要求。1.3基本原则安全备案工作遵循以下基本原则：（一）真实性原则：所有备案材料必须真实、准确、完整，不得隐瞒、虚报或漏报关键信息。备案内容应客观反映实际业务场景和技术环境，确保监管部门及公司管理层掌握准确情况。（二）及时性原则：安全事项发生后或变更前，责任单位应在规定时限内完成备案手续。对于涉及紧急变更或突发事件的，应先进行口头或简易备案，并在规定时间内补齐正式材料。（三）全面性原则：备案范围应覆盖所有涉及国家安全、公共利益、组织合法权益及个人权益的安全事项。任何部门和个人不得擅自缩小备案范围或降低备案标准。（四）分级分类原则：根据安全事项的风险等级、敏感程度和影响范围，实施分级分类备案管理。针对高风险事项，应执行更严格的审核流程和更详细的材料提交要求。1.4定义与术语（一）安全备案：指各单位将涉及网络安全、数据安全、系统安全、物理安全等相关事项的基本情况、合规证明材料及风险评估报告向公司安全管理部门或相关监管机构进行登记、存档并接受监督的行为。（二）备案主体：指发起备案申请的部门、项目组或分支机构。（三）备案受理部门：指负责接收、审核、归档备案材料的公司安全管理部门（如安全管理部、合规部等）。（四）关键信息基础设施：指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。第二章组织架构与职责2.1安全管理委员会公司设立安全管理委员会，作为安全备案工作的最高决策机构。其主要职责包括：（一）审批公司安全备案管理制度及相关实施细则；（二）审议并决定涉及高风险、高敏感度的重大安全备案事项；（三）协调解决跨部门、跨区域的安全备案争议与疑难问题；（四）监督安全备案工作的整体执行情况及合规性。2.2安全管理部门安全管理部门是安全备案工作的归口管理部门，负责日常工作的组织与实施。其主要职责包括：（一）制定和修订安全备案管理规范及相关操作指南；（二）受理各单位提交的安全备案申请，并对备案材料的完整性、规范性进行形式审查；（三）组织相关业务部门、技术专家对备案事项进行实质审核与风险评估；（四）建立和维护安全备案管理台账，定期更新备案状态；（五）对接外部监管机构，按规定报送需监管审批的备案材料；（六）对各单位备案工作的执行情况进行定期检查与考核。2.3业务主管部门各业务主管部门是本专业领域安全备案的责任主体。其主要职责包括：（一）识别本部门业务流程中的安全备案触发点；（二）组织起草和填写安全备案申请材料，确保材料的真实性与准确性；（三）配合安全管理部门进行风险评估、整改及现场核查；（四）在备案事项发生变更、终止或出现安全事件时，及时发起变更或注销备案。2.4合规与法务部门合规与法务部门负责对安全备案事项的法律合规性进行审查。其主要职责包括：（一）评估备案事项是否符合国家法律法规及监管政策要求；（二）审核备案材料中的法律文件、协议条款及隐私政策；（三）为安全备案工作提供法律咨询与支持，协助处理可能的法律纠纷。第三章安全备案分类与范围3.1信息系统安全备案所有新建、改建、扩建的信息系统，在上线运行前必须完成安全备案。具体包括：（一）定级备案：根据系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度，确定系统安全保护等级，并按照《网络安全等级保护条例》要求，向公安机关网安部门进行等级保护备案。（二）上线验收备案：系统内部测试通过后，正式上线前，需向公司安全管理部门提交上线验收申请，备案系统架构、安全防护措施、应急响应预案等材料。（三）变更备案：系统发生重大变更（如核心功能模块重构、网络拓扑结构改变、扩容增加服务器等），可能影响系统安全防护能力时，需重新进行安全评估并提交变更备案。3.2数据安全备案涉及数据收集、存储、使用、加工、传输、提供、公开等处理活动，特别是处理个人信息或重要数据的，需进行数据安全备案。（一）数据出境备案：向境外提供个人信息或重要数据的，需通过国家网信部门组织的数据出境安全评估，或进行标准合同备案，并完成公司内部的数据出境审批备案。（二）个人信息处理活动备案：处理达到一定数量（如超过一百万人）的个人信息处理者，应制定个人信息保护计划并备案。（三）重要数据目录备案：各部门需梳理本部门掌握的重要数据目录，明确数据类别、级别、数量、存储位置及处理方式，向安全管理部门备案。3.3网络安全事件备案发生网络安全事件后，必须按照规定进行备案。（一）一般事件备案：发生未造成重大影响的网络安全漏洞、病毒感染等事件，应在事件处置完毕后5个工作日内提交事件分析报告备案。（二）重大/特别重大事件备案：发生造成严重损失或影响的网络安全事件，应立即（最迟不超过1小时）进行口头报备，并在24小时内提交书面事件详情及初步处置报告。3.4人员安全备案对关键岗位人员及第三方人员进行安全管理备案。（一）关键岗位人员背景审查备案：接触核心数据或负责关键系统运维的人员，入职前需进行背景审查，审查结果及授权范围需备案。（二）第三方人员访问备案：外部厂商、顾问等需要进行物理访问或逻辑访问的，需由接入部门提交访问申请，备案访问人员信息、访问时段、操作范围及保密协议。以下为安全备案分类及对应监管要求表：备案类别备案细项触发条件受理对象备案时限要求关键材料清单信息系统等保定级备案新建系统或系统定级变更公安机关网安部门系统建设期内系统定级报告、备案表、专家评审意见信息系统上线验收备案系统正式上线运行公司安全管理部门上线前15个工作日测试报告、安全配置清单、应急预案信息系统重大变更备案架构、功能、资产重大变更公司安全管理部门变更前5个工作日变更方案、风险评估报告、测试验证结果数据安全数据出境安全评估关键信息基础设施运营者或处理100万人以上个人信息向境外提供国家网信部门数据传输前申报书、自评估报告、合同文本、风险保障措施数据安全重要数据目录备案产生或掌握行业重要数据公司安全管理部门/行业主管部门按年度更新或即时更新重要数据识别清单、数据流转图、安全管控措施安全事件重大事件报告造成较大损失或敏感信息泄露公司管理层及监管机构立即报备，24小时内详报事件概况、影响范围、初步处置情况、舆情监测人员管理第三方访问备案外部人员进入核心区域或访问核心系统公司安全管理部门访问前24小时访问申请单、保密协议、身份证复印件、操作授权书第四章备案流程与管控4.1备案申请备案发起人应通过公司指定的安全管理平台或OA系统提交备案申请。申请时需根据备案类型选择相应的表单，并上传附件材料。申请流程如下：（一）材料准备：备案发起人应严格按照本规范及附件模板的要求准备材料。所有电子文档应采用PDF格式，图纸应采用Visio或PDF格式，确保不可编辑且清晰可读。（二）自查自评：在正式提交前，备案发起人所在部门负责人应组织内部自查，确认业务需求合理、技术方案可行、安全措施到位，并在申请表中签署初审意见。（三）提交申请：自查通过后，发起人将备案材料提交至系统，系统自动生成唯一的备案申请编号，并流转至安全管理部门。4.2受理与形式审查安全管理部门收到备案申请后，应在2个工作日内完成形式审查。（一）审查内容：主要审查提交的材料是否齐全、填写是否规范、签字盖章是否完备、是否符合法定形式要求。（二）审查结果处理：1.材料齐全且符合要求的，予以受理，进入实质审核阶段。2.材料不齐全或不符合要求的，应一次性告知备案发起人需要补正的全部内容。发起人应在告知期限内（一般不超过5个工作日）完成补正。逾期未补正的，视为撤回申请。4.3实质审核与风险评估安全管理部门受理后，根据备案事项的风险等级，组织相关人员进行实质审核。（一）低风险事项：由安全管理部门专员进行书面审核，重点核查信息的准确性和基础安全措施的合规性。（二）中高风险事项：安全管理部门应组织技术专家、业务骨干及合规人员组成评审小组，召开评审会议。审核重点包括：1.系统架构或业务逻辑的安全性；2.数据处理活动的合法性及个人权益保障措施；2.3.第三方供应商的资质及安全能力；4.应急预案的有效性。（三）外部评估：对于法律法规要求必须进行第三方安全评估的事项（如等级保护测评、数据出境风险自评估），备案主体必须提供具备资质的第三方机构出具的评估报告。4.4备案决定与反馈审核工作应在受理后规定时限内（一般为10-15个工作日，复杂项目可延长）完成，并作出书面决定。（一）予以备案：对于审核通过的事项，安全管理部门应出具《安全备案通知书》，并将备案信息录入管理台账。如需向外部监管机构报备，由安全管理部门负责在规定时间内完成外部报送。（二）不予备案：对于审核未通过的事项，安全管理部门应出具《不予备案通知书》，书面说明理由及整改意见。备案发起人完成整改后，可重新发起备案申请。4.5变更与注销备案（一）变更备案：已备案事项的信息发生变更时，备案主体应在变更生效前提交变更申请。对于紧急变更，可在变更后24小时内补办备案手续，但必须经过应急审批流程。（二）注销备案：当业务终止、系统下线或不再处理相关数据时，备案主体应在停止服务前提交注销备案申请，并说明数据销毁或迁移情况。安全管理部门确认无遗留风险后，办理注销手续。第五章备案材料标准与要求5.1信息系统备案材料要求（一）《信息系统安全备案申请表》：需详细填写系统名称、建设单位、系统架构、部署环境、服务器IP、域名、开放端口、使用的技术栈、用户规模等基础信息。（二）《系统安全等级定级报告》：需详细说明定级依据、业务信息安全保护等级、系统服务安全保护等级及确定理由。（三）《系统拓扑结构图》：需清晰描绘网络边界、安全设备部署（防火墙、WAF、IDS等）、服务器区、数据流向及外部连接接口。（四）《安全测试报告》：需提供近期（通常为半年内）的漏洞扫描报告、渗透测试报告，证明系统无高危及以上安全漏洞。（五）《应急预案》：需包含应急组织架构、响应流程、联系人及通讯方式、恢复措施等内容。5.2数据安全备案材料要求（一）《数据安全备案申请表》：需明确数据名称、数据类别（如个人信息、重要数据）、数据量、存储介质、保存期限、数据处理目的及方式。（二）《数据跨境传输申报书》：包含数据出境方案、合同文本、境外接收方信息、安全评估报告等。（三）《个人信息保护影响评估报告》（PIA）：针对处理个人信息活动，需分析对个人权益的影响，并评估安全措施的有效性。5.3材料格式规范（一）所有文档应使用A4标准版式，页边距适中，字体清晰（正文宋体小四，标题黑体）。（二）电子版材料应按照“备案编号-材料类型-版本号”的规则命名文件。（三）涉及第三方出具的证明文件，必须加盖第三方机构公章。（四）所有材料需建立纸质档案，电子档案需进行防篡改处理（如数字签名或哈希校验）。第六章动态管理与持续监督6.1备案台账管理安全管理部门应建立统一的安全备案管理台账，实现全生命周期管理。台账信息应包括：（一）备案编号、事项名称、备案类别、备案主体；（二）申请时间、受理时间、备案决定时间、备案状态；（三）备案有效期、外部监管批文号；（四）关联的资产清单、风险等级、历史变更记录。台账应至少每季度进行一次备份，并确保数据的完整性与安全性。6.2定期核查机制安全管理部门应定期对已备案事项进行合规性核查。（一）年度核查：每年至少组织一次全面的安全备案合规性检查，重点核查已备案系统或数据活动的实际情况是否与备案内容一致。（二）专项核查：在重大节假日、重要活动期间或行业监管专项行动期间，开展针对性的专项备案核查。（三）核查方式：包括远程技术扫描、现场访谈、文档审查等。6.3风险预警与整改（一）对于在核查中发现未备案先运行、实际运行情况与备案不符、存在重大安全隐患等问题的，安全管理部门应立即向责任单位发出《安全风险整改通知书》。（二）责任单位应在规定期限内完成整改，并提交《整改情况报告》。对于未按期整改或整改不合格的，安全管理部门有权采取限制系统访问、暂停业务运行等强制措施，并纳入年度绩效考核。6.4监管政策跟踪安全管理部门应密切关注国家及地方发布的最新网络安全、数据安全法律法规及政策标准。（一）政策解读：及时对新政策进行解读，评估其对公司现有备案工作的影响。（二）规范更新：根据法律法规的变化，适时修订本规范及相关操作指引，并向全公司发布。（三）培训宣贯：定期组织安全备案专项培训，提高各部门的合规意识和操作技能。第七章责任追究与奖惩7.1违规责任追究对于违反本规范的行为，公司将视情节轻重追究相关单位及人员的责任：（一）未按规定履行备案手续，擅自上线系统、开展数据处理活动或进行变更的，给予通报批评，并责令限期整改。（二）在备案材料中弄虚作假、隐瞒真实情况的，对直接责任人及部门负责人进行严肃处理，包括但不限于绩效考核扣分、降职、解除劳动合同等。（三）因未及时备案或备案材料严重失实，导致公司面临监管处罚、法律诉讼或重大经济损失的，依法依规追究相关人员的法律责任及经济赔偿责任。（四）安全管理部门工作人员在备案审核过程中滥用职权、玩忽职守、徇私舞弊的，从严从重处理。7.2激励机制对于在安全备案工作中表现突出的单位和个人，公司给予表彰和奖励：（一）主动发现并上报重大安全隐患，避免安全事故发生的；（二）在备案流程优化、技术创新方面提出重要建议并被采纳的；（三）在应对监管检查、重大专项备案工作中做出突出贡献的。第八章附则8.1解释权本规范由公司安全管理委员会负责解释。8.2修订与生效本规范自发布之日起正式实施。原有的相关安全备案管理规定与本规范不一致的，以本规范为准。如遇国家相关法律法规调整，安全管理部门应及时启动修订程序。8.3特殊情况处理对于本规范未尽事宜，或涉及特殊行业、特定区域的强制性备案要求，各单位应及时向安全管理部门反馈，由安全管理部门组织专题研究后确定处理方案。8.4争议解决各单位在执行本规范过程中，如与安全管理部门发生争议，可提请公司