海航集团信息安全

海航集团信息安全一、组织架构与职责划分（一）权责划定。各单位主要负责人是第一责任人，分管信息安全的领导是直接责任人，信息安全管理岗是具体执行人。各部门需指定专人负责信息安全工作，形成一级抓一级、层层抓落实的责任体系。（二）部门协同。信息技术部统筹全集团信息安全工作，负责制度制定、技术防护、应急响应；审计部负责监督考核，每季度开展专项检查；人力资源部负责将信息安全纳入员工绩效考核，违规者依法依规处理。（三）人员培训。新员工入职必须接受信息安全培训，考核合格后方可接触涉密系统。每年组织全员复训，重点岗位人员需参加专项技能测试，成绩存档备查。二、制度体系与标准规范（一）制度建设。制定《海航集团信息安全管理办法》《数据分类分级标准》《密码管理办法》等12项核心制度，覆盖数据全生命周期管理。制度修订需经集团总法律顾问审核，报董事会批准后发布。（二）操作规范。明确系统访问权限申请流程，实行“按需授权、定期审计”原则。涉密文件流转必须通过加密通道传输，纸质文件需履行登记销毁手续。开发人员需遵守《代码安全规范》，禁止硬编码敏感信息。（三）合规管理。对照《网络安全法》《数据安全法》等法律法规，建立合规自查清单。每年委托第三方机构开展等保测评，针对发现的问题制定整改计划，整改完成需通过复测验收。三、技术防护体系建设（一）边界防护。所有接入互联网的系统必须部署WAF防火墙，采用IPS/IDS联动防御机制。境外系统需通过VPN专线接入，配置双向认证和流量加密。定期更新安全策略，每月开展渗透测试评估防护效果。（二）数据安全。核心数据存储需采用RAID6冗余架构，重要数据每日增量备份至异地灾备中心。建立数据防泄漏系统，对邮件、即时通讯等渠道传输的敏感信息进行监测。禁止将涉密数据存储在个人设备或移动存储介质。（三）终端管理。统一部署终端安全管理系统，强制执行防病毒软件实时防护。员工办公电脑需安装加密硬盘，禁止使用U盘拷贝涉密文件。定期开展终端安全检查，违规设备必须下线整改。四、应急响应与处置机制（一）预案管理。制定《信息安全事件应急预案》，明确断网、勒索病毒、数据泄露等6类突发事件的处置流程。每半年组织应急演练，检验预案的完整性和可操作性。演练结果需形成报告，报集团领导审批。（二）事件处置。发生信息安全事件必须第一时间上报，信息技术部需在2小时内启动应急响应。事件处置需遵循“最小化影响”原则，必要时暂停相关系统服务。处置过程全程记录，形成事件分析报告存档备查。（三）溯源追责。重大信息安全事件需启动刑事报案程序，配合公安机关开展溯源调查。对责任单位实行年度考核一票否决，对直接责任人依法解除劳动合同。建立事件黑名单制度，对恶意攻击者实施永久封禁。五、安全意识与文化建设（一）宣传教育。每月开展信息安全主题宣传周活动，通过电子屏、内网公告等形式普及安全知识。制作《信息安全十不准》漫画手册，人手一份张贴在工作区域。组织信息安全知识竞赛，获胜者给予物质奖励。（二）行为规范。禁止员工使用弱口令，密码必须包含大小写字母和数字组合。禁止在公共场所谈论涉密信息，禁止将工作设备用于私人用途。发现他人违规行为必须立即制止，及时向信息安全部门报告。（三）文化塑造。设立信息安全举报箱，对提供有效线索者给予奖励。评选年度“安全标兵”，在集团内网进行表彰。将信息安全纳入企业文化培训，新员工必须签署《信息安全承诺书》。六、监督审计与持续改进（一）内部审计。审计部每季度开展信息安全专项审计，重点检查制度执行、技术防护、应急演练等环节。审计发现的问题需形成整改通知书，被审计单位必须在30日内完成整改，审计部进行跟踪验证。（二）外部监督。聘请第三方安全服务机构开展年度风险评估，对关键系统实施持续监控。配合监管机构检查，对发现的问题建立台账清单，逐项销号管理。定期发布《信息安全白皮书》，向全体员工通报安全状况。（三）持续改进。每月召开信息安全工作例会，分析安全态势，研究改进措施。建立安全基线管理体系，对防护措施进行量化评估。每年开展信息安全绩效评估，评估结果与部门绩效考核挂钩。七、附则说明本制度适用于海航