PAGE上市公司防火墻制度規(guī)范一、總則（一）制定目的本制度旨在規(guī)范上市公司內(nèi)部各部門、各層級之間的信息流動與業(yè)務(wù)操作，防范內(nèi)部風(fēng)險傳遞，保護公司及其股東的合法權(quán)益，確保公司運營的穩(wěn)健性和合規(guī)性，維護證券市場的正常秩序。（二）適用范圍本制度適用于本上市公司及其所有子公司、分支機構(gòu)，以及公司全體員工、董事、監(jiān)事、高級管理人員。（三）基本原則1.獨立性原則：各業(yè)務(wù)部門、職能部門應(yīng)在職責(zé)、人員、信息等方面保持相對獨立，避免利益沖突和不當關(guān)聯(lián)，防止風(fēng)險的交叉?zhèn)魅尽?.合規(guī)性原則：嚴格遵守國家法律法規(guī)、證券監(jiān)管機構(gòu)的相關(guān)規(guī)定以及公司內(nèi)部的各項規(guī)章制度，確保制度的制定與執(zhí)行合法合規(guī)。3.有效性原則：制度應(yīng)具備實際可操作性，能夠有效識別、評估、監(jiān)測和控制各類風(fēng)險，保障公司業(yè)務(wù)的正常開展和風(fēng)險防范目標的實現(xiàn)。4.審慎性原則：在業(yè)務(wù)決策和操作過程中，充分考慮潛在風(fēng)險，保持謹慎態(tài)度，避免因疏忽或冒險行為導(dǎo)致公司遭受損失。二、防火墻的組織架構(gòu)與職責(zé)分工（一）防火墻管理委員會1.組成人員：由公司董事會成員、高級管理人員以及關(guān)鍵業(yè)務(wù)部門負責(zé)人組成。2.職責(zé)負責(zé)審議和批準防火墻制度的總體框架、重大政策和重要措施。協(xié)調(diào)各部門之間在防火墻建設(shè)與執(zhí)行過程中的重大事項，解決部門間的爭議和沖突。定期評估防火墻制度的有效性，根據(jù)公司內(nèi)外部環(huán)境變化適時提出修訂建議。（二）合規(guī)部門1.職責(zé)負責(zé)牽頭制定、修訂和完善防火墻制度，確保制度符合法律法規(guī)和監(jiān)管要求。對公司各部門執(zhí)行防火墻制度的情況進行日常監(jiān)督檢查，及時發(fā)現(xiàn)并糾正違規(guī)行為。開展合規(guī)培訓(xùn)和宣傳工作，提高員工對防火墻制度的認識和理解，增強合規(guī)意識。收集、分析與防火墻相關(guān)的法律法規(guī)和監(jiān)管政策變化信息，為公司提供合規(guī)建議和風(fēng)險預(yù)警。（三）業(yè)務(wù)部門1.職責(zé)負責(zé)本部門內(nèi)部防火墻制度的細化和執(zhí)行，確保本部門業(yè)務(wù)操作符合制度要求。對本部門與其他部門之間的信息交流、業(yè)務(wù)協(xié)作進行管理和控制，防止不當信息傳遞和風(fēng)險擴散。配合合規(guī)部門開展監(jiān)督檢查工作，及時報告本部門發(fā)現(xiàn)的潛在風(fēng)險和違規(guī)問題。（四）信息技術(shù)部門1.職責(zé)負責(zé)建立和維護公司的信息技術(shù)系統(tǒng)，確保系統(tǒng)具備防火墻功能，能夠有效隔離不同業(yè)務(wù)模塊之間的信息訪問。對信息技術(shù)系統(tǒng)的安全漏洞進行監(jiān)測和修復(fù)，防止外部非法入侵和內(nèi)部信息泄露。協(xié)助業(yè)務(wù)部門和合規(guī)部門開展與信息技術(shù)相關(guān)的風(fēng)險防控工作，提供技術(shù)支持和解決方案。三、信息隔離與保密措施（一）信息分類與分級1.信息分類業(yè)務(wù)信息：包括公司的市場策略、銷售數(shù)據(jù)、客戶信息、業(yè)務(wù)合同等與公司日常經(jīng)營活動直接相關(guān)的信息。財務(wù)信息：涵蓋公司的財務(wù)報表、財務(wù)預(yù)算、資金流動等財務(wù)數(shù)據(jù)和信息。敏感信息：涉及公司的重大決策、未公開的重大事項、商業(yè)秘密、內(nèi)幕信息等可能對公司股價或經(jīng)營產(chǎn)生重大影響的信息。2.信息分級根據(jù)信息的重要性、敏感性和影響范圍，將信息分為不同級別，如絕密、機密、秘密、一般等。不同級別的信息應(yīng)采取相應(yīng)的保密措施和訪問限制。（二）信息訪問控制1.人員權(quán)限管理根據(jù)員工的工作職責(zé)和崗位需求，設(shè)定不同的信息訪問權(quán)限，確保員工僅能訪問其工作所需的信息。定期對員工的信息訪問權(quán)限進行審查和調(diào)整，防止權(quán)限濫用。2.系統(tǒng)安全認證采用身份認證、密碼管理、數(shù)字證書等技術(shù)手段，確保只有經(jīng)過授權(quán)的人員能夠訪問公司信息系統(tǒng)。對重要信息系統(tǒng)設(shè)置多層安全防護，如防火墻、入侵檢測系統(tǒng)、加密技術(shù)等，防止外部非法訪問和內(nèi)部信息泄露。（三）信息傳輸與存儲安全1.信息傳輸加密在公司內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、不同業(yè)務(wù)部門之間進行信息傳輸時，采用加密技術(shù)對傳輸數(shù)據(jù)進行加密處理，防止信息在傳輸過程中被竊取或篡改。對涉及敏感信息的電子郵件、文件傳輸?shù)韧ㄐ欧绞?，要求使用加密工具進行加密傳輸。2.信息存儲安全對重要信息進行分類存儲，存儲設(shè)備應(yīng)具備安全防護措施，如物理隔離、數(shù)據(jù)備份、存儲加密等。定期對存儲的信息進行備份，并將備份數(shù)據(jù)存儲在安全的異地位置，以防止因自然災(zāi)害、系統(tǒng)故障等原因?qū)е聰?shù)據(jù)丟失。（四）保密協(xié)議與培訓(xùn)1.保密協(xié)議公司與員工簽訂保密協(xié)議，明確員工在信息保密方面的權(quán)利和義務(wù)，要求員工嚴格遵守公司的保密制度。保密協(xié)議應(yīng)涵蓋保密信息的范圍、保密期限、違約責(zé)任等內(nèi)容，對違反保密協(xié)議的行為設(shè)定相應(yīng)的法律責(zé)任。2.保密培訓(xùn)定期組織員工參加保密培訓(xùn)，提高員工的保密意識和技能，使其了解信息保密的重要性和相關(guān)法律法規(guī)要求。培訓(xùn)內(nèi)容應(yīng)包括信息分類分級、訪問控制、傳輸存儲安全、保密協(xié)議等方面的知識和操作技能。四、業(yè)務(wù)隔離與風(fēng)險防控（一）業(yè)務(wù)部門隔離1.職能分離明確劃分不同業(yè)務(wù)部門的職責(zé)和權(quán)限，避免業(yè)務(wù)交叉和職責(zé)不清導(dǎo)致的風(fēng)險傳遞。例如，投資銀行部門與資產(chǎn)管理部門應(yīng)在業(yè)務(wù)操作、人員管理、信息交流等方面保持獨立。禁止同一員工在不同業(yè)務(wù)部門之間兼任可能導(dǎo)致利益沖突的職務(wù)，防止內(nèi)部信息泄露和不當利益輸送。2.辦公區(qū)域與設(shè)備隔離根據(jù)業(yè)務(wù)性質(zhì)和風(fēng)險程度合理劃分辦公區(qū)域，對不同業(yè)務(wù)部門的辦公區(qū)域進行物理隔離，減少不必要的人員往來和信息交流。為不同業(yè)務(wù)部門配備獨立的辦公設(shè)備和信息系統(tǒng)，防止因設(shè)備共用或系統(tǒng)互聯(lián)導(dǎo)致的信息泄露和風(fēng)險傳播。（二）項目隔離1.項目團隊組建對于不同的業(yè)務(wù)項目，組建獨立的項目團隊，明確團隊成員的職責(zé)和分工，確保項目運作的獨立性和專業(yè)性。項目團隊成員應(yīng)專注于本項目的工作，避免參與其他項目或業(yè)務(wù)部門的活動，防止項目間的信息混淆和風(fēng)險傳染。2.項目信息管理建立項目專用的信息管理系統(tǒng)，對項目相關(guān)信息進行集中管理和控制。項目信息應(yīng)與公司其他業(yè)務(wù)信息進行隔離，僅限項目團隊成員在授權(quán)范圍內(nèi)訪問和使用。定期對項目信息進行清理和歸檔，防止項目結(jié)束后信息殘留或泄露對公司造成不利影響。（三）風(fēng)險監(jiān)測與預(yù)警1.風(fēng)險指標設(shè)定建立完善的風(fēng)險監(jiān)測指標體系，涵蓋市場風(fēng)險、信用風(fēng)險、操作風(fēng)險等多個方面。例如，設(shè)定市場波動指標、信用評級變化指標、違規(guī)操作次數(shù)指標等。根據(jù)公司業(yè)務(wù)特點和風(fēng)險偏好，確定各項風(fēng)險指標的合理閾值，作為風(fēng)險預(yù)警的依據(jù)。2.風(fēng)險監(jiān)測與分析業(yè)務(wù)部門和風(fēng)險管理部門定期對風(fēng)險指標進行監(jiān)測和分析，及時發(fā)現(xiàn)潛在風(fēng)險點。通過數(shù)據(jù)分析、現(xiàn)場檢查、內(nèi)部審計等方式，全面評估風(fēng)險狀況。對監(jiān)測到的風(fēng)險信息進行及時報告和反饋，確保相關(guān)部門能夠迅速采取措施進行風(fēng)險防控和處置。（四）應(yīng)急處置機制1.應(yīng)急預(yù)案制定針對可能出現(xiàn)的重大風(fēng)險事件，制定完善的應(yīng)急預(yù)案，明確應(yīng)急處置的流程、責(zé)任分工、資源調(diào)配等內(nèi)容。應(yīng)急預(yù)案應(yīng)定期進行演練和修訂，確保其有效性和可操作性。2.應(yīng)急處置流程一旦發(fā)生風(fēng)險事件，相關(guān)部門應(yīng)立即啟動應(yīng)急預(yù)案，按照預(yù)定流程進行應(yīng)急處置。首先，迅速隔離風(fēng)險源，防止風(fēng)險進一步擴散；其次，對受影響的業(yè)務(wù)和信息進行評估和處理，采取措施恢復(fù)業(yè)務(wù)正常運行；最后，對風(fēng)險事件進行調(diào)查和總結(jié)，提出改進措施，防止類似事件再次發(fā)生。五、監(jiān)督與檢查（一）內(nèi)部審計監(jiān)督1.審計計劃制定內(nèi)部審計部門定期制定防火墻制度執(zhí)行情況的審計計劃，明確審計范圍、審計重點、審計方法和審計時間安排。審計計劃應(yīng)根據(jù)公司業(yè)務(wù)發(fā)展、風(fēng)險狀況以及監(jiān)管要求等因素進行動態(tài)調(diào)整，確保審計工作的針對性和有效性。2.審計實施與報告內(nèi)部審計人員按照審計計劃對各部門防火墻制度的執(zhí)行情況進行現(xiàn)場審計和非現(xiàn)場審計，收集相關(guān)證據(jù)，檢查制度執(zhí)行的合規(guī)性和有效性。審計結(jié)束后，內(nèi)部審計部門應(yīng)撰寫審計報告，詳細闡述審計發(fā)現(xiàn)的問題、原因分析以及改進建議，并及時向公司管理層和防火墻管理委員會報告。（二）合規(guī)檢查監(jiān)督1.定期檢查合規(guī)部門定期對公司各部門防火墻制度的執(zhí)行情況進行全面檢查，檢查內(nèi)容包括信息隔離、保密措施、業(yè)務(wù)隔離、風(fēng)險防控等方面的制度落實情況。通過查閱文件資料、訪談員工、實地觀察等方式，發(fā)現(xiàn)制度執(zhí)行過程中存在的問題和不足。2.專項檢查根據(jù)公司業(yè)務(wù)發(fā)展、監(jiān)管要求或風(fēng)險事件等情況，適時開展專項合規(guī)檢查。例如，針對某項新業(yè)務(wù)的開展、重大信息披露前的準備工作等進行專項檢查，確保相關(guān)業(yè)務(wù)操作符合防火墻制度要求。專項檢查結(jié)束后，合規(guī)部門應(yīng)形成專項檢查報告，向公司管理層和相關(guān)部門反饋檢查結(jié)果，并提出整改建議。（三）違規(guī)處理與整改1.違規(guī)行為認定對于發(fā)現(xiàn)的違反防火墻制度的行為，由合規(guī)部門會同相關(guān)部門進行調(diào)查和認定，明確違規(guī)行為的性質(zhì)、情節(jié)和責(zé)任主體。根據(jù)違規(guī)行為造成的影響和后果，按照公司內(nèi)部規(guī)定進行分類分級，為后續(xù)的處理提供依據(jù)。2.違規(guī)處理措施對于違規(guī)行為，公司將視情節(jié)輕重采取相應(yīng)的處理措施，包括警告、罰款、降職、解除勞動合同等。對涉及違法違規(guī)的行為，將依法追究相關(guān)人員的法律責(zé)任。3.整改要求與跟蹤針對檢查發(fā)現(xiàn)的問題和違規(guī)行為，相關(guān)部門應(yīng)制定詳細的整改計劃，明確整改措施、整改責(zé)任人、整改期限等內(nèi)容。合規(guī)部門負責(zé)對整改情況進行跟蹤檢查，確保整改工作按時完成，整改措施有效落實，防止問題再次出現(xiàn)。六、培訓(xùn)與宣傳（一）培訓(xùn)計劃制定1.根據(jù)公司員工的崗位需求和防火墻制度的要求，制定年度培訓(xùn)計劃。培訓(xùn)計劃應(yīng)涵蓋不同層級、不同崗位員工的培訓(xùn)內(nèi)容和培訓(xùn)方式。2.培訓(xùn)內(nèi)容包括防火墻制度的基本概念、重要性、具體規(guī)定以及實際操作案例等，確保員工全面了解和掌握防火墻制度的相關(guān)知識。（二）培訓(xùn)實施1.定期組織內(nèi)部培訓(xùn)課程，邀請公司內(nèi)部專家或外部專業(yè)機構(gòu)人員進行授課。培訓(xùn)課程應(yīng)采用多樣化的教學(xué)方法，如課堂講授、案例分析、小組討論、模擬演練等，提高培訓(xùn)效果。2.針對新入職員工，開展入職培訓(xùn)時應(yīng)將防火墻制度作為重要內(nèi)容進行講解，使其在入職初期就樹立合規(guī)意識，了解公司的風(fēng)險防控要求。3.對于關(guān)鍵崗位員工，如涉及信息管理、業(yè)務(wù)審批、投資決策等崗位的員工，應(yīng)進行專項培訓(xùn)，強化其對防火墻制度的理解和執(zhí)行能力。（三）宣傳推廣1.通過公司內(nèi)部刊物、宣傳欄、電子郵件、內(nèi)部會議等多種渠道，宣傳防火墻制度的重要性和主要內(nèi)容，提高員工對制度的認知度和關(guān)注度。2.制作防火墻制度宣傳手冊、視頻等資料，方便員工隨時查閱和學(xué)習(xí)，增強宣傳效果。3.在公司內(nèi)部營造良好的合規(guī)文化氛圍，鼓勵員工積極參與防火墻制度的建設(shè)和執(zhí)行，對遵守制度表現(xiàn)突出的員工進行表彰和獎勵，形成正面激勵效應(yīng)。七、附則（一）制度解釋權(quán)本制度由公司防火墻管理委員會負責(zé)解釋。在制度執(zhí)行過程中，如遇具體問題或需要進一步明確相關(guān)規(guī)定