北京市信息安全制度第一章總則第一條本制度依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)，結(jié)合國家網(wǎng)絡(luò)安全等級保護制度要求，以及北京市關(guān)于企業(yè)信息安全的監(jiān)管政策，同時參照集團母公司信息安全管理體系規(guī)范，為有效防控企業(yè)信息安全風(fēng)險、規(guī)范信息安全管理行為、保障業(yè)務(wù)連續(xù)性，經(jīng)公司研究決定制定本制度。同時，為滿足公司數(shù)字化轉(zhuǎn)型過程中對數(shù)據(jù)資產(chǎn)保護、系統(tǒng)安全防護的內(nèi)部需求，特制定本專項管理制度，以實現(xiàn)信息安全管理的標(biāo)準(zhǔn)化、體系化、合規(guī)化。第二條本制度適用于公司總部各部門、下屬單位及全體員工，涵蓋公司所有業(yè)務(wù)場景，包括但不限于信息系統(tǒng)運行、數(shù)據(jù)存儲與傳輸、網(wǎng)絡(luò)環(huán)境管理、辦公設(shè)備使用、第三方服務(wù)合作等，確保所有涉及信息安全的活動均符合本制度要求。第三條本制度中核心術(shù)語定義如下：（一）“信息安全專項管理”指公司為維護信息系統(tǒng)安全、保障數(shù)據(jù)資產(chǎn)完整與可用性、履行合規(guī)義務(wù)而建立的一整套管理機制、流程與技術(shù)措施，涵蓋風(fēng)險識別、管控、處置及持續(xù)改進的完整閉環(huán)。（二）“信息安全風(fēng)險”指因技術(shù)漏洞、管理缺陷、人為因素或外部威脅等導(dǎo)致信息系統(tǒng)中斷、數(shù)據(jù)泄露、業(yè)務(wù)癱瘓或合規(guī)受限的可能性，分為一般風(fēng)險與重大風(fēng)險。（三）“信息安全合規(guī)”指公司所有信息安全活動嚴(yán)格遵守國家法律法規(guī)、行業(yè)準(zhǔn)則及本制度要求，確保經(jīng)營行為在法律框架內(nèi)運行。第四條信息安全專項管理遵循以下核心原則：（一）全面覆蓋原則：確保所有業(yè)務(wù)場景、系統(tǒng)及數(shù)據(jù)均納入安全管控范圍，不留管理死角。（二）責(zé)任到人原則：明確各層級、各崗位信息安全職責(zé)，建立可追溯的責(zé)任體系。（三）風(fēng)險導(dǎo)向原則：優(yōu)先管控高風(fēng)險領(lǐng)域，動態(tài)調(diào)整資源配置，平衡成本與安全效益。（四）持續(xù)改進原則：通過定期評估與優(yōu)化，不斷完善信息安全管理體系，適應(yīng)內(nèi)外部環(huán)境變化。第二章管理組織機構(gòu)與職責(zé)第五條公司主要負責(zé)人對信息安全專項管理負總責(zé)，承擔(dān)第一責(zé)任人的領(lǐng)導(dǎo)責(zé)任；分管領(lǐng)導(dǎo)對專項管理工作負直接責(zé)任，負責(zé)統(tǒng)籌部署、監(jiān)督落實與考核評價。第六條設(shè)立信息安全專項管理領(lǐng)導(dǎo)小組，由公司主要負責(zé)人任組長，分管領(lǐng)導(dǎo)任副組長，成員包括牽頭部門負責(zé)人、專責(zé)部門負責(zé)人及業(yè)務(wù)部門代表，主要履行以下職能：（一）統(tǒng)籌公司信息安全戰(zhàn)略規(guī)劃，協(xié)調(diào)跨部門重大事項。（二）審議重大信息安全風(fēng)險處置方案及專項管理制度修訂。（三）監(jiān)督評價信息安全管理體系運行效果，定期聽取工作報告。第七條設(shè)立信息安全專項管理辦公室（由信息中心牽頭），作為領(lǐng)導(dǎo)小組日常執(zhí)行機構(gòu)，負責(zé)統(tǒng)籌管理以下工作：（一）組織制定、修訂信息安全專項管理制度及操作規(guī)程。（二）統(tǒng)籌開展信息安全風(fēng)險評估、監(jiān)測預(yù)警與應(yīng)急響應(yīng)。（三）監(jiān)督業(yè)務(wù)部門信息安全合規(guī)情況，提出改進建議。第八條明確三類主體職責(zé)分工：（一）牽頭部門（信息中心）：1.統(tǒng)籌信息安全技術(shù)體系建設(shè)，包括邊界防護、數(shù)據(jù)加密、漏洞管理等。2.組織開展信息安全培訓(xùn)與意識宣貫，定期發(fā)布風(fēng)險通報。3.負責(zé)信息安全工具（如監(jiān)控系統(tǒng)、備份系統(tǒng)）的運維管理。（二）專責(zé)部門（法務(wù)合規(guī)部、內(nèi)控部）：1.負責(zé)信息安全合規(guī)性審核，包括合同簽訂、供應(yīng)商盡職調(diào)查等。2.優(yōu)化業(yè)務(wù)流程中的安全控制點，推動合規(guī)要求嵌入業(yè)務(wù)系統(tǒng)。3.參與重大信息安全事件的調(diào)查處置與責(zé)任認定。（三）業(yè)務(wù)部門/下屬單位：1.落實本領(lǐng)域信息安全要求，包括數(shù)據(jù)分類分級、操作權(quán)限管理等。2.開展日常安全檢查，及時整改發(fā)現(xiàn)的隱患。3.負責(zé)人員離崗、轉(zhuǎn)崗時的信息安全交接工作。第九條基層執(zhí)行崗位人員（如系統(tǒng)管理員、數(shù)據(jù)操作員）必須履行以下合規(guī)操作責(zé)任：（一）簽署崗位合規(guī)承諾書，明確個人操作紅線。（二）發(fā)現(xiàn)信息安全事件或潛在風(fēng)險時，及時上報至部門及專項管理辦公室。（三）嚴(yán)禁非授權(quán)訪問、下載、傳輸涉密或敏感數(shù)據(jù)，遵守密碼管理規(guī)范。第三章專項管理重點內(nèi)容與要求第十條網(wǎng)絡(luò)邊界防護管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.關(guān)鍵信息基礎(chǔ)設(shè)施必須通過等級保護測評，防火墻、入侵檢測系統(tǒng)等安全設(shè)備定期檢測。2.外部訪問需通過VPN或?qū)＞€，實施雙因素認證，并記錄訪問日志。（二）禁止性行為：1.嚴(yán)禁擅自停用安全設(shè)備或繞過安全策略訪問系統(tǒng)。2.嚴(yán)禁將生產(chǎn)網(wǎng)與辦公網(wǎng)直接互聯(lián)，特殊場景需經(jīng)審批并設(shè)置隔離措施。（三）重點防控點：1.識別DDoS攻擊、APT入侵等威脅，建立流量異常監(jiān)測機制。2.定期開展漏洞掃描，高危漏洞需在X日內(nèi)修復(fù)。第十一條數(shù)據(jù)分類分級管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.按數(shù)據(jù)敏感性分為核心、重要、一般三級，制定差異化保護措施。2.敏感數(shù)據(jù)存儲需加密，傳輸需使用安全通道，訪問需基于最小權(quán)限原則。（二）禁止性行為：1.嚴(yán)禁非必要人員接觸核心數(shù)據(jù)，嚴(yán)禁將敏感數(shù)據(jù)存儲在個人設(shè)備中。2.嚴(yán)禁未經(jīng)脫敏處理的數(shù)據(jù)用于數(shù)據(jù)分析或?qū)ν夂献?。（三）重點防控點：1.識別數(shù)據(jù)泄露風(fēng)險，如數(shù)據(jù)庫權(quán)限濫用、備份介質(zhì)管理不當(dāng)?shù)取?.制定數(shù)據(jù)銷毀流程，確保存儲介質(zhì)在廢棄時無法恢復(fù)信息。第十二條系統(tǒng)與應(yīng)用安全管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.新建系統(tǒng)需通過安全驗收，應(yīng)用系統(tǒng)需定期進行安全測試。2.關(guān)鍵系統(tǒng)需部署高可用架構(gòu)，并建立災(zāi)難恢復(fù)預(yù)案。（二）禁止性行為：1.嚴(yán)禁使用未經(jīng)授權(quán)的軟件或開源組件，嚴(yán)禁系統(tǒng)配置弱口令。2.嚴(yán)禁擅自修改系統(tǒng)源代碼或參數(shù)設(shè)置。（三）重點防控點：1.識別系統(tǒng)邏輯漏洞、SQL注入等風(fēng)險，建立自動化監(jiān)測工具。2.嚴(yán)格執(zhí)行變更管理，重大變更需經(jīng)領(lǐng)導(dǎo)小組審批。第十三條第三方合作安全管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.供應(yīng)商準(zhǔn)入需進行安全評估，簽訂包含安全責(zé)任條款的協(xié)議。2.外包服務(wù)需明確數(shù)據(jù)安全要求，定期審計其安全措施。（二）禁止性行為：1.嚴(yán)禁將核心數(shù)據(jù)存儲在第三方未通過安全認證的平臺。2.嚴(yán)禁因成本降低而犧牲安全標(biāo)準(zhǔn)選擇合作方。（三）重點防控點：1.識別供應(yīng)鏈攻擊風(fēng)險，如供應(yīng)商系統(tǒng)被滲透導(dǎo)致數(shù)據(jù)泄露。2.建立合作方安全考核機制，不合格者必須整改或終止合作。第十四條人員安全與權(quán)限管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.新員工入職需簽署信息安全保密協(xié)議，離職時強制清除權(quán)限。2.人員權(quán)限按需授予，定期開展權(quán)限梳理，及時回收閑置權(quán)限。（二）禁止性行為：1.嚴(yán)禁員工將工作設(shè)備用于私人用途，嚴(yán)禁非工作需要安裝個人軟件。2.嚴(yán)禁授權(quán)他人操作本人賬戶或系統(tǒng)。（三）重點防控點：1.識別內(nèi)部人員作案風(fēng)險，建立離職員工行為追蹤機制。2.對核心崗位人員開展背景調(diào)查，確保持證上崗。第十五條應(yīng)急響應(yīng)與處置管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.制定信息安全事件分級標(biāo)準(zhǔn)，一般事件由業(yè)務(wù)部門處置，重大事件需上報領(lǐng)導(dǎo)小組。2.建立應(yīng)急響應(yīng)流程，明確各環(huán)節(jié)責(zé)任人與聯(lián)系方式。（二）禁止性行為：1.嚴(yán)禁隱瞞不報信息安全事件，導(dǎo)致?lián)p失擴大。2.嚴(yán)禁在應(yīng)急處置過程中擅自采取可能影響業(yè)務(wù)連續(xù)性的措施。（三）重點防控點：1.識別勒索軟件、數(shù)據(jù)篡改等突發(fā)事件，定期開展應(yīng)急演練。2.建立事件復(fù)盤機制，總結(jié)經(jīng)驗教訓(xùn)并優(yōu)化預(yù)案。第十六條安全意識與培訓(xùn)管理：（一）業(yè)務(wù)操作合規(guī)標(biāo)準(zhǔn)：1.新員工入職需接受強制安全培訓(xùn)，考核合格后方可上崗。2.每年至少開展X次全員安全意識宣貫，內(nèi)容涵蓋最新風(fēng)險案例。（二）禁止性行為：1.嚴(yán)禁培訓(xùn)合格后仍違規(guī)操作，對屢次違規(guī)者按制度處罰。2.嚴(yán)禁將培訓(xùn)內(nèi)容用于非內(nèi)部用途。（三）重點防控點：1.識別意識薄弱環(huán)節(jié)，如釣魚郵件點擊率居高不下時加強針對性培訓(xùn)。2.將培訓(xùn)效果納入績效考核，確保全員參與。第四章專項管理運行機制第十七條制度動態(tài)更新機制：（一）由信息安全專項管理辦公室根據(jù)以下情形啟動修訂：1.國家法律法規(guī)或監(jiān)管政策發(fā)生重大變化。2.公司業(yè)務(wù)架構(gòu)或技術(shù)架構(gòu)調(diào)整。3.出現(xiàn)重大信息安全事件暴露制度漏洞。（二）修訂流程包括草案擬定、部門意見征詢、領(lǐng)導(dǎo)小組審議、發(fā)布實施。第十八條風(fēng)險識別預(yù)警機制：（一）每年X月開展全員信息安全風(fēng)險排查，重點關(guān)注網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等領(lǐng)域。（二）采用定性與定量相結(jié)合的方法，對風(fēng)險進行三級評估（低/中/高），并制定分級管控措施。（三）建立風(fēng)險預(yù)警平臺，對高危風(fēng)險及時發(fā)布通報并跟蹤整改。第十九條合規(guī)審查機制：（一）將信息安全審查嵌入以下關(guān)鍵節(jié)點：1.新系統(tǒng)上線前需通過安全驗收。2.涉及敏感數(shù)據(jù)的合作協(xié)議需經(jīng)法務(wù)合規(guī)部審核。3.重大業(yè)務(wù)變更需同步評估安全影響。（二）實施“未經(jīng)審查不得實施”原則，審查不合格的項目一律推遲執(zhí)行。第二十條風(fēng)險應(yīng)對機制：（一）一般風(fēng)險由業(yè)務(wù)部門在X日內(nèi)完成處置，并上報結(jié)果。（二）重大風(fēng)險需成立專項處置組，由領(lǐng)導(dǎo)小組統(tǒng)籌資源協(xié)同處置，并及時向公司報告進展。（三）明確應(yīng)急資源清單（如備用帶寬、安全工具接口），確保響應(yīng)效率。第二十一條責(zé)任追究機制：（一）違規(guī)情形與處罰標(biāo)準(zhǔn)對應(yīng)表：|違規(guī)行為|處罰方式||----------|----------||非授權(quán)訪問系統(tǒng)|警告或降級||丟失敏感數(shù)據(jù)|追究經(jīng)濟責(zé)任，情節(jié)嚴(yán)重者解除勞動合同||未經(jīng)審批擅自外包|罰款并要求整改|（二）處罰聯(lián)動績效考核，嚴(yán)重者取消評優(yōu)資格，并移交紀(jì)律部門。第二十二條評估改進機制：（一）每年X月組織信息安全管理體系有效性評估，包括制度執(zhí)行率、風(fēng)險控制效果等指標(biāo)。（二）針對評估發(fā)現(xiàn)的問題，制定整改計劃并跟蹤落實，確保持續(xù)優(yōu)化。第五章專項管理保障措施第二十三條組織保障：（一）各級領(lǐng)導(dǎo)干部需履行“一崗雙責(zé)”，定期聽取信息安全工作報告。（二）設(shè)立信息安全專項預(yù)算，保障安全工具采購、人員培訓(xùn)等投入。第二十四條考核激勵機制：（一）將信息安全指標(biāo)納入部門年度考核，如系統(tǒng)故障率、培訓(xùn)覆蓋率等。（二）設(shè)立“信息安全先進部門/個人”獎項，獎勵在合規(guī)管理中表現(xiàn)突出的團隊或個人。第二十五條培訓(xùn)宣傳機制：（一）分層級開展培訓(xùn)：管理層側(cè)重合規(guī)履職，全員側(cè)重操作規(guī)范。（二）利用內(nèi)網(wǎng)、宣傳欄等載體，定期發(fā)布安全提示，營造警示氛圍。第二十六條信息化支撐：（一）引入安全信息與事件管理（SIEM）系統(tǒng)，實現(xiàn)日志集中分析。（二）通過自動化工具實現(xiàn)漏洞掃描、補丁管理、權(quán)限審批等功能。第二十七條文化建設(shè)：（一）編制《信息安全合規(guī)手冊》，作為員工的參考指南。（二）要求全體員工簽署年度