Call: +86(10)89470429
一、 目的 本流程确定信息安全管理组织,保护我司人员、设施和文件,发现危险隐患,消除危险隐患,持续维护公司的信息安全;二、 使用范围 本规定适用于公司所有员工、出入人员、电算设备及相关所有设施设备;三、 术语和定义1. 管理安保 建立组织及运营,制定政策、培训、管理、检查、审核、事故调查等安保活动。2. 物理安保 控制非相关人员的出入,保护公司设施及人员,信息资产保护及监控等安保活动。3. 技术安保 信息系统的保护、运营管理、权限控制、开发及维护、系统入侵事故管理等安保活动。四、 组织架构及业务分工1. 公司安保责任人:公司总经理2. 公司安保总管理人:管理部负责人 – 负责制定、修改、公示公司安保相关规定;
– 根据安保相关的法规、公司合作方的安保政策变更等外部环境变化,检查公司的安保政策,必要时修改政策、培训、检查等措施;
– 培训频率2次/年,员工入/离职时进行检查; – 发生安保事故时判断是否有必要联系外部机关、树立对应方案、进行惩戒;
– 通过定期检查发现隐患、树立对应方案,预防安保事故;
– 1次/季度向公司安保责任人汇报公司信息保护现状;
– 树立安保预算及运营计划; – 必要时召开部门安保负责人会议,使所有员工知晓安保政策。3. 公司安保担当:管理部安保管理人员 – 公司安保担当按照物理/管理/技术安保规定执行业务;
– 物理安保1)审核并确认各部门申请设置的限制区域,并按审核结果管理;2)运营物理安保系统,制定相关流程,根据流程管理运营情况,必要时向公司安保总管理人汇报情况。 – 管理安保1)制定培训计划,并按计划实施培训,定期检查且不定期举行安保相关活动,预防发生安保事故;2)发生安保事故时调查并采取措施。 – 技术安保1)管理信息技术相关的所有安保业务;2)必要时制定并实施信息技术安保运营计划及安保审查计划;3)可编制信息技术安保相关的其他详细指南并实施;4)定期分析信息技术安保系统的资料;5)对技术安保规定的内容做计划并实施;6)对内/外的电算设备进行安保检查;7)向公司安保总管理人汇报上述内容实施的结果4. 部门(合作方)安保负责人:各部门部门长指定 – 部门安保负责人,执行、调整及监督本部门的安保工作。1)负责本部门整体的安保管理,与管理部建立紧密的协助关系,积极推进信息保护活动;2)检讨并确定本部门的商业机密及安保资料;3)确认并监督检查本部门的安保工作;4)向本部门员工转达并告知(培训)公司的安保方向及政策;5)确认并监督本部门的保密文件的管理是否合理;6)本部门发生或可能发生或可能会导致安保事故时通知公司安保担当;7)与本部门业务相关的场所需要限制出入时向公司安保担当申请设置限制区域;8)积极协助并支持公司安保政策有效实施;
五、 保密协议 为保护商业机密,提高员工的安保意识,需签署保密协议, 保密协议里应包含需保密的内容,为保证法律效力每3年签订一次保密协议1. 员工 员工入职/离职应签订保密协议,保密协议应包含在离职文件中。2. 合作方及与我司业务相关的合作方人员 公司应与合作方签订保密协议,并把签订文件提交至公司安保担当处;六、 安保相关培训1. 公司安保总负责人
– 每年至少开一次全员安保会议,安保政策变化等有变动事项时对各部门安保负责人进行培训。2. 部门安保负责人
– 发生安保事故等安保管理上需要的时候随时进行部门人员培训;
– 公司安保管理规定等政策有变动时进行部门内部的转达及培训。
3. 合作方安保负责人发生安保事件或规定变化时进行培训七、 离职人员管理1. 人事部 – 离职人员签订<保密协议>;
– 人事部得知员工离职后公开我公司的商业机密时应及时采取法律措施。2. 部门安保负责人 – 应告知预计或确定离职的人员不能对外公开或利用在职期间所得知的信息,如违反<保密协议>将承担法律责任;
– 在工作过程中所得到的商业信息,离职前应交接给所属部门人员。3. 全体员工 – 如得知离职人员就职于同种行业竞争公司时应及时通知人事部。4. 公司安保担当 – 对于离职人员的出入权限应在离职当天删除,业务系统相关账号(如公司邮箱及系统账号)应在部门安保负责人确定后删除,原则上不超过2周。5. 离职人员 – 应按照<退社申请单>清单找各部门负责人签字确认八、 违反人员管理1. 公司安保总管理人
– 根据情况判断违反行为的轻重,如对公司无影响时通报所属部门安保负责人并一般违纪处理,如违反行为影响公司时向公司安保负责人汇报并确定违纪处罚程度; – 违纪处罚依照<员工手册>处理;
– 为防止类似事故发生,提高员工安全意识,可匿名公开处罚结果。2. 违反轻重的标准
– 一般:失误或单纯的错误 – 重大:故意违反、为不正当的索取信息、重复一般过失等九、 信息资产分类1. 信息资产分类主体为公司安保总管理人
– 员工根据<文件管理规定>区分文件等级,部门安保负责人每季度检查一次本部门文件管理情况并把实际情况上报至公司安保担当2. 文件等级区分
– 一 般:对外公开的文件,公开/发布也不会给公司带来任何问题的事项 – 对外秘:对外公开可能给公司造成损失的事项
– 秘 密:可能影响公司有效执行重要政策并造成经济损失的事项 – 绝 密:对公司经营造成严重影响,对竞争公司或者利害关系人使用时对公司造成巨大损失的事项3. 信息资产的管理 – 信息安保负责人提供文件等级区分标准 – 信息安保负责人每年统计一次各部门的文件清单,并确认其文件的有效性4. 商业机密 – 定义:生产方法、销售方法、其他商业活动中重要的技术及经营上的信息,本公司与其他公司通过合作关系所取得的合作方的商业机密等。
5. 保管及管理 – 商业机密生成开始到中间过程的产出物需要特殊管理;
– 商业机密文件应标记文件等级、管理人、编制时间,且由部门安保负责人保管,保管位置不应在员工随意接触的地方;
– 员工离开工位时机密文件要收起来,不能放在办公桌上。6. 管理标准 – 国家安保相关政策或客户方安保政策发生变化时,公司安保总管理人要确认本管理流程并及时做出相应的变更,且通过邮件或公告的方式告知员工并进行培训; – 公司安保担当要定期的检查本管理流程,确认本管理流程是否符合相关法律法规。如需修改公司安保担当应向公司安总保管理人汇报并进行修改。十、 物理安保1. 外部人员禁止进入公司办公区、生产区等整个工厂;2. 非许可人员禁止进入限制区域;3. 工厂及限制区域根据<可附特人员、车辆、物品出入管理规定>、<限制区域管理规定>等规定管理。十一、 技术安全1. 公司发放的办公电脑等电子设备使用与管理。
– 办公电子设备应建立台账管理,台账需记录购买时间、使用人、资产编码等;
– 员工办公电脑要求设置6位数以上的开机密码和屏保密码;
– 办公电脑应使用公司统一安装的办公软件、杀毒软件等,使用办公电脑不允许下载或访问未经许可的软件和网页;
– 公司共享文件夹不能保存机密文件,如需保存到共享文件夹应设置好密码;
– 办公电脑需要重装系统/恢复出厂设置时应书面申请并由所属部门部门长同意后提交给公司安保担当,公司安保担当安排重装系统/恢复出厂设置; – 办公设备发生问题时应及时通知公司安保担当,如自行采取措施发生问题由使用人本人承担相应责任。2. 网络安全 – 限制外部访问公司内网,如因业务需要外部访问内网时应通过密码及确认;
– 重要的系统及网络应独立分开使用;
– 未经许可的设备不能使用公司网络,外部来访者需使用公司网络时应通过安保总管理人的许可;
– 应做好网络设备的设置及备份等发生故障时的对策;
– 发现网络设备的问题时应第一时间告知公司安保担当,公司安保担当应及时找出可行的方法恢复网络系统或联系网络运维公司进行恢复,如紧急情况可先采取措施后再进行汇报;
– 每天进行网络设备的点检,发现问题及时采取措施。3. 服务器安全 – 服务器账号应一人一账号,基础账号或不使用的账号应及时删除或变更;
– 禁止访问数据库,公司安保担当要定期检查数据库的备份是否正常;
– 服务器发现问题时公司安保担当应及时联系服务器运维公司尽快采取措施,如紧急情况可先采取措施后再进行汇报;
– 服务器存放在公司机房,且限制一般人员出入;
– 通过机房检点表管理服务器及机房设备的正常使用。4. 信息安全事故
– 员工发现信息安全事故应及时告知公司安保担当,公司安保担当应及时采取措施或及时联系公司网络运维公司,并把措施结果汇报给公司安保总管理人;
– 针对安全事故要进行问题分析及改善措施,防止发生相同安保事故;
– 可公开的信息安全事故应告知公司员工,并进行对应培训。附件:<可附特人员、车辆、物品出入管理规定><限制区域管理规定><文件管理规定> 可附特汽车零部件制造(北京)有限公司 制定时间:2025年1月1日
