商業(yè)信息安全管理制度

第一章總則

1.1目的

為防止公司商業(yè)秘密及敏感信息泄露、篡改、丟失或非法使用，保障公司合法權(quán)益，制定本制度。

1.2適用范圍

本制度適用于公司及控股子公司、分支機(jī)構(gòu)、受控關(guān)聯(lián)公司全體員工、董事、監(jiān)事、顧問、實(shí)習(xí)生，以及所有可能接觸公司商業(yè)秘密的外部合作方。

1.3定義

商業(yè)秘密：指不為公眾所知悉、具有商業(yè)價(jià)值、已采取保密措施的技術(shù)信息、經(jīng)營信息及其他數(shù)據(jù)，包括但不限于：

①技術(shù)方案、源代碼、算法、配方、設(shè)計(jì)圖紙；

②客戶名單、價(jià)格政策、招投標(biāo)文件、營銷策略、采購渠道；

③財(cái)務(wù)數(shù)據(jù)、薪酬結(jié)構(gòu)、投融資計(jì)劃；

④尚未公開的重大合同、并購信息；

⑤其他經(jīng)公司按程序認(rèn)定為商業(yè)秘密的信息。第二章組織與職責(zé)

2.1商業(yè)秘密保護(hù)委員會(huì)（以下簡(jiǎn)稱“商密委”）

主任：總經(jīng)理；成員：法務(wù)、信息技術(shù)、人力資源、業(yè)務(wù)條線負(fù)責(zé)人。職責(zé)：

①審批商業(yè)秘密分類分級(jí)、保密期限及解密方案；

②批準(zhǔn)重大對(duì)外披露、對(duì)外合作、跨境傳輸事項(xiàng)；

③組織泄密事件調(diào)查與責(zé)任追究；

④每年向董事會(huì)匯報(bào)商業(yè)秘密保護(hù)狀況。

2.2法務(wù)部（商密辦）

負(fù)責(zé)制度解釋、保密協(xié)議模板、案件訴訟、合規(guī)培訓(xùn)。

2.3信息技術(shù)部（IT部）

負(fù)責(zé)技術(shù)防護(hù)系統(tǒng)建設(shè)、權(quán)限管理、日志審計(jì)、漏洞修復(fù)。

2.4各部門負(fù)責(zé)人

對(duì)本部門商業(yè)秘密的日常管理負(fù)直接責(zé)任。第三章商業(yè)秘密分類分級(jí)與標(biāo)識(shí)

3.1分類

核心技術(shù)類（T）、經(jīng)營信息類（B）、客戶數(shù)據(jù)類（C）、財(cái)務(wù)數(shù)據(jù)類（F）。

3.2分級(jí)

絕密（★★★）：泄露將造成特別嚴(yán)重?fù)p失，保密期≥10年；

機(jī)密（★★）：泄露將造成嚴(yán)重?fù)p失，保密期≥5年；

秘密（★）：泄露將造成較大損失，保密期≥2年；

內(nèi)部（△）：僅限內(nèi)部知悉，保密期≥1年。

3.3標(biāo)識(shí)

電子文件須在文件名、頁眉、水印處標(biāo)注“【密級(jí)】【保密期限】”；紙質(zhì)文件首頁右上角加蓋紅色密級(jí)章。第四章全生命周期管理

4.1產(chǎn)生與審批

立項(xiàng)或創(chuàng)建涉密資料時(shí)，由承辦人填寫《商業(yè)秘密定密審批表》，部門負(fù)責(zé)人初審，商密辦復(fù)核，商密委批準(zhǔn)后方可生效。

4.2存儲(chǔ)與傳輸

①絕密級(jí)：必須存放于公司加密文件服務(wù)器（國密SM4加密），禁止在本地終端留存；傳輸須使用公司VPN+SFTP雙通道，并啟用端到端國密SM2證書。

②機(jī)密級(jí)：允許加密移動(dòng)介質(zhì)臨時(shí)存儲(chǔ)，但須向IT部備案、加密、限期歸還。

③秘密/內(nèi)部級(jí)：可存放于公司網(wǎng)盤，須啟用DLP監(jiān)控外發(fā)。

4.3使用與復(fù)制

①查閱須登記《涉密文件查閱登記表》；

②復(fù)制須填寫《涉密資料復(fù)制審批單》，絕密級(jí)文件原則上不得復(fù)制，確需復(fù)制的須商密委主任書面批準(zhǔn)，并在受控打印室打印，全程視頻監(jiān)控。

4.4歸檔與銷毀

①每年12月由檔案室清點(diǎn)到期文件，填寫《商業(yè)秘密解密/銷毀清單》；

②紙質(zhì)文件粉碎至2×2mm顆粒；電子文件使用國密SM3算法覆寫3次；

③銷毀過程由法務(wù)部、IT部、審計(jì)部三方簽字確認(rèn)并保存影像記錄≥3年。第五章人員管理

5.1入職

①人力資源部須對(duì)核心技術(shù)、財(cái)務(wù)、銷售等崗位進(jìn)行背景調(diào)查；

②100%簽署《保密與競(jìng)業(yè)限制協(xié)議》，協(xié)議期限不少于勞動(dòng)關(guān)系存續(xù)期及離職后2年。

5.2在職

①按“最小權(quán)限”原則分配系統(tǒng)賬號(hào)，每季度復(fù)核一次；

②涉密人員每年接受不少于4小時(shí)保密培訓(xùn)并通過線上測(cè)試；

③涉密崗位調(diào)整須完成交接清單，IT部在24小時(shí)內(nèi)關(guān)閉舊權(quán)限。

5.3離職

①填寫《離職交接單》，交回所有涉密載體；

②IT部當(dāng)場(chǎng)注銷賬號(hào)、清除郵箱、回收VPN證書；

③法務(wù)部出具《離職保密告知書》，告知持續(xù)義務(wù)，并保留快遞回執(zhí)。第六章物理與環(huán)境安全

6.1區(qū)域分級(jí)

一級(jí)保密區(qū)（絕密資料室）：獨(dú)立門禁、指紋+人臉雙因子、24小時(shí)監(jiān)控；

二級(jí)保密區(qū)（研發(fā)實(shí)驗(yàn)室、財(cái)務(wù)室）：刷卡+密碼；

三級(jí)保密區(qū)（普通辦公區(qū)）：普通門禁。

6.2設(shè)備管控

涉密計(jì)算機(jī)須拆除無線網(wǎng)卡、藍(lán)牙、攝像頭；USB端口封閉；打印輸出強(qiáng)制水印“【公司】【密級(jí)】”。

6.3會(huì)議管理

涉密會(huì)議須提前2小時(shí)向商密辦報(bào)備；會(huì)場(chǎng)使用信號(hào)屏蔽器；會(huì)議紀(jì)要標(biāo)注密級(jí)并于當(dāng)日歸檔。第七章信息技術(shù)安全

7.1身份鑒別

所有核心系統(tǒng)須啟用雙因子認(rèn)證（數(shù)字證書+動(dòng)態(tài)口令）；口令長度≥12位，包含大小寫、數(shù)字、特殊字符；每90天強(qiáng)制更換。

7.2網(wǎng)絡(luò)安全

邊界防火墻、IPS、WAF、堡壘機(jī)四重防護(hù)；內(nèi)部網(wǎng)絡(luò)分段（VLAN）；核心數(shù)據(jù)區(qū)與辦公區(qū)邏輯隔離。

7.3數(shù)據(jù)加密

傳輸使用TLS1.3+國密SM2/SM3/SM4套件；數(shù)據(jù)庫TDE加密；郵件外發(fā)強(qiáng)制加密ZIP并短信發(fā)送解壓密碼。

7.4日志與審計(jì)

日志保留≥365天；DLP告警、VPN登錄、特權(quán)操作實(shí)時(shí)推送至SOC；每月由IT部出具《安全審計(jì)報(bào)告》。第八章第三方與商務(wù)活動(dòng)

8.1合作方準(zhǔn)入

合作前須完成《第三方保密評(píng)估表》，并簽署《保密協(xié)議》《數(shù)據(jù)處理協(xié)議》；涉及源代碼須托管在甲方GitLab私有庫，開啟審計(jì)。

8.2商務(wù)談判

對(duì)外提供資料須填寫《對(duì)外披露審批表》，經(jīng)法務(wù)部、業(yè)務(wù)負(fù)責(zé)人、商密委三級(jí)審批；談判現(xiàn)場(chǎng)使用一次性加密U盤，會(huì)后收回。

8.3外包開發(fā)

實(shí)行“白盒+黑盒”雙模式：核心算法僅提供加密API；外包方終端須安裝公司EDR客戶端，禁止連接外網(wǎng)。第九章泄密事件應(yīng)急響應(yīng)

9.1分級(jí)與上報(bào)

疑似泄密→發(fā)現(xiàn)人立即向部門負(fù)責(zé)人及法務(wù)部報(bào)告；

法務(wù)部2小時(shí)內(nèi)初步評(píng)估，確認(rèn)后啟動(dòng)《泄密應(yīng)急預(yù)案》。

9.2調(diào)查與取證

成立調(diào)查小組（法務(wù)+IT+審計(jì)）封存相關(guān)系統(tǒng)、介質(zhì)、日志；必要時(shí)委托公證處或司法鑒定機(jī)構(gòu)固定證據(jù)。

9.3處置與改進(jìn)

①24小時(shí)內(nèi)止損（斷網(wǎng)、收回資料、賬戶凍結(jié)）；

②7日內(nèi)完成《事件調(diào)查報(bào)告》并上報(bào)商密委；

③30日內(nèi)完成整改并復(fù)盤，整改結(jié)果納入部門年度績(jī)效考核。第十章獎(jiǎng)懲與責(zé)任追究

10.1獎(jiǎng)勵(lì)

主動(dòng)發(fā)現(xiàn)重大隱患并避免損失的，按《員工獎(jiǎng)懲條例》給予500–10000元獎(jiǎng)勵(lì)，并通報(bào)表揚(yáng)。

10.2處罰

①輕微違規(guī)（如未按時(shí)歸還U盤）：書面警告+扣減當(dāng)月績(jī)效10%；

②一般違規(guī)（如私自拍照涉密資料）：記過+扣減當(dāng)月績(jī)效30%；

③嚴(yán)重違規(guī)（如泄露機(jī)密）：解除勞動(dòng)合同，賠償全部損失，并追究民事/刑事責(zé)任。

10.3連帶責(zé)任

部門內(nèi)發(fā)生泄密事件，部門負(fù)責(zé)人負(fù)管理責(zé)任，年度績(jī)效降一級(jí)。第十一章培訓(xùn)與宣貫

11.1培訓(xùn)頻次

新員工入職1周內(nèi)培訓(xùn)；在職員工每年至少2次；商密委成員每年1次外部專家培訓(xùn)。

11.2培訓(xùn)內(nèi)容

商業(yè)秘密法律案例、公司制度、技術(shù)防護(hù)操作、釣魚郵件演練。

11.3培訓(xùn)考核

線上考試滿分100分，80分合格；不合格須補(bǔ)考，補(bǔ)考仍不合格調(diào)離涉密崗位。第十二章附則

12.1制度解釋

本制度由商密辦負(fù)責(zé)解釋，修訂須經(jīng)商密委審議、董事會(huì)批準(zhǔn)。

12.2生效與廢