【制度披露】北京首创生态环保集团股份有限公司信息化安全管理办法

北京首创生态环保集团股份有限公司

信息化安全管理办法

 

第一章  总  则

 

第一条 为保护北京首创生态环保集团股份有限公司（以下简称“公司”）信息化安全，促进信息化在公司应用及发展，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国密码法》、《关键信息基础设施安全保护条例》以及其他相关法律法规，结合公司实际，特制定本办法。

第二条 术语释义

（一） 信息化安全是指公司信息化状态和信息技术体系不受外来的威胁与侵害。涉及整体信息技术应用的安全状态，包括各种信息系统、网络、数据等的安全防护，确保信息的保密性（即只有授权人员才能访问和使用信息）、完整性（即信息不被篡改或损坏）和可用性（即信息可以在需要时被合法用户访问和使用），同时关注信息的生命周期，包括信息的采集、处理、存储、传输和销毁等各个阶段的安全保障。

（二） 信息系统是指由计算机及其相关的和配套的硬件、网络、通信设备、计算机软件、信息资源、信息用户和规章制度构成的，按照一定的应用框架、目标和规则对信息进行采集、加工、存储、传输、检索、管理、分析和表达等处理信息流为目的的人机系统。

（三） 计算机病毒是指故意编制的，能够修改、破坏、攻击计算机（办公电脑或服务器）操作系统功能，能自我复制，并能通过计算机媒体或网络等途径传播的计算机程序。

（四） 计算机病毒疫情是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。

（五） 信息介质是指计算机软盘、硬盘、磁带、U盘、存储卡、光盘等。

（六） 终端设备是指安装应用软件系统的计算机设备，包括：服务器、台式个人计算机（PC）、笔记本电脑、手机、平板电脑、打印机及其它计算机附属设备。

（七） 数据是指任何以电子或者其他方式对信息的记录，包括但不限于以电子形式存储的业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。

（八） 信息系统使用管理部门为各事业部及总部各相关部门，负责相应信息系统所涉及业务和管理的标准规范制定、需求提出及系统上线后日常运营维护。信息系统维护管理部门为企业管理中心及各事业部，负责相应信息系统的日常维护、故障处理和技术支持。

第三条 信息化安全管理按照国家相关法律法规要求，实施信息系统安全等级保护，建立健全实用、完整可靠的网络和信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障网络和信息化建设及应用，支撑业务系统的持续、稳定、健康发展。

第四条 本办法适用于公司、事业部。具有独立法人资格的事业部及各子企业应参照制定符合本企业的信息化安全管理办法，并上报企业管理中心备案。

 

第二章  管理职责

 

第五条 公司总经理为公司信息化安全管理第一责任人。

第六条 公司网络安全与信息化委员会为公司总经理办公会授权成立范围的专业化委员会，全面负责公司信息化安全管理、建设和运营工作。主要职责包括：

（一）落实国家有关网络与信息系统安全法规、方针、政策、标准和规范，落实国家和北京市有关部门相关安全工作；

（二）审核网络安全和信息化规划；

（三）审核网络安全和信息化架构（业务总体架构）；

（四）审核软件正版化方案；

（五）审核网络安全和信息化预算；

（六）审核网络安全和信息化管理制度；

（七）审核网络安全和信息化标准和规范；

（八）审核信息化系统的立项及验收；

（九）审批工作组工作计划及工作评价；

（十）选聘网络安全和信息化外部专家。

第七条 公司信息化安全主管部门为企业管理中心，其主要职责包括：

（一）组织编制网络安全和信息化规划；

（二）组织编制、审核网络安全和信息化架构（包括业务架构、应用架构、数据架构、技术架构）；

（三）组织编制网络安全和信息化预算；

（四）参与网络安全和信息化供应商选择与内部定价审核；

（五）审核网络安全和信息化产品研发计划；

（六）组织网络安全和信息化成果验收与评价；

（七）组织编制网络安全和信息化制度、标准和规范；

（八）执行网络安全管理、信息系统安全管理、数据安全、机房安全管理、终端设备安全管理等信息化安全管理工作；

（九）执行已审批的网络安全和信息化制度、标准和规范。

第八条 公司信息化安全配合部门为各部门及事业部，其主要职责包括：

（一）配合网络安全和信息化规划编制；

（二）配合网络安全和信息化预算编制；

（三）配合网络安全和信息化落地执行；

（四）配合网络安全和信息化相关成果验收与评价；

（五）执行已审批的网络安全和信息化制度、标准和规范。

 

第三章  网络安全管理

 

第一节 网络管理

 

第九条 信息化安全主管部门负责加强网络设备的安全管理：

（一） 禁用不必要的网络服务：对网络设备的功能应有明确的定义，对于设计定义之外的网络服务应禁用，并禁用不必要的缺省服务。

（二） 修改不安全的配置：仔细核对网络设备的配置参数，对可能引起系统安全问题的配置参数必须修改。

（三） 利用最小权限原则严格控制对网络设备的访问。

（四） 及时对存在已知安全问题的系统进行升级。

第十条  信息化安全主管部门负责严格执行网络访问控制规范，利用入网访问控制、网络权限控制、目录级安全控制、属性安全控制、服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制、内网VLAN间的安全控制等手段加强网络访问控制，保证网络资源不被非法使用和访问，确保网络系统和网络资源安全。

第十一条 信息化安全主管部门负责采取技术和管理手段，对设备接入公司办公网络的行为进行规范，通过安装网络访问客户端等手段提高办公网络接入安全：

（一）员工接入网络管理

员工计算机或手持终端设备接入办公网络前，由信息化安全主管部门统一进行客户端配置和网络资源分配，严格执行IP地址管理和网络访问控制，且作为长期策略保存于网络系统中。员工计算机需统一安装网络访问客户端软件方可接入办公网络。

（二）访客接入网络管理

访客计算机或手持终端设备接入办公网络时，由访客接待部门向信息化安全主管部门提出申请并进行登记，信息化安全主管部门负责通过技术手段将访客的网络资源使用范围、数量及期限限制在核准范围之内。

第二节 网络防护管理

第十二条  信息化安全主管部门负责利用防火墙、入侵防御系统、防病毒系统、漏洞扫描系统、抗拒绝服务系统、WEB应用防护系统、态势感知等技术或手段，全面做好防入侵管理，及时发现和阻止非法连接。

 

第四章  终端设备安全管理

 

第十三条 严禁制作计算机病毒、传播计算机病毒的行为：

（一） 故意输入计算机病毒，危害计算机信息系统安全；

（二） 向他人传送含有计算机病毒的文档、软件；

（三） 其他传播计算机病毒的行为。

第十四条 员工在从互联网上下载软件、程序、数据或使用各类信息介质前应先对其进行计算机病毒检测，确认无病毒后方可使用。

第十五条 员工在购置、维修、借入计算机设备时，应先进行计算机病毒检测，确认无病毒后方可使用。

第十六条 信息化安全主管部门负责公司配备的服务器操作系统、数据库、中间件、信息系统等软件部署，做好防病毒软件及相关安全补丁的安装，及时升级病毒库、操作系统补丁程序。

第十七条  员工在发现计算机感染病毒后，应立即停止使用受感染的计算机，切断网络，隔离一切涉嫌感染病毒的信息介质和设备，同时报告信息化安全主管部门。 

 

第五章  信息系统安全管理

 

第一节 信息系统安全管理

第十八条 信息系统在设计及建设时应有良好的安全技术体系：

（一）信息系统应具备权限控制体系，从技术上保障不同用户群体只能查看和操作权限范围内的功能及信息。

（二）信息系统应具备三层以上架构，从结构上将数据服务、处理和存放分离；应具有系统日志审计、应用操作审计及数据库审计等功能；应具有访问控制功能，按访问权限对用户的访问和操作进行控制。系统上线前应进行安全测试，检测是否存在恶意代码、木马、后门等隐患，上线后生产环境应与开发环境隔离。

（三）信息系统应采用先进安全可靠的技术体系，防止系统本身原因造成的数据丢失、泄露等事故发生，并对数据采取加密技术。

第十九条 信息系统维护管理部门应密切关注重大安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测试验证。

第二十条 信息系统维护管理部门加强对信息系统后台数据库管理，当系统数据紊乱或确需对数据库进行修改或删除时，必须由软件开发商或供应商的技术人员进行评估，提出切实可行的解决方案，履行审批程序后方可操作。

第二十一条 信息系统使用管理部门应指定系统管理员，并建立系统管理员制度。

系统管理员管理规范如下：

（一） 系统管理员严禁越权操作，对重要的计算机信息处理系统应分级加设系统口令，以防机密信息的泄露。

（二） 系统管理员要加强对系统运行环境的监控，定期检查并记录检查结果，发现问题及时报告，并保留原始记录。对发现的问题采取积极措施加以解决。

（三） 系统管理员对重要的资料档案要妥善保管，以防丢失泄露。

（四） 系统管理员必须严格遵守公司保密制度，保证系统数据、信息、资料的准确、完整、安全，未经允许不得创建、删除用户账号，不得删除系统日志和报警信息，不得更改权限和系统功能，严禁私自查看、复制或修改业务数据。

 

第六章  数据安全管理

 

第二十二条  信息化安全主管部门负责对信息系统中的数据实行分类分级管理，按照不同类别对数据的产生、传输、存储和应用采取相应的安全管理措施。重要数据实行加密保存和传输。

第二十三条 信息系统使用管理部门应严格管理业务数据的增加、修改、删除等变更操作，适时进行业务数据有效性检查。信息系统维护管理部门按照既定备份策略执行数据备份任务，并定期测试备份数据的有效性和预演数据恢复流程。

第二十四条  信息系统应定期进行备份，按信息系统重要级别执行实时、每日、每周、每月或定期备份，明确规定备份数据的保存时限。

第二十五条  所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放，严禁乱丢乱放。

第二十六条  涉密数据的存储和传输应当按照《保守国家秘密法》的有关规定执行。

第二十七条  数据出境应评估数据出境计划的合法性和正当性，数据出境活动不具有合法性和正当性，禁止跨境传输。

第二十八条 应评估数据出境计划是否风险可控，避免数据出境及再转移后被泄露、损毁、篡改、滥用等。

第二十九条  关键信息基础设施相关数据、个人信息出境安全评估，重点评估以下内容：

（一）是否符合国家有关法律法规和政策规定；

（二）合同条款是否能够充分保障个人信息主体合法权益；

（三）合同能否得到有效执行；

（四）运营企业或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；

（五）获得信息是否合法、正当；

（六）其他应当评估的内容。

第三十条 未履行网络安全和信息化委员会、总经理办公会审批程序，公司任何部门及员工不得向境外提供数据和个人信息。

 

第七章  个人信息安全管理

 

第三十一条  信息系统在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则，应当对提供服务过程中收集、使用的用户个人信息的安全负责。

第三十二条  用户个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

 

第一节 信息收集和使用

 

第三十三条  信息系统未经用户同意，不得收集、使用用户个人信息。

第三十四条  收集、使用用户个人信息时，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正、删除个人信息的渠道，注销账户、撤回同意的方法，以及拒绝提供信息的后果等事项。

第三十五条  不得收集非必须的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

第三十六条 对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第三十七条  委托他人直接面向用户服务，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合用户个人信息保护要求的代理人代办相关服务。

第三十八条  信息系统使用管理部门建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起一定时间内答复投诉人。

 

第二节 信息的保存

 

第三十九条  信息系统个人信息保存期限应为实现目的所必需的最短时间。

第四十条  超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

第四十一条  收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

第四十二条  传输和存储个人敏感信息时，应采用加密等安全措施。

 

第三节 安全保障措施

 

第四十三条  信息系统使用管理及维护管理部门应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：

（一）对后台用户实行权限管理，对批量导出、复制、销毁信息实行审批，并采取防泄密措施；

（二）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；

（三）对储存用户个人信息的信息系统实行接入审批，并采取防入侵、防病毒等措施；

（四）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；

第四十四条 保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向信息化安全主管部门报告，并配合进行相关调查处理。

 

第八章  人员及相关方信息安全管理

 

第四十五条  加强员工从入职、在职、离职、退休等整个过程中信息化系统的授权管理，防止误操作和滥用权限。信息化安全主管部门负责组织办理员工入职、岗位变更、离职和退休应办理相关账号及权限的手续。

第四十六条  信息化安全主管部门负责定期组织开展网络安全、数据安全知识宣传，定期开展网络安全教育培训。

第四十七条  加强和规范提供信息化服务的中介机构的信息化安全管理工作：

（一）加强第三方的资质审核，确保第三方中介服务机构具备相关业务的能力和信誉。

（二）提供信息化服务过程中应与第三方中介机构明确信息安全的要求；

（三）签署信息化服务合同时，须签订相应的保密协议，以规范双方的责任和义务，确保公司信息安全。

（四）第三方服务人员需严格遵守公司信息安全管理的要求。

 

第九章  信息安全教育

 

第四十八条  信息化安全主管部门负责制定信息安全培训计划，开展信息安全教育和培训，并保存信息安全教育和培训结果的书面记录。信息安全教育和培训的对象包括公司领导和全体员工。

信息安全教育和培训的内容，主要包括：

（一）信息安全相关法律法规、规章制度和规范标准等；

（二）信息安全相关管理知识、操作事项等；

（三）信息安全意识和防范电信诈骗知识等；

（四）个人信息保护相关知识、技能和安全责任培训。

 

第十章  等级保护备案与测评

 

第四十九条  信息化安全主管部门负责定期组织开展网络安全等级保护的定级、备案、建设、测评与整改工作。信息系统使用管理部门根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，报信息化安全主管部门审核备案，信息化安全主管部门汇总后向属地公安分局信息安全归口管理部门进行备案，委托具备资质的专业测评机构开展网络安全等级保护测评工作信息系统。信息系统使用管理部门及维护管理部门应积极配合上级监管部门的网络安全等级保护检查和指导工作，对于不符合管理规范和技术标准的系统，应及时开展落实相关整改工作。

第十一章  检查、监督与奖惩

 

第五十条 公司网络安全和信息化委员会负责信息化安全检查的总体部署工作，信息化安全主管部门负责安全检查方面的具体组织和实施工作，各信息系统使用管理部门及维护管理部门参与、配合安全检查工作。

第五十一条 信息系统维护管理部门应定期开展信息安全风险自查，识别系统存在的安全风险。检查工作主要包括网络安全风险评估、数据安全风险评估、控制措施有效性测量、内部审核、管理评审、等保测评、漏洞扫描、渗透测试等。针对安全检查与评估过程中发现的问题，由信息化安全主管部门组织，信息系统使用管理部门及维护管理部门共同参与，分析问题原因并采取纠正和预防措施，对于漏洞扫描及渗透测试过程中发现的高危漏洞，自通报后一个月未修复成功的，信息化安全主管部门可关闭信息系统的外网访问。

第五十二条 信息化安全主管部门按照国家法律法规和公司的相关规定监督各部门、事业部及子企业信息化安全相关工作的落实情况。

第五十三条 对在信息化安全保护工作中有突出贡献的员工，由信息化安全主管部门向公司提议给予表彰和奖励，对违反本办法规定的员工应根据本办法的规定或公司相关规定给予相应的处罚。

 

第十二章  附则

 

第五十四条 本办法未尽事宜，或者与法律、法规、上级管理机构的规定不一致的，以法律、法规和上级管理机构的相关规定为准。

第五十五条 本办法由企业管理中心负责解释。

第五十六条 本办法经总经理办公会审议通过自颁布之日起正式施行。