商业信息安全管理制度.docxVIP

—PAGEPage2—

—PAGEPage1—

商业信息安全管理制度

（2025年7月14日经董事会第【1】次会议审议通过，自2025年8月1日起施行）

第一章总则

1.1目的

为防止公司商业秘密及敏感信息泄露、篡改、丢失或非法使用，保障公司合法权益，制定本制度。

1.2适用范围

本制度适用于公司及控股子公司、分支机构、受控关联公司全体员工、董事、监事、顾问、实习生，以及所有可能接触公司商业秘密的外部合作方。

1.3定义

商业秘密：指不为公众所知悉、具有商业价值、已采取保密措施的技术信息、经营信息及其他数据，包括但不限于：

①技术方案、源代码、算法、配方、设计图纸；

②客户名单、价格政策、招投标文件、营销策略、采购渠道；

③财务数据、薪酬结构、投融资计划；

④尚未公开的重大合同、并购信息；

⑤其他经公司按程序认定为商业秘密的信息。

第二章组织与职责

2.1商业秘密保护委员会（以下简称“商密委”）

主任：总经理；成员：法务、信息技术、人力资源、业务条线负责人。职责：

①审批商业秘密分类分级、保密期限及解密方案；

②批准重大对外披露、对外合作、跨境传输事项；

③组织泄密事件调查与责任追究；

④每年向董事会汇报商业秘密保护状况。

2.2法务部（商密办）

负责制度解释、保密协议模板、案件诉讼、合规培训。

2.3信息技术部（IT部）

负责技术防护系统建设、权限管理、日志审计、漏洞修复。

2.4各部门负责人

对本部门商业秘密的日常管理负直接责任。

第三章商业秘密分类分级与标识

3.1分类

核心技术类（T）、经营信息类（B）、客户数据类（C）、财务数据类（F）。

3.2分级

绝密（★★★）：泄露将造成特别严重损失，保密期≥10年；

机密（★★）：泄露将造成严重损失，保密期≥5年；

秘密（★）：泄露将造成较大损失，保密期≥2年；

内部（△）：仅限内部知悉，保密期≥1年。

3.3标识

电子文件须在文件名、页眉、水印处标注“【密级】【保密期限】”；纸质文件首页右上角加盖红色密级章。

第四章全生命周期管理

4.1产生与审批

立项或创建涉密资料时，由承办人填写《商业秘密定密审批表》，部门负责人初审，商密办复核，商密委批准后方可生效。

4.2存储与传输

①绝密级：必须存放于公司加密文件服务器（国密SM4加密），禁止在本地终端留存；传输须使用公司VPN+SFTP双通道，并启用端到端国密SM2证书。

②机密级：允许加密移动介质临时存储，但须向IT部备案、加密、限期归还。

③秘密/内部级：可存放于公司网盘，须启用DLP监控外发。

4.3使用与复制

①查阅须登记《涉密文件查阅登记表》；

②复制须填写《涉密资料复制审批单》，绝密级文件原则上不得复制，确需复制的须商密委主任书面批准，并在受控打印室打印，全程视频监控。

4.4归档与销毁

①每年12月由档案室清点到期文件，填写《商业秘密解密/销毁清单》；

②纸质文件粉碎至2×2mm颗粒；电子文件使用国密SM3算法覆写3次；

③销毁过程由法务部、IT部、审计部三方签字确认并保存影像记录≥3年。

第五章人员管理

5.1入职

①人力资源部须对核心技术、财务、销售等岗位进行背景调查；

②100%签署《保密与竞业限制协议》，协议期限不少于劳动关系存续期及离职后2年。

5.2在职

①按“最小权限”原则分配系统账号，每季度复核一次；

②涉密人员每年接受不少于4小时保密培训并通过线上测试；

③涉密岗位调整须完成交接清单，IT部在24小时内关闭旧权限。

5.3离职

①填写《离职交接单》，交回所有涉密载体；

②IT部当场注销账号、清除邮箱、回收VPN证书；

③法务部出具《离职保密告知书》，告知持续义务，并保留快递回执。

第六章物理与环境安全

6.1区域分级

一级保密区（绝密资料室）：独立门禁、指纹+人脸双因子、24小时监控；

二级保密区（研发实验室、财务室）：刷卡+密码；

三级保密区（普通办公区）：普通门禁。

6.2设备管控

涉密计算机须拆除无线网卡、蓝牙、摄像头；USB端口封闭；打印输出强制水印“【公司】【密级】”。

6.3会议管理

涉密会议须提前2小时向商密办报备；会场使用信号屏蔽器；会议纪要标注密级并于当日归档。

第七章信息技术安全

7.1身份鉴别

所有核心系统须启用双因子认证（数字证书+动态口令）；口令长度≥12位，包含大小写、数字、特殊字符；每90天强制更换。

7.2网络安全

边界防火墙、IPS、WAF、堡垒机四重防护；内部网络分段（VLAN）；核心数据区与办公区逻辑隔离。

7.3数据加密

传输使用TLS1.3+国密SM2/SM3/SM4套件；数据库TDE加密；邮件外发强制加密ZIP并短信