蜀道信息直达直报制度.docxVIP

蜀道信息直达直报制度

第一章总则

第一条本制度依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等相关国家法律法规，参照行业数据安全管理最佳实践及集团母公司关于企业内部风险防控的总体要求制定。为规范公司信息数据的收集、存储、使用、传输、销毁等全生命周期管理，有效防范信息泄露、滥用、篡改等风险，保障公司核心数据资产安全，维护企业声誉及合法权益，结合公司信息化建设及业务发展实际，特制定本制度。

第二条本制度适用于公司各部门、下属单位及全体员工，覆盖公司经营管理、技术研发、人力资源、客户服务、基础设施建设等所有涉及信息数据处理的业务场景。任何组织或个人在开展涉及信息数据活动时，均应严格遵守本制度规定，确保信息数据管理符合合规要求。

第三条本制度中下列术语含义：

（一）“信息数据专项管理”是指公司为保障信息数据安全所建立的管理体系，包括制度规范、技术防护、组织保障、监督考核等要素，旨在实现信息数据全流程可追溯、风险可控、合规使用。

（二）“信息数据风险”是指因信息数据管理不善或外部威胁可能导致的数据泄露、丢失、毁损、非法访问或不当使用，进而对公司业务运营、财务安全、声誉形象等造成损害的潜在可能性。

（三）“信息数据合规”是指公司信息数据处理活动严格遵循国家法律法规、行业规范及公司内部制度要求，确保数据收集、使用、传输等环节合法、正当、必要，并保障数据主体合法权益。

第四条信息数据专项管理应遵循“全面覆盖、责任到人、风险导向、持续改进”的核心原则。

（一）全面覆盖：所有涉及信息数据处理的业务场景均纳入管理范围，确保无死角、无盲区。

（二）责任到人：明确各级管理人员及岗位人员的信息数据管理职责，建立责任追溯机制。

（三）风险导向：聚焦高敏感度、高风险数据领域，实施差异化管控策略。

（四）持续改进：根据内外部环境变化动态优化管理体系，提升数据安全保障能力。

第二章管理组织机构与职责

第五条公司主要负责人对公司信息数据专项管理负总责，承担首要领导责任；分管信息数据安全工作的领导为直接责任人，统筹推进专项管理工作落地。

第六条设立公司信息数据专项管理领导小组，作为公司信息数据管理的决策与协调机构。领导小组由公司主要负责人担任组长，分管领导担任副组长，成员包括各相关职能部门负责人及下属单位主要负责人。领导小组主要履行以下职责：

（一）统筹协调公司信息数据专项管理工作，审定重大管理决策。

（二）审批年度信息数据风险管理方案及专项投入计划。

（三）监督评价各部门及下属单位信息数据管理成效，协调解决跨部门重大问题。

第七条各部门及下属单位负责人为本部门信息数据管理第一责任人，承担本领域信息数据安全主体责任。各部门应设立专（兼）职信息数据管理人员，负责具体管理工作的执行与监督。

第八条牵头部门（信息数据管理部门）主要职责包括：

（一）组织制定和修订公司信息数据专项管理制度，推进制度落地执行。

（二）定期开展信息数据风险识别与评估，编制风险清单及应对预案。

（三）统筹信息数据安全技术防护体系建设，监督安全措施落实情况。

（四）组织信息数据管理培训与宣贯，提升全员合规意识。

第九条专责部门（法律合规部、财务部、技术保障部等）主要职责包括：

（一）法律合规部负责审核信息数据处理的合规性，监督合同条款中的数据保护要求。

（二）财务部负责监督信息数据管理相关预算投入及成本控制。

（三）技术保障部负责保障信息数据系统及基础设施的安全稳定运行。

第十条业务部门及下属单位主要职责包括：

（一）落实本部门信息数据管理要求，开展日常数据安全自查。

（二）严格执行数据访问权限管理，禁止无授权使用敏感数据。

（三）及时上报信息数据风险事件，配合应急处置工作。

第十一条基层执行岗（一线业务人员、系统管理员等）应履行以下合规操作责任：

（一）签署岗位合规承诺书，明确个人在信息数据管理中的义务。

（二）遵守数据操作规范，禁止私自复制、传输或泄露工作数据。

（三）发现信息数据风险隐患应立即上报，不得隐瞒或拖延。

第三章专项管理重点内容与要求

第十二条业务操作合规标准管理

信息数据的收集、存储、使用、传输、销毁等环节必须符合《个人信息保护法》等相关法律法规要求，确保数据处理的合法性、正当性及必要性。具体要求如下：

（一）数据收集前应明确收集目的、范围及使用方式，并取得数据主体明确同意。

（二）敏感个人信息（如身份证号、银行卡号、商业秘密等）应采取加密存储、脱敏处理等技术措施。

（三）数据传输应使用加密通道（如HTTPS、VPN等），禁止通过公共网络传输敏感