信息安全管理制度

一、总则 （一）制定目的 为规范成都分享信息传播有限公司（简称 “九维宽频”）的信息安全管理工作，保护企业在经营动漫、音乐、表演及戏曲视频等业务过程中产生和使用的各类信息资产，防止信息泄露、损坏、丢失或被篡改，保障企业业务的持续稳定运行，维护企业和用户的合法权益，特制定本制度。 （二）适用范围 本制度适用于九维宽频全体员工，以及所有涉及企业信息处理、存储、传输和使用的设备、系统及业务活动，涵盖动漫、音乐、表演及戏曲视频的创作、获取、加工、存储、传播等各个环节。 （三）信息安全方针 坚持 “预防为主、综合治理、责任到人、持续改进” 的信息安全方针，确保企业信息的保密性、完整性、可用性和合规性。 二、信息安全组织与职责 （一）信息安全管理机构 成立信息安全管理委员会，由公司高层领导担任主任，成员包括各部门负责人及信息安全专业人员。该委员会负责统筹规划企业信息安全工作，制定信息安全策略和制度，监督制度的执行情况，协调处理重大信息安全事件。 （二）各部门职责 技术部门：负责信息系统的建设、维护和安全防护，包括网络设备、服务器、存储设备等的安全管理，及时修复系统漏洞，防范网络攻击和病毒感染。 内容部门：负责动漫、音乐、表演及戏曲视频等内容信息的安全管理，确保内容的合法性、合规性，防止侵权和违规内容的传播。 人力资源部门：负责员工的信息安全培训、背景审查和保密协议签订等工作，将信息安全职责纳入员工的岗位说明书和绩效考核体系。 行政部门：负责办公设备、纸质文件等物理信息资产的安全管理，制定办公区域的安全管理规定，防止物理介质的丢失和泄露。 所有部门及员工：严格遵守本制度及相关规定，积极参与信息安全培训和演练，及时报告信息安全事件。 三、信息资产安全管理 （一）信息资产识别与分类 对企业的信息资产进行全面识别，包括电子数据（如动漫视频文件、音乐音频文件、用户数据、业务数据等）、纸质文件、硬件设备（如计算机、服务器、移动设备等）、软件系统（如内容管理系统、用户管理系统等）以及无形资产（如知识产权、商业秘密等）。 根据信息资产的重要性、敏感性和保密性要求，将其分为绝密、机密、秘密和公开四个等级，并进行标识和管理。 （二）信息资产的保护 对于不同等级的信息资产，采取相应的保护措施。绝密和机密信息应采取加密存储、严格的访问控制、专人保管等措施；秘密信息应采取适当的访问控制和保密措施；公开信息也应确保其准确性和完整性。 定期对信息资产进行盘点和评估，及时更新信息资产清单，确保信息资产的安全可控。 （三）信息资产的处置 对于不再需要的信息资产，应按照规定的程序进行处置，包括数据销毁、设备报废等。电子数据的销毁应采用专业的工具和方法，确保数据无法恢复；硬件设备的报废应进行物理销毁或专业的回收处理。 信息资产的处置过程应进行记录，以备查阅。 四、人员信息安全管理 （一）入职与离职管理 员工入职时，人力资源部门应与其签订保密协议，明确其信息安全职责和义务；对员工进行信息安全培训，使其了解企业的信息安全制度和操作规程。 员工离职时，应办理信息资产交接手续，收回其持有的企业信息资产（如钥匙、U 盘、纸质文件等），注销其在信息系统中的账号和权限；人力资源部门应再次强调其保密义务，提醒其不得泄露企业的商业秘密和敏感信息。 （二）日常行为规范 员工应妥善保管自己的账号和密码，不得转借他人使用；密码应定期更换，且应具有一定的复杂性（如包含大小写字母、数字和特殊符号）。 员工不得私自拷贝、传播企业的敏感信息和商业秘密；不得在非工作设备上处理、存储企业的重要信息。 员工在使用互联网时，应遵守国家法律法规和企业的相关规定，不得访问非法网站，不得下载安装来历不明的软件。 员工发现信息安全事件或隐患时，应立即向信息安全管理委员会报告，并采取适当的措施防止事态扩大。 五、物理与环境安全管理 （一）办公区域安全 办公区域应设置门禁系统，限制非授权人员进入；员工离开办公岗位时，应锁好抽屉和文件柜，关闭计算机等设备。 禁止在办公区域内携带易燃、易爆、有毒等危险物品；禁止在办公区域内吸烟、使用明火。 （二）机房安全 机房应设置严格的门禁控制，只有授权人员才能进入；进入机房应进行登记。 机房应配备必要的安全设施，如消防器材、温湿度控制系统、不间断电源等，确保机房环境符合设备运行要求。 定期对机房设备进行检查和维护，及时发现和排除安全隐患。 （三）设备安全 企业的计算机、服务器、移动设备等硬件设备应进行统一管理，登记造册，明确责任人。 设备的使用、维修、报废等应按照规定的程序进行；维修设备时，应选择信誉良好的维修单位，并签订保密协议，防止信息泄露。 移动设备（如笔记本电脑、手机、U 盘等）应采取加密、设置密码等安全措施，防止设备丢失或被盗后信息泄露。 六、通信与操作安全管理 （一）网络通信安全 企业网络应采取防火墙、入侵检测系统、防病毒软件等安全措施，防范网络攻击和病毒感染。 严格控制网络接入，未经授权，不得将外部设备接入企业网络；远程访问企业网络应采用加密的虚拟专用网络（VPN）等方式。 定期对网络进行安全检测和评估，及时发现和修复网络漏洞。 （二）系统操作安全 信息系统的操作应严格按照操作规程进行，操作人员应经过培训并取得相应的操作资格。 对信息系统的重要操作（如数据修改、用户权限变更等）应进行记录和审批，确保操作的可追溯性。 定期对信息系统进行备份，备份数据应存储在安全的地方，并进行定期测试，确保备份数据的可用性。 七、信息安全事件管理 （一）事件分类与报告 信息安全事件分为一般事件、较大事件、重大事件和特别重大事件。一般事件指对企业信息安全影响较小，可自行处理的事件；较大事件指对企业信息安全造成一定影响，需要部门间协调处理的事件；重大事件指对企业信息安全造成严重影响，可能导致业务中断或重大损失的事件；特别重大事件指对企业信息安全造成极其严重影响，可能危及企业生存和发展的事件。 员工发现信息安全事件后，应立即向本部门负责人报告，部门负责人应根据事件的严重程度，在规定的时间内向上级领导和信息安全管理委员会报告。 （二）事件响应与处置 信息安全管理委员会接到信息安全事件报告后，应立即启动相应的应急预案，组织人员进行调查和处置。 在事件处置过程中，应采取措施防止事态扩大，保护现场，收集证据；及时通知相关部门和人员，协调配合处置工作。 事件处置结束后，应进行总结和评估，分析事件原因，总结经验教训，提出改进措施，防止类似事件再次发生。 八、合规与风险管理 （一）法律法规遵循 企业应严格遵守国家有关信息安全、知识产权、网络安全等方面的法律法规和标准，确保业务活动的合规性。 （二）风险评估与管理 定期对企业的信息安全风险进行评估，识别潜在的风险点，分析风险发生的可能性和影响程度。 根据风险评估结果，制定相应的风险应对措施，如风险规避、风险降低、风险转移等，将风险控制在可接受的范围内。 九、监督与改进 （一）监督检查 信息安全管理委员会应定期对本制度的执行情况进行监督检查，发现问题及时督促整改；对违反本制度的行为，按照相关规定进行处理。 （二）持续改进 根据企业业务的发展、技术的进步和外部环境的变化，定期对本制度进行评审和修订，不断完善信息安全管理体系，提高信息安全保障能力。 十、附则 （一）制度解释 本制度由成都分享信息传播有限公司（九维宽频）信息安全管理委员会负责解释。 （二）生效日期 本制度自发布之日起生效。