信息安全管理制度

编号：HD-TR-G23 版本：B/1

1 目的

为了强化公司的信息安全管理，预防计算机信息技术风险，确保公司数据秘密安全，防止网络病毒危害和黑客恶意攻击，维护正常的生产经营顺利运行，根据《中华人民国计算机信息系统安全保护条例》、《ISO27001信息安全管理体系标准》以及有关法律、法规，结合公司实际情况，特制定本管理制度。

2 定义

本制度所称信息安全管理，是指在日常办公、公司运营过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

3 范围

本制度适用于公司全体部门和集团下属单位和所有分/子公司。

4 职责
      信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任制。

5 信息安全建设和管理

5.1 组织架构

公司行政人事部负责指导全公司的信息安全管理工作。

5.2 人员安全管理

5.2.1 人力资源部门负责人员安全管理，应建立以员工为中心的人力资源管理策略。

5.2.2 人员聘用时需明确员工信息安全责任，人事部门必须在新员工入职一个月内组织一次信息安全培训，并且每年定期组织一次针对全体员工的信息安全培训和宣导，提高员工的商业秘密保护意识。 

5.2.3 员工离职时须严格按照离职流程进行，各交接人应该负责交接信息的安全处理，以确保相关信息资料的不外泄。

5.2.4 信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在岗位职责中明确对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。