用户信息安全保障制度.docx
《用户信息安全保障制度.docx》由会员分享,可在线阅读,更多相关《用户信息安全保障制度.docx(10页珍藏版)》请在冰点文库上搜索。
用户信息安全保障制度
用户信息安全保障制度
用户信息安全保障制度
1.目的
为掌握公司内外部主要动态,提高公司传递、分析和利用信息的速度,实现公司总部部室之间、股份公司与各企业、各企业(公司)之间的信息快速传递和共享,为各层领导提供决策依据,为企业生产经营及发展服务,特制定本办法。
2.适用范围
适用于股份公司总部的信息管理。
3.职责权限
3.1发展研究中心负责股份公司总部的信息管理工作和网络信息建设工作;证券部负责上市公司信息披露工作;各部门在自己的职责范围内负责日常信息的收集、整理、传递、反馈工作;各企业、分子公司独立开展信息管理工作,接受股份公司的指导。
3.2信息收集范围
3.2.1行政、党群信息由安全环保综合部负责,主要范围为政府、上级单位的有关信息、公司各类公文、来函、企业文化、行政事务。
3.2.2企业管理信息由营运管理部负责。
主要范围为国家、地方法律法规、政策,宏观经济,本公司及上级企业经营管理,公司整体规划、生产经营统计、安全生产信息、法律事务。
3.2.3人事信息由人力资源部负责,主要范围为国家、地方劳动人事、工资福利、社会保障政策,人才市场信息,人事、工资档案,人员培训、考核、考勤等人事执行情况、人力资源筹划。
3.2.4财务信息由财务部负责,主要范围为国家金融、财务、会计、税收、利率、汇率制度、政策,企业财务报表,公司预算、资金使用状况,公司融资、资金,金融、货币、财政、税收信息。
3.2.5战略规划信息由发展研究中心负责,主要范围为投资环境,投资项目,公司发展战略规划,宏观政策、竞争对手、市场动态、矿产资源信息、网站管理等。
3.2.6技术信息由发展研究中心负责,主要范围为工艺、机电设备宏观管理、新产品开发、技术改造与技术创新、技术情报、项目管理、技术专利,科技发展动态,新技术、新材料、新工艺的发展和应用等信息。
3.2.7运营管理部负责原物料价格信息、原物料及设备采购、物资物流市场动态、物资串换、库存物资等信息
3.2.8上市公司信息由证券部负责。
信息主要范围为:
证券交易、公司法人治理、上市公司信息披露等信息。
3.2.9其他信息据实际情况可由各部门建立。
4.管理程序
公司信息处理流程包括信息的收集、整理、传递、使用等几个环节。
4.1信息收集来源:
4.1.1生产经营、管理活动中产生的可利用的;
4.1.2公司外部公共图书、媒体、情报信息机构收集的;
4.1.3通过调查、外出考察获得的专题信息。
4.1.4通过正规渠道由有关部门反馈、报告、告知的,与生产经营活动相关的;
4.2信息的整理
4.2.1各部门须对收集到的信息进行及时整理,确定信息接收对象
4.2.2信息整理过程中,应进行合理的摒弃,整理主要的、有用的信息。
4.2.3整理后的信息,采用电子化存贮,各部门应建立本部门的信息档案。
4.3信息传递
4.3.1信息传递遵循分层级、保密、高效的原则。
4.3.2在公司内自上而下、自下而上、平行、交叉传递信息。
4.3.3信息传递采用:
书面、口头、网络等手段。
4.4信息的使用
4.4.1按照知晓权限、重要程度、共享部门分别使用信息。
4.4.2信息使用部门,须根据接收信息的具体情况,及时作出反馈。
4.4.3部门根据工作需要,需使用非共享信息时,须经总经理批准。
4.4.4信息使用部门在使用过程中,应严格遵守保密的原则。
4.5信息的保密
4.5.股份的每一位员工均有保守企业机密的义务,遵守《股份公司保密制度》。
4.5.2不得在未经允许的情况下,传播、复制含有企业相关信息的各种介质如(光盘、磁盘、文稿)等,对于造成严重后果触犯刑律的,将移交司法机关处理。
5.约束与考核
违反本办法规定,造成信息遗漏、反馈延误、越级获取信息等行为的,将依据情节,扣除当事人当月绩效工资,并可给予行政处罚。
14.内部重大信息报告制度
1.公司内部信息,是指在公司(包括股份公司及控股子公司、分支机构等下属企业)日常管理、经营、研发、财务、人事及产业、产品、技术、生产流程、市场营销和商业活动等过程中发生的,对公司今后的发展产生影响和作用的信息,分为一般、重要和重大信息。
本制度所指信息为公司重要、重大内部信息,并可能达到对外公开披露标准,或可能对公司股票价格产生影响的信息。
2.公司证券部为内部重大信息的接收、汇总、整理、分析、上报部门,董事会秘书为内部重大信息处理的负责人,负责将公司有关信息上报公司总经理和董事长或提交董事会。
3.各部室、控股子公司负责人为内部重大信息报告工作的责任人。
4.各部室、控股子公司应指定1名工作人员作为内部重大信息收集人,具体从事信息收集、上报工作,并对责任人负责。
5.公司下列人员有权获得公司内部重大信息:
5.1董事长;
5.2总经理;
5.3经董事长或董事会授权的董事;
5.4董事会秘书;
5.5证券事务代表。
6.内部重大信息报告应严格履行下列审查程序:
6.1提供信息的公司各部门、控股子公司的责任人认真核对相关信息资料;
6.2董事会秘书或证券事务代表进行合规性审查;
6.3董事长或总经理审核批准。
7.内部重大信息收集内容包括但不限于:
7.1新取得的各类证件:
专利许可证、采矿许可证、特许经营权证、高新技术证、合格证等;
7.2新近享受的税收优惠政策;
7.3拟申请及获得银行贷款或为其他公司和个人提供担保;
7.4获得银行授信或开具银行承兑汇票资格;
7.5会计政策和会计估计发生变更;
7.6重大合同(借贷、委托经营、受托经营、委托理财、赠与、承包、租赁等)的订立、变更和终止;
7.7大额银行退票;
7.8重大经营性或非经营性亏损;
7.9遭受重大损失;
7.10重大投资行为;
7.11可能依法承担的赔偿责任;
7.12重大行政处罚(若不涉及具体数额,应当披露被查处的具体内容);
7.13诉讼、仲裁案件,包括:
股份公司、控股子公司(含分公司)、董事、监事和高级管理人员;
7.14与同一关联单位达成的单笔或累计金额达300万元以上的关联交易;
7.15公司章程、注册资本注册地址、名称变更;
7.16发生重大债务或未清偿到期重大债务;
7.17公司股权转让、收购和出售资产等及相关法律手续办理进展情况;
7.18公司股东大会决议、董事会决议、监事会决议、声明、意见及报告执行情况;
7.19发生重大债务或未清偿到期重大债务;
7.20公司生产经营环境发生重要变化,包括全部或主要业务停顿、生产资料采购、产品销售方式或渠道发生重大变化;
7.21公司作出减资、合并、分立、解散或申请破产的决定;
7.22新的法律、法规、规章、政策可能对公司的经营产生显著影响;
7.23公司股东大会、董事会的决议被法院依法撤销;
7.24公司进入破产、清算状态;
7.25公司预计出现资不抵债;
7.26获悉主要债务人出现资不抵债或进入破产程序,公司对相应债权未提取足额坏帐准备的;
7.27公司因涉嫌违反证券法规被中国证监会调查或正受到中国证监会处罚;
7.28董事会秘书根据现行规定认为应予披露的其他重大事项。
8.信息报告责任人和收集人的工作职责是:
8.1不定期及时提交本制度第七条所列事项。
8.2信息报送的方式是:
各部门、控股子公司信息收集人收集并填制《内部重大信息报告表》,经信息报告工作责任人认真核对相关资料并签字确认后,及时以传真、电子邮件或专人送达方式报送证券部。
8.3如当月无重大信息报送,于当月最后一日在《内部重大信息报告表》上填写“无”,报送公司证券部。
8.4保证内部重大信息的及时、准确、完整、真实。
8.5接受证券部人员以电话询问或实地调查方式了解公司重大信息。
8.6对发生重大或重大突发事项实行24小时之内报告制度。
9.公司各部门和控股子公司研究、决定涉及内部重大信息上报事项时,在规定时间内及时向证券部报告,同时按照内部信息上报要求提供信息所需要的资料,并履行相应的审批手续,确保信息的真实性、准确性和完整性。
10.公司各部门、控股子公司接到编制定期报告要求提供情况说明和数据时,应在规定时间内及时、准确、完整地提供;有编制任务的,应按期完成。
11.对监管部门所指定需要了解的信息或解释的事项,公司有关各部门、控股子公司应积极配合证券部在指定时间内完成。
当董事会秘书认为所需材料不完整、不充分时,有权要求有关单位提供进一步的解释、说明和补充。
12.公司各部门、控股子公司对于是否涉及内部重大信息上报事项有疑问时,应及时向董事会秘书和证券事务代表或证券部工作人员咨询。
13.公司各部门、控股子公司所涉及的内部重大信息报送相关责任人因失职或过错,导致发生内部信息应报告事项而未报告或内部信息报送不及时、疏漏,给公司或投资者造成重大损失,或受到中国证监会及其派出机构、证券交易所公开谴责或批评的,公司应对相关责任人给予批评、警告,直至解除其职务的处分,并且可以向其提出适当的赔偿要求。
14.公司董事、监事、总经理、董事会秘书、其他高级管理人员及其他因工作关系接触到内部重大信息的工作人员,负有保密义务。
15.公司各部门、控股子公司的责任人应采取必要的措施,在内部重大信息公开披露之前,将信息知情者控制在最小范围内。
16.当公司各部门、控股子公司的责任人得知有关尚未披露的信息难以保密,或者已经泄露,应当立即将该信息告知董事会秘书或证券事务代表。
17.不得以新闻发布或答记者问等形式代替信息报告。
18.为保证公司信息披露的及时性、完整性、准确性和主动性,公司将通过必要的法规和知识培训,以帮助全体高管人员及公司其他负有信息产生、交流、传递、告知和披露职责的相关人员树立起主动、及时、完整和准确披露信息的意识,包括安排上述人员参加相关机构组织的定期培训等。
19.本制度由证券部负责解释。
15.信息技术管理制度
1.目的
为了更好地发挥企业信息技术服务于办公、生产的作用,加强企业信息技术的管理,强化信息系统安全保护体系,确保信息系统高效、有序的运行和使用,特制定本办法。
2.适用范围 适用于广汇股份公司、各企业及分子公司的信息技术管理工作。
3.职责权限
3.1发展研究中心主管广汇股份有限公司的信息技术管理与维护工作。
3.2发展研究中心组织协调计算机系统知识的应用、培训和推广工作。
3.3发展研究中心组织、协调广汇股份信息化建设项目的管理,统一制定建设方案。
3.4各企业及分子公司的信息技术由本单位信息管理人员管理,在技术管理方面,须接受发展研究中心的统一管理。
4.工作程序
4.1计算机单机安全保护
4.1.1计算机操作人员必须按照计算机正确的使用方法操作计算机系统。
4.1.2未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知专业技术人员进行。
4.1.3计算机的软件安装和卸载工作必须由专业人员进行。
4.1.4计算机的使用必须由其合法授权者使用,XX不得使用。
4.1.5计算机单机系统必须安装病毒防火墙系统。
至少每周对系统升级一次。
4.1.6如发现重大计算机病毒疫情,应立即采取措施清除,并向发展研究中心报告备案。
4.1.7计算机内不得安装游戏软件,尽量不在计算机上使用来历不明的磁盘,在使用外来磁盘时杀毒后再使用。
4.2网络使用人员行为规范
4.2.1不得在公司网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。
4.2.2不得在公司网络中进行国家相关法律法规所禁止的活动。
4.2.3未经允许,不得擅自修改计算机中与网络有关的设置。
4.2.4未经允许,不得私自添加、删除与公司网络有关的软件。
4.2.5未经允许,不得进入公司网络或者使用公司网络资源。
4.2.6未经允许,不得对公司网络功能进行删除、修改或者增加。
4.2.7未经允许,不得对公司网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
4.2.8不得故意制作、传播计算机病毒等破坏性程序。
4.2.9不得进行其他危害公司网络安全及正常运行的活动。
4.3网络硬件的管理
网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
4.3.1各部门、各单位应妥善保管安置在本部门的网络设备、设施及通信。
4.3.2不得破坏网络设备、设施及通信线路。
由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。
4.3.3未经允许,不得中断网络设备及设施的供电线路。
因生产原因必须停电的,应提前四个工作日,通知网络管理人员。
4.3.4不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。
特殊情况应提前通知网络管理人员,在得到允许后方可实施。
4.4软件及信息安全
4.4.1各部门购买计算机及外设后,应将计算机及外设所配软件及驱动程序交网络管理人员保管,以便统一维护和管理。
4.4.2公司购买的软件由网络管理人员按使用范围进行安装,其他任何人不得安装、复制、传播此类软件。
4.4.3网络资源及网络信息的使用权限由网络管理人员按公司的有关规定予以分配,任何人不得擅自超越权限使用网络资源及网络信息。
4.4.4网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。
4.4.5任何人不得将含有公司信息的计算机或各种存储介质交与无关人员。
4.4.6在设定密码时,应保证密码的长度不少于六位,并且密码应采用大小写字母及数字混合的方式设定。
5.考核
5.1未按上述程序规定执行的,扣股份公司部门责任人或企业责任人当月绩效工资50元/项.次。
电信和互联网用户个人信息保护规定2015-07-178:
55|#2楼
第一章 总则
第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章 信息收集和使用规范
第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的.渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章 安全保障措施
第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。
电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。
第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章 监督检查
第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。
第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章 法律责任
第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。
第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
升级会员 