比亚迪信息安全管理制度

比亚迪信息安全管理制度1.前言比亚迪信息安全管理制度（以下简称“本制度”）旨在明确比亚迪集团（以下简称“公司”）各级组织的信息安全管理职责、要求和措施，保障公司信息安全；同时，也体现了公司对信息安全的高度关注和重视。2.适用范围2.1本制度适用于公司及其下属各级组织。2.2本制度适用于公司信息系统、信息设备、信息技术、信息资源及其相关业务活动，包括内部和外部信息资源访问、电子邮件、互联网、计算机及其他智能设备、人员及单位登陆、数据传输等。2.3本制度适用于公司以承办外部客户信息为主要业务的部门，但不适用于具体项目中特别规定的信息安全管理体系。3.信息安全管理职责3.1单位负责人为本单位的信息安全负责人，对本单位信息安全工作直接负责。3.2各级组织负责制定和实施信息安全管理制度，明确本级组织的信息安全保障措施，并及时汇报上级组织。3.3信息安全管理部门为公司信息安全管理机构，负责公司信息安全工作的规划、组织、协调、监督和检查工作。3.4各级组织应对本单位敏感信息、核心信息、关键信息资产实施有效的保护措施，并对信息安全管理和技术人员担负落实信息安全守则的要求。4.信息安全政策4.1公司明确信息安全政策，并向全体员工公开。4.2信息安全政策应当包括：保密政策、使用规范、访问控制、备份与恢复、安全管理措施、应急响应计划、安全评估和审计等内容。4.3全体员工应当遵守本政策，严格遵守公司规定并保守公司的商业秘密、客户资料、员工资料以及其他机密信息。4.4全体员工在使用公司信息资源和业务过程中，应严格遵守公司的信息安全规定（不限于密码控制、文件存储、网络使用等）。5.信息安全技术保障措施5.1信息系统和数据的访问控制（1）确认访问控制策略，保证信息系统、数据的有序、安全、高效访问。（2）操作系统、应用程序和数据库等系统的访问控制，建立授权审核、操作轨迹跟踪等安全保障机制。5.2数据加密（1）数据安全传输在数据传输环节中，应对数据进行加密，确保数据传输安全可信，建立可信的数据传输通道。（2）数据存储安全建立合理的数据存储区域，对数据进行分类管理，不同等级的数据进行不同级别的加密处理。5.3防病毒保护措施（1）定期对网关病毒、浏览器工具条、恶意程序等进行杀毒和防护。（2）对电子邮件、网络文件、移动介质等进行扫描、过滤，保障数据传输的安全、正常。5.4网络安全管理（1）建立信息安全管理网络，加强防火墙、入侵检测系统等网络安全防护措施的启动和运营管理。（2）建立网络安全管理制度，加强对员工权限、管理员操作等事项的监控和管理。6.信息安全管理的监控和评估6.1信息安全管理部门应按年度对公司信息安全进行评估和审计，评估结果应上报公司高层领导。6.2单位负责人应将信息安全评估和审计报告，提交公司信息安全管理部门，按要求执行整改。6.3信息安全管理部门监控着上级组织的信息安全工作，对各级组织的信息安全管理工作进行督查和检查。7.应急管理预案公司应制定信息安全应急管理预案，对信息安全事故的预防、处理等进行完善的规划和流程设计。8.结语本制度是公司信息安全管理工作的重要制度之一，要求各级组织按制度要求