第一章 总则

第一条 为加强和规范XX公司（以下简称“XX公司XX公司汽车金融”）网络安全建设与管理，推进网络安全体系建设，有效控制和防范信息安全风险，确保信息系统安全稳定运行和信息安全保障工作合规，根据国家有关法律、法规和行业标准，结合XX公司汽车金融实际情况，制定本制度。

第二条 网络安全是指采取必要的措施，防止对我公司网络、系统、基础设施等的攻击、侵入、干扰、破坏、非法使用及事故发生，使网络、系统等处于稳定、可靠的运行状态。通过人员管理，共同确保我公司数据的完整性、保密性和可用性。

公司网络安全管理遵循“谁主管谁负责、谁操作谁负责、谁使用谁负责”的基本原则，逐级落实部门和个人网络安全责任。

第三条 本制度适用于公司所有系统、网络及全体员工的管理。

第二章 网络安全组织机构和职责

第四条 XX公司XX公司汽车金融公司成立网络安全领导小组，由公司董事长、副董事长担任组长市场部办公室岗位职责及管理制度，作为公司网络安全第一责任人，负责为网络工作提供政策支持和资源保障，完善和落实可追溯的安全责任制。

公司总经理、常务副总经理担任网络安全领导小组副组长，作为公司网络安全工作的直接责任人，负责公司网络安全工作的具体部署、监督、总结、考核和奖惩。

运营总监、副总监、市场营销总监、副总监、信用风险总监、副总监、财务总监、副总监为网络安全领导小组成员，职责如下：

（一）贯彻落实国家、监管​​机构和股东单位有关网络安全政策、法律、法规和工作要求。

（二）协调信息安全重大问题，审议信息安全战略规划、年度工作计划、业务连续性等重大事项。

（三）组织审查、批准网络安全相关规章。

（四）满足国家、监管​​机构和股东的其他要求。

第五条 网络安全领导小组下设网络安全牵头部门，设在经营部，经营部主任、副主任具体负责网络安全具体实施，负责领导、协调、组织实施公司网络安全工作。

第六条 实行网络安全工作责任制。各部门（市场营销部、信用风险部、财务部、营业部）主任、副主任，各直属部门（办公室、人力资源部、风险与持续控管部、内部审计部、公关宣传部、客户满意度管理部、法律与合规部）经理（含副经理）是本部门/科室网络安全第一责任人，负责组织实施本部门/科室网络安全工作。包括：

1.遵守各项网络安全制度和行为准则

（二）参与、配合各项网络安全保护、处置工作，做好本部门/科室所辖信息资产的网络安全管理工作

（三）主动及时报告网络安全事件并配合处置

（四）履行公司其他制度规定的各部门/部门的网络安全职责。

（五）落实员工网络安全规定

第七条 成立网络安全联络组，网络安全牵头部门联络员设在信息安全部门，信息安全部门组织在各部门/科室设立网络安全窗口，各窗口人员协助部门负责人负责本部门的网络安全工作。具体职责为：

（1）协助部门负责人协调开展部门内网络安全相关系统的差异化分析，向信息安全部门反馈差异化分析结果，督促部门完成相关整改措施。

（2）协助完成部门内部网络安全相关意识培训，帮助提升部门负责人及部门员工的安全意识。

（3）协助部门负责人按照网络安全要求完成账号权限及系统角色功能验证、信息分类定级等工作。

（四）协助部门负责人落实网络安全制度，配合信息安全部门或信息技术部门进行监督、检查。

（五）协助部门负责人开展业务连续性日常管理工作。

（六）其他兼职网络安全相关职责。

第八条 原则上，业务部门负责人或其指定人员应定期向领导小组汇报信息安全战略与规划相关问题，汇报方式可以采用OA、电子邮件或会议方式，如采用会议方式，可与其他会议同时设置公开。

第九条 业务部信息安全部定期组织对各部门/板块网络安全工作责任制进行检查、考核，检查批次每年不少于一次。

第三章 网络安全规划

第十条 信息安全部门以保护公司信息资产的保密性、完整性和可用性，保障业务可持续发展为目标，制定年度工作计划，落实各项网络安全管理任务。信息安全部门负责持续维护本部门的安全。管理制度、信息安全要求、信息安全工作计划的合理性和适用性应每年进行论证和评审。

第四章 网络安全工作要求

第十一条 信息安全部门负责按照国家、行业主管部门的要求并参考股东方的要求建立、维护日常信息安全管理制度，包括信息安全意识教育、信息系统安全评估、业务连续性管理、网络安全等级保护等。公司各部门应加强对本部门员工及外聘人员（劳务派遣、外部供应商人员、实习生等）的信息安全意识宣传，增强员工的信息安全意识和防范信息安全风险的能力。

第十二条 信息系统开发和维护中的信息安全管理。公司各部门应当加强信息系统全生命周期的安全管控，明确信息系统在规划、建设、运行和维护全生命周期中的安全要求，保障数据的安全、保密性、完整性、可用性。

（一）需求部门在系统前期规划时，应确定信息系统的安全等级，考虑信息系统的应用安全控制要求，确定信息系统重点安全需求，具体的系统分级、需求指南等工作要求参照《XX公司应用系统安全需求功能设计手册》执行。

（二）在系统建设过程中，各部门要加强安全开发和测试的管理，包括规范开发人员的代码使用，减少由于代码编写不规范而导致的漏洞发生；开发环境与测试环境要隔离，测试环境与开发环境要分开，保持一致，最大程度满足安全要求；加强代码存储和访问控制以及开发、测试过程中的安全管控。

（三）信息系统上线过程中，各部门在新系统或有重大变更的信息系统上线前，应完成风险评估，并编制风险评估报告。信息系统上线前应提供清晰的权限矩阵，权限矩阵中应包括明确的角色与职能的对应关系，要明确系统有多少个角色，每个角色包含哪些功能。同时，要确保信息系统已经满足相应部署环境的安全要求，相应的安全技术已经落实到位，如部署的服务器、中间件等部分不存在安全漏洞，并已纳入公司监控范围。信息系统已完成必要的功能测试和安全测试。应避免信息系统带着“bug”上线。原则上禁止在生产环境直接进行测试工作，工作应在测试环境中进行，测试环境应与生产环境保持一致，包括但不限于应用程序版本的一致性、系统配置参数的一致性等。

（四）信息系统运行过程中，应制定并执行相应的安全运维流程，明确系统运维责任，保证运维工作连续有效，若出现安全漏洞或生产故障，应及时开展恢复工作，确保系统安全可靠、安全。

（五）原则上严禁将生产数据直接导入测试环境进行测试，若确需导入，必须说明必要性，经部门经理以上批准、信息安全部门审核后方可实施。

（六）严禁在测试环境中使用真实客户数据、密码、生产密钥等敏感信息，如有必要，必须说明必要性并经部门经理以上批准、信息安全部门审核后方可实施。

第十三条 信息安全资产管理：公司各部门应当开展信息资产分类定级工作，明确信息资产责任人，针对不同信息资产采取相应的安全控制措施。信息资产分类定级工作具体要求见第八章。涉及客户个人信息的收集、加工、存储、传输、分发、备份、恢复、清理、销毁等要求，按照《个人信息保护管理规范》执行。

第十四条 员工信息安全管理

（一）在员工招聘方面，人力资源部在聘用前对关键岗位人员进行背景调查和资格审查。关键岗位包括但不限于网络安全管理、征信、信息技术相关岗位。

（二）在员工工作过程中，各部门要对内部员工及供应商人员进行安全意识教育，告知相关信息安全责任，如有人员违反公司相关规定，须按照公司相关制度进行处理。

（三）员工离职或岗位变动时，各部门应主动及时领回相关设备，申请删除相关账户权限，方可办理离职及调动手续。

（四）人力资源部应与正式员工及实习生签订保密协议，员工在工作过程中应严格遵守公司有关保密规定，具体要求参照办公室《保密管理规定》。

第十五条 物理和环境安全管理

（一）办公环境安全管理。员工进出办公区域时应关好门，防止非员工跟随进入。离开工作站时，应及时锁定办公电脑屏幕。未经批准，任何外来人员不得进入公司敏感区域。例如，计算机房、IT监控室等办公环境的日常管理维护应按照办公室制定的办公环境管理流程手册进行。

（二）机房安全管理：信息技术部门应加强机房的日常管理和维护，做好机房进出的审批、登记等工作，制定机房管理相关的流程手册。

第十六条 安全设备及媒体管理

1、在把新的设备或服务器连接到我们的网络之前，我们必须确保它没有安全漏洞，以免它在运行中出现问题。

（二）设备、服务器或可移动介质报废或重复使用前市场部办公室岗位职责及管理制度，应接受信息技术部门的检查，确保设备或服务器中的数据或授权软件已被删除或安全重写。

（三）在将移动媒体接入我司终端电脑前，建议对移动媒体进行病毒扫描；严禁使用移动媒体存储股东、公司、客户等信息。

（四）在传输、处理和存储涉密信息时，应当采用加密技术，防范泄露和篡改风险。必须使用符合国家要求的加密技术和加密设备，管理和使用加密设备的人员必须经过专业培训和严格审查，密码强度须符合信息保密要求，并对密码和证书的制作、使用等生命周期进行严格管理，确保密码和相关证书的有效性。

（五）对接入监管机构（银保监会及其派出机构、人民银行及其派出机构）网络的专用终端或设备，接入网络时必须明确专用终端或设备的使用责任人。专用机必须专机专用，禁止直接或间接接入互联网。未经信息技术部门备案的移动媒体不得接入专用终端或设备。信息技术部门要确保所有专用终端或设备安装防病毒系统，及时检查风险病毒库，定期进行全盘检查；建立专用终端或设备清单，加强对专用终端或设备的监控要求。

第十七条 系统安全管理

1.应部署系统级访问控制、安全审计、安全监控技术措施，确保系统安全。

（二）加强信息系统安全漏洞管理，定期开展安全测试、渗透测试，及时正确地修补安全漏洞，避免因漏洞而引发的安全风险。具体要求可参见《XX公司信息系统安全测试及生产变更评审管理手册》。

（三）建立健全有效的安全监测预警体系，对重要网络和核心业务系统进行监控，及时发现潜在的安全风险。

（四）加强日志管理，确保记录重要系统主机设备和网络设备产生的系统日志、应用日志、异常事件日志，日志内容至少保存一年，日志功能保持默认开启。记录登录失败、访问重要系统文件、用户账户修改、访问或下载敏感客户信息等重要事项。对手动或自动监控系统发生的任何异常事件，应定期报告监控情况。

（五）建立信息系统数据备份、恢复机制，定期检查信息系统备份计划执行情况，验证备份数据的有效性，保障信息系统的持续可用性。

（六）规范日常维护操作流程及变更控制流程，加强日常运维操作，按照《IT生产系统变更管理流程手册》执行变更操作流程。

（七）信息系统外包公司安全管理，加强对第三方进入外包公司和外包服务的安全管控，定期对外包公司人员进行安全意识培训，并与外包公司签订安全责任协议、保密协议，明确安全责任，并要求外包商及时主动报告信息系统中的安全风险并及时修复。

第十八条 通信与网络安全管理

（1）应严格区分不同业务的网络区域，制定访问控制策略，重要的网络区域（如可以上网的区域）应通过可靠的技术手段与其他网络区域隔离。

(ii) 应采取适当的安全措施管理和控制网络边界，以保护不同网络内的信息。

（三）禁止私自建设、擅自使用WIFI网络，供访客访问的WIFI网络应与内部网络严格隔离。

（四）在关键网络节点实施入侵防御措施，检测、预防和限制来自外部和内部的网络攻击。

（五）在公司内部以及与外部组织之间采用适当的安全传输协议，保护各类通讯设施中信息交换过程中数据的机密性和完整性。

第十九条 信息安全管理的业务连续性

1、各部门应配合信息安全部门进行业务影响分析和风险评估。

（二）对重要业务、重要信息系统制定专项应急预案，定期进行应急预案演练，根据演练结果修订应急预案，应急演练原则上每年至少进行一次，资源投入等情况向业务连续性管理委员会报告并确认。

（3）发生危及网络安全事件时，应当立即启动应急预案，采取相应的补充措施，并向信息安全部门报告事件情况。

第二十条 例行信息安全审计要求

（一）原则上禁止以下行为：提取非海量数据、开通USB端口、向网关代理策略禁止访问的网站开通访问权限或申请上传文件（如网盘等）、开通非正式员工（实习生、外包人员）、安装非IT白名单软件、在办公终端存储个人敏感信息、抽取生产数据直接导入测试环境等。

（二）如上述活动确属业务运作所需，有需要的部门应向IT服务台提出申请，申请中应说明具体需求的业务必要性及开展活动的风险控制措施，本部门应知悉并承担相关风险。经部门经理（含）以上人员审批、信息安全部门审核后，信息技术部门将根据审批结果办理，并定期审核权限及策略，与需求部门确认其必要性，及时删除不必要的或超出有效期的权限并回收相应资源。

第五章 用户身份访问管理要求

第二十一条 本章的要求适用于XX公司XX公司汽车金融所有信息系统、基础设施等的用户账号申请、访问权限等管理。

第二十二条 信息系统及其他账户的访问权限应当遵循职责分离的原则，业务不相容的用户不得申请相关权限。具体职责分离规则由各部门根据业务实际情况制定。

第二十三条 公司在建立新的或已有的信息系统或应用系统前，应当确定系统/应用的所有者，若该信息系统或应用系统主要由某个部门/科室/办公室使用，则由该部门主任、副主任，或第二总部门直属的部门经理，为系统/应用的所有者；若该系统/应用由多个部门使用，则由该系统/应用中使用角色最多的部门主任、副主任，或第二总部门直属的部门经理，为系统/应用的所有者

第二十四条 系统/应用所有者负责定义系统身份角色的特殊权限，批准系统/应用内普通用户和管理员的特殊权限请求，制定信息系统或应用系统的角色与权限的对应策略。

第二十五条 新建、现有所有需要登录的信息系统或应用系统上线前均应指定角色所有者。原则上由系统/应用所有者担任角色所有者。系统/应用所有者也可以委托合适的人员担任角色所有者。为提高管理效率，每个部门角色所有者原则上不超过2人。

第二十六条 角色负责人负责定义角色对应的系统功能，确保角色间的职责分离，审核身份权限并批准用户身份权限请求；评估角色是否有权限访问客户敏感信息并向信息技术部报告。IT运维办公室提出账号实名管理要求，信息技术部IT运维办公室对实名账号进行统一管理。

第二十七条 用户管理员由系统/应用程序所有者指定，负责分配系统/应用程序账号，确保人员及账号权限符合最小权限原则，维护用户身份目录，包括添加、删除等功能。效率：原则上每个部门用户管理员不超过2名。

第二十八条 应用系统管理员由信息技术部门应用运维团队任命，负责维护系统/应用的正常运行，具体职责以《信息技术应用系统维护管理流程手册》为准。

第二十九条 账号和权限的申请、删除、变更等流程按照信息技术部《用户身份访问管理流程手册》的要求执行。

第三十条 账户与权限管理的基本原则主要包括以下四点：

（一）用户必须选择与所访问信息的敏感度等级相匹配的认证机制，确保其在信息系统内的活动限制在相关业务正常运行所需的最低限度内，遵循“职责分离”、“需要知道”和“最小授权”原则。

（二）账户和权限申请应正式记录在公司身份认证平台（IAM）或JIRA中，并经申请人的直属经理、部门经理和应用程序/系统所有者批准。

（三）用户账户名须符合实名制规定，账户不可重复使用。每个账户必须有专人负责，不可共享。禁止使用公共账户。

（四）账户身份目录必须清晰注明账户有效性及所有者信息，账户目录必须与系统最新状态保持一致。

第三十一条 原则上不允许开设特权账户和附加权限。如因业务需要开设特权账户和附加权限，应说明开通充分理由，经申请人直属经理、角色负责人批准，并设定账户和权限的有效期限。每次申请的有效期限不得超过3个月。

第三十二条 关于您的帐号有效期，请遵循以下四点要求：

（一）非正式员工申请内部系统账户时，必须注明账户有效期，并经我司联系人直属经理批准，账户有效期一般不超过6个月。

（二）非正规员工的用户账号每90个自然日应由人事管理部门进行审核，确认用户账号是否需要保留。如用户已离职，应提交IT服务台进行账号清理。如仍在职，请选择续费并保留账号。

（三）信息系统应设置180天以上未登录的账号锁定功能，所有停用超过180天的账号将自动清空，如需重新激活账号，请联系IT服务台申请恢复。

（四）正式员工账户的有效期，视为工作年限。

（五）正式员工、非正式员工、第三方人员等离职或调职前应向信息技术部门申请删除所有系统账号。上述人员所在部门有义务监督离职或调职人员删除账号。

第三十三条 密码策略是操作系统对密码或用户账户属性实施的策略，相关要求如下：

（1）纯文本密码不得出现在任何源代码、程序或设置中。

（2）密码不得共享或写下来。必要时可以将密码写入文档并将文档加密存储，或将密码保存在安全的特权帐户管理系统中。

（三）及时修改默认密码，采用严格的密码策略，包括但不限于基础设施、个人终端、应用系统和生产、测试​​环境的操作系统，对重要信息系统必须采用强密码（如三级保护），并采用身份认证方式（如多因素认证）。

第34条将新添加的信息系统连接到统一管理的身份身份验证平台（IAM）。

第8章信息资产分类和分级的要求

第44条本章主要用于阐明保护信息资产的责任，并指导各个部门进行信息资产保护的分类和评分。

本指南中提到的第45条信息是指本指南中的任何形式存在的任何有价值的组织。

第46条每个部门的主要职责（部门/部门/办公室）是：

（1）每个部门的负责人是负责其部门/部门信息资产的主要人员，并负责信息资产的准确性，完整性和安全性。

（2）负责该部门的信息资产，包括指定联系人与信息安全部门合作，以进行信息资产分类和评分，资产使用和保护，以及部门负责人，确认信息资产分类和分级的结果。

第47条信息安全部门的主要职责是：

（1）负责制定信息资产分类和评分标准以及保护和控制措施。

（2）牵头组织各个部门定期对其管辖范围内的信息资产进行分类和分级，并提供分类和分级建议。

第48条硬件资产是指公司运营或系统操作的可见电子设备，设施和工具。

（i）计算机和配件，辅助设备：各种服务器，台式计算机，笔记本电脑，移动存储，打印机等。

（ii）网络和安全设备：路由器，交换机，路由器，交换机等。

（iii）其他设备：投影仪，UPS等

第49条软件资产是指依靠电子计算设备运营的软件信息系统资产，例如业务系统或平台，操作系统等。

第50条数据是指电子或其他表格中的任何信息；

第51条文件资产是指与业务相关的各种纸质版本，例如纸质财务报告，审计报告，开发计划等。

第52条：根据保密性，完整性和可用性的三个特征，请参考相关的一般信息安全风险评估标准，并根据不同的资产价值来分配价值。

第53条信息安全部门应组织各个部门，以根据需要进行信息分类和评分工作。

（1）信息安全部门应将信息分类和分级工作通知所有部门，并制定分类和分级表。

（2）每个部门的负责人应根据分类和分级表的要求指定联系人，以创建，更新和改进其部门的信息资产表，并按时向信息安全部门提供反馈。

（3）信息安全部门收集各个部门填写的分类和分级表，并审查它们，如果有任何信息安全建议，它们将被送回相关部门。

（4）信息安全部门应通过电子邮件或其他各个部门的负责人与各个部门的负责人确认信息资产的分类和评分结果。

（5）信息安全部门将总结并存档确认的信息分类和分级表。

第54条：每个部门应根据其等级标记信息资产，并根据不同等级实施保护措施。

第9章供应链安全管理要求

第55条本章中的供应链安全主要提出针对供应链的管理要求，供应链的管理要求。

第56条软件供应链风险管理提出了六个过程的管理要求，即需求阶段，设计阶段，编码阶段，发行阶段，操作阶段以及退役和离线阶段。

第57条需求阶段的管理要求：

（1）阐明软件产品的安全研发规格，并为供应商或我们的开发人员进行代码安全规范培训。

（ii）阐明软件组件的选择要求。

（3）应仔细评估软件供应商的功能，包括但不限于财务能力，技术能力，质量承诺，软件交付，紧急响应能力，服务功能，内部软件安全管理能力等，以确保供应商的稳定性。

第58条在设计阶段的管理要求：

（1）应构建使用的软件组件的详细列表，包括但不限于开源组件，第三方组件，关键程序等。

（2）标准化软件版本管理。

第67条在编码阶段的管理要求：

（1）严格遵循安全代码规范进行安全编码，并禁止使用具有已知漏洞的软件组件。

（ii）进行代码安全审核并立即纠正任何有问题的代码，建议使用软件组件分析（SCA）评估开源组件和依赖组件。

（iii）其他要求应根据现有系统“ IT开发编码管理过程手册”实施。

第59条发布阶段的管理要求应根据现有系统“生产系统变更管理过程手册”和“信息系统安全测试和生产变更审查管理手册”实施。

运营阶段的第60条管理要求：

（i）与软件供应商合作，为软件组件建立紧急响应机制。

（ii）注意主流安全平台发布的脆弱性警告信息，定期评估和维护软件组件使用列表，并有效地协助漏洞检测。

（iii）监视和维护的要求应按照现有系统“应用程序系统操作和维护管理过程手册”实现。

第61条退役和离线阶段的管理要求：

（i）在系统资源重复使用系统资源时避免直接启用组件之前，应及时删除开源组件和其他软件组件。

（ii）其他要求应根据现有系统“ IT应用系统操作和维护管理过程手册”的相关要求实现。

第10章合作伙伴数据安全管理要求

第62条本节中的合作伙伴是指通过业务合作，提供产品或服务或提供技术支持和数据服务的外部/离线数据互动的外部各方，或者可能是合作伙伴，外包商，供应商等。

第63条业务需求部门是合作范围内的数据安全管理部门。数据，合作伙伴的联系人和其他信息。

第64条的数据安全保护责任和双方的义务应通过合同或其他形式澄清，可以根据实际的合作业务来指定特定条款，包括但不限于以下内容：澄清系统平台的范围，以访问或处理数据的范围对数据安全性，合作结束后数据删除的要求和保障措施以及合伙人违反合同责任和惩罚等等。

第65条：当涉及个人信息和重要数据时，建议定期进行现场安全检查或现场安全检查或评估，以确保合作伙伴使用数据和数据保护工作，以确保合作伙伴的数据安全能力并迅速发现现有的安全风险并敦促纠正。

第十一章 附则

第66条这些措施应由运营部信息安全部门起草，修订和解释。

第67条本法规的附录可以独立于主要文件，并且可以根据实际需求进行调整，而无需与主要文件相抵触。

1.员工网络安全行为准则

（ii）网络安全责任系统的评估规则

第68条应从颁布之日起实施这些措施。