中国重汽(香港)有限公司
信息安全政策
一、目的
为强化中国重汽集团信息安全管理体系,明确全员信息安全责任,保护数据完整性,防范信息安全威胁,确保集团信息资产(含商业数据、保密信息、知识产权及IT资源)的安全可控,支撑集团业务稳定运营与合规发展,特制定本政策。
二、适用范围
本政策适用于中国重汽集团全体员工,以及所有与集团进行业务往来的“商业伙伴”(包括但不限于客户、供应商、代理商、经销商、服务商、第三方中介机构等)。
三、核心承诺与要求
3.1 持续改进信息安全体系
中国重汽集团承诺通过定期评估、风险监测与技术升级,持续优化信息安全管理体系,确保其与集团业务发展、法规要求及技术环境变化相适应,有效应对新型信息安全挑战。
3.2 确保数据的完整性与保护
集团严格保护所有业务数据(含财务、客户、研发、运营等数据)的完整性,通过加密存储、访问控制、备份恢复等技术与管理措施,防止数据篡改、丢失或损坏,确保数据在全生命周期内的准确性、可用性与安全性。
3.3 监控并应对信息安全威胁
中国重汽集团建立覆盖网络、系统、终端及人员行为的信息安全监控机制,实时识别潜在威胁(如网络攻击、数据泄露、恶意软件等);通过应急预案、事件响应流程及定期演练,快速处置安全事件,降低风险影响,保障业务连续性。
3.4 明确全体员工的信息安全责任
集团全体员工(含管理人员)是信息安全的第一责任人,须严格遵守集团信息安全政策与操作规范,主动识别并报告安全隐患,禁止任何违规操作(如泄露保密信息、使用弱密码、连接未授权设备等);管理层须以身作则,推动信息安全文化落地,确保责任落实到岗到人。
3.5 对第三方(如供应商)建立信息安全要求
中国重汽集团要求所有第三方合作伙伴(含供应商、服务商等)在合作期间遵守同等信息安全标准,通过合同条款明确其数据保护义务、访问权限限制及违规责任;合作前开展信息安全能力评估,合作中定期监督,确保第三方处理集团信息时符合集团安全要求,防范供应链安全风险。
3.6 信息安全监督管理责任
中国重汽集团设立由董事长负责的网络安全和信息化领导小组,作为集团信息安全监督管理的最高决策机构,全面负责信息安全工作的战略规划、重大事项决策及监督执行。
四、配套管理要求
4.1 员工行为规范
集团全体员工须严格保护保密信息(如客户数据、研发资料等),禁止外传、私自留存或未授权使用,离开工位时及时锁屏;使用集团IT设备须设置高强度密码并定期更新,公共网络处理敏感信息时启用加密通信;发现可疑邮件、系统漏洞等异常情况,须立即向信息安全部或直属经理报告。
4.2 监督与改进机制
集团定期开展信息安全审计与事件复盘,通过漏洞排查与根因分析持续优化防护措施;同步落实年度全员信息安全培训及关键岗位专项教育,全面提升员工风险识别与合规意识。
