房屋经纪公司信息安全管理办法.docx

房屋经纪公司信息安全管理办法

一、总则

1.为加强本房屋经纪公司信息安全管理，保障公司信息资产安全，确保业务的连续性，特制定本办法。本办法适用于公司内部所有部门、员工以及与公司业务相关的第三方合作伙伴。

2.信息安全管理的目标是保护公司的客户信息、业务数据、系统信息等各类信息资产免受未经授权的访问、使用、泄露、篡改或破坏，同时确保信息的必威体育官网网址性、完整性和可用性。

二、信息资产分类与标识

1.信息资产分类

-客户信息：包括客户的姓名、联系方式、身份证号码、房产需求与偏好、交易记录等。此类信息应严格必威体育官网网址，根据重要程度可分为高、中、低三个级别，高级别信息如客户的财务状况和交易密码等，中级别信息如一般联系方式和房产需求，低级别信息如客户公开资料中的部分信息。

-业务数据：涵盖房源信息（地址、面积、价格、产权情况等）、业务合同、市场分析报告、员工业务数据等。根据对公司业务影响的程度，也分为高、中、低三个级别，高级别如业务合同和核心房源信息，中级别如市场分析报告，低级别如一般性业务数据。

-系统信息：包括公司内部使用的信息系统、软件、硬件设备、网络架构等相关信息。根据其对公司运营的关键程度分为关键系统和一般系统，关键系统如核心业务处理系统，一般系统如办公辅助系统。

2.信息资产标识

-对于各类信息资产，应建立明确的标识机制。客户信息在存储和传输过程中应以加密形式存在，并在数据库或文件系统中有专门的标识字段，注明其类别和级别。业务数据应在文件头或数据库记录中添加标识标签，标明其数据类型和重要级别。系统信息应在设备和系统文档中明确其关键程度标识。

三、人员信息安全管理

1.入职安全培训

-所有新入职员工必须接受信息安全培训，培训内容包括公司信息安全政策、信息分类与保护要求、必威体育官网网址协议解读、安全操作规范等。培训结束后，员工需通过考核，确保对信息安全知识有基本的理解和掌握。

-针对不同岗位的员工，应开展有针对性的信息安全培训。例如，业务人员重点培训客户信息保护和业务数据处理规范，技术人员重点培训系统安全维护和网络安全防护知识。

2.在职人员管理

-员工应严格遵守公司的信息安全规定，不得擅自访问、使用、传播或破坏公司信息资产。对于因工作需要而接触高敏感信息的员工，需经过额外的授权审批程序，并定期接受信息安全审计。

-员工在使用公司信息系统和设备时，应使用个人专属的账号和密码，并妥善保管。密码应具备足够的强度，定期更换，不得共享账号或使用弱密码。如发现账号异常情况，应及时报告给公司的信息安全管理部门。

3.离职人员管理

-员工离职时，应及时收回其使用的公司信息设备、账号权限等。信息安全管理部门应对离职员工的工作数据进行备份和审查，确保没有信息泄露风险。离职员工在离职后的一定期限内（如两年）仍有必威体育官网网址义务，不得泄露公司的商业秘密和客户信息。

四、信息存储与传输安全

1.信息存储安全

-公司的信息资产应存储在安全可靠的环境中。客户信息和重要业务数据应采用加密存储方式，加密密钥应妥善保管，定期更新。存储设备应具备冗余备份功能，防止因硬件故障导致数据丢失。

-建立数据存储访问控制机制，根据信息资产的分类和标识，对不同级别的数据设置不同的访问权限。只有经过授权的人员才能访问相应级别的信息，访问过程应进行日志记录，便于审计。

2.信息传输安全

-在公司内部网络传输信息时，应采用安全的通信协议和技术，如虚拟专用网络（VPN）等，防止信息在传输过程中被窃取或篡改。对于涉及客户敏感信息和重要业务数据的传输，应进行加密处理。

-在与外部合作伙伴进行信息交互时，应建立安全的数据传输通道，如通过安全文件传输协议（SFTP）或应用程序编程接口（API）的安全认证机制。在传输前，应对合作伙伴的信息安全能力进行评估，确保其具备相应的保护措施。

五、信息系统安全管理

1.系统开发与维护安全

-在信息系统开发过程中，应遵循安全开发流程，进行安全需求分析、设计、编码和测试。开发人员应避免在代码中留下安全漏洞，如注入攻击漏洞、跨站脚本漏洞等。在系统上线前，应进行全面的安全评估和漏洞扫描。

-对于公司使用的信息系统，应建立完善的维护机制。定期进行系统更新和补丁安装，及时修复发现的安全漏洞。同时，对系统的配置进行定期审查和优化，确保系统的安全性和稳定性。

2.网络安全防护

-公司应部署防火墙、入侵检测系统（IDS）/入侵防御系统（IPS）、防病毒软件等网络安全防护设备和软件，对公司的网络边界和内部网络进行保护。网络安全设备应定期更新规则库和病毒库，确保其防护能力的有效性。

-对公司网络进行划分，根据不同的业务需求和安全级别，设置不同的网络区域，如办公区网络、核心业务区网络等。在不同网络区域之间实施访问控制策略，限制不必要的网络流量。同时，对无