国泰君安证券股份有限公司数据安全及隐私保护管理声明
国泰君(jun)安(an)(an)证券(quan)股(gu)份(fen)有限公(gong)司(si)(以下简称“国泰君(jun)安(an)(an)”或(huo)“公(gong)司(si)”)致力(li)于成(cheng)为“受(shou)人尊(zun)敬、全面领先、具(ju)有国际竞争(zheng)力(li)的(de)现代投资银(yin)行”,在加快布局(ju)数字(zi)化转型的(de)背景下,公(gong)司(si)高度重视数据安(an)(an)全及隐(yin)私(si)保护治理��������,以务实推进安(an)(an)全的(de)“数字(zi)化经营����”。
公司(si)致(zhi)力于将数(shu)(shu)据安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理融(rong)入到公司(si)各个(ge)(ge)(ge)(ge)业务及(ji)各个(ge)(ge)(ge)(ge)环节,严(yan)格保(bao)(bao)障公司(si)管(guan)(guan)理和(he)(he)技术的规(gui)(gui)范(fan),为(wei)客户提(ti)供安(an)(an)(an)(an)全(quan)(quan)(quan)和(he)(he)优质的体验。公司(si)严(yan)格遵循《中(zhong)华(hua)人(ren)(ren)民(min)共和(he)(he)国(guo)(guo)(guo)个(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息(xi)(xi)保(bao)(bao)护法》《中(zhong)华(hua)人(ren)(ren)民(min)共和(he)(he)国(guo)(guo)(guo)数(shu)(shu)据安(an)(an)(an)(an)全(quan)(quan)(quan)法》《中(zhong)华(hua)人(ren)(ren)������民(min)共和(he)(he)国(guo)(guo)(guo)网络(luo)安(an)(an)(an)(an)全(quan)(quan)(quan)法》《信(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)全(quan)(quan)(quan)技术——个(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)全(quan)(quan)(quan)规(gui)(gui)范(fan)》《证券(quan)期(qi)货(huo)业网络(luo)和(he)(he)信(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理办法》《证券(quan)期(qi)货(huo)业数(shu)(shu)据安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理与(yu)保(bao)(bao)护指(zhi)引》《证券(quan)期(qi)货(huo)业数(shu)(shu)据分类(lei)分级(ji)指(zhi)引》《证券(quan)期(qi)货(huo)业移动互(hu)联(lian)网应(ying)用程序安(an)(an)(an)(an)全(quan)(quan)(quan)规(gui)(gui)范(fan)》《个(ge)(ge)(ge)(ge)人(ren)(ren)金(jin)融(rong)信(xin)(xin)息(xi)(xi)保(bao)(bao)护技术规(gui)(gui)范(fan)》《移动金(jin)融(rong)客户端应(ying)用软(ruan)件安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理规(gui)(gui)范(fan)》等法����律法规(gui)(gui)及(ji)监管(guan)(guan)要求(qiu),敦促、加强和(he)(he)规(gui)(gui)范(fan)网络(luo)及(ji)数(shu)(shu)据安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理与(yu)个(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息(xi)(xi)保(bao)(bao)护工(gong)作,为(wei)公司(si)各项业务保(bao)(bao)驾护航,保(bao)(bao)障客户个(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息(xi)(xi)主(zhu)体权益。
一、管理架构及管理制度
(一)数据安全管理架构
完善的管(guan)理(li)(li)架构为公(gong)司数(shu)据(ju)(ju)安全管(guan)理(li)(li)提供保������障。公(gong)司遵循“责任明(ming)确(que)、授权合(he)理(li)(li)、流程规范(fan)、技(ji)管(guan)结合(he)”的工作(zuo)方针,建立了(le)(le)由数(shu)据(ju)(ju)治理(li)(li)领导小组、数(shu)据(ju)(ju)治理(li)(li)工作(zuo)小�������组、数(shu)据(ju)(ju)治理(li)(li)执行层(ceng)组成的三(san)层(ceng)管(guan)理(li)(li)组织架构,构建了(le)(le)数(shu)据(ju)(ju)安全三(san)道防线,并明(ming)确(que)了(le)(le)各(ge)层(ceng)级的职责归属,致力于打造更安全、透明(ming)、合(he)规、高(gao)效的管(guan)理(li)(li)体系。
▼表1 国泰君安数(shu)据安全管(guan)理架构
层(ceng)级
|
职责
|
数据治理领导小组
|
数(shu)(shu)据(ju)(ju)治(zhi)理领导小组是数(shu)(shu)据(ju)(ju)安全(quan)(quan)管理的议事决策(ce)机(ji)构,与公司IT治(zhi)理委员会合署,由董事长担任主任,总裁、首席信(xin)息官任副主任,负(fu)责组织制(zhi)定公司数(shu)(shu)据(ju)(ju)安全(quan)(quan)的总体方针、政(zheng)策(ce)制(zhi)度(du)、目(mu)标策(ce)略、工作计(ji)划及(ji)考核标准,统筹(chou)数(shu)(shu)据(ju)(ju)安全(quan)(quan)资源(yuan),并对公司的数(shu)(��������shu)据(ju)(�������ju)安全(quan)(quan)工作进行指导、评估及(ji)监(jian)督。
|
数据治理(li)工作(zuo)小组
|
数(shu)据治理(li)(li)领导小组下设工作小组,作为(wei)数(shu)据安全的管理(li)(li)层�����,负责推动(dong)各(ge)(ge)单元(yuan)落实数(shu)据治理(li)(li)领导小组����的各(ge)(ge)项工作要(yao)求(qiu)。
|
公(������gong)司(si)总部(bu)(bu)各部(bu)(bu)门、各分公(gong)司(si)数据治理专(zhuan)员
|
公司(si)总部各部门、各分(fen)公司(si)负(fu)责数(shu)据(ju)安全工作的具体执行(xing),在业(ye)务(wu)(wu)开展及经营管(guan)理(li)过程(cheng)中(zhong)对(dui)所(suo)在单位的数(shu)据(ju)负(fu)有安全管������(guan)理(li)职责,落实所(suo)辖业(��������ye)务(wu)(wu)、系统和流程(cheng)中(zhong)涉(she)及的数(shu)据(ju)安全管(guan)理(li)要求(qiu)和控制(zhi)策略。
|
(二)管理制度
为规范数(shu)(shu)据安(an)(an)全(quan)(quan)及(ji)隐(yin)私保(bao)(bao)护(hu)的(de)(de)(de)管(guan)(guan)理(li)体系,公(gong)司(si)制(zhi)定《国(guo)(guo)泰君(jun)安(an)(an)证券�������股份(fen)有(you)限(xian)公(gong)司(si)数(shu)(shu)据治理(li)工(gong)作管(guan)(guan)理(li)办法》《国(guo)(guo)泰君(jun)安(an)(an)证券股份(fen)有(you)限(xian)公(gong)司(si)业务(wu)系统(tong)权限(xian)与(yu)信息(xi)安(an)(an)全(quan)(quan)管(guan)(guan)理(li)办法》《国(guo)(guo)泰君(jun)安(an)(an)证券股份(fen)有(you)限(xian)公(gong)司(si)数(shu)(shu)据安(an)(an)全(quan)(quan)管(guan)(guan)理(li)实施细则》等(deng)制(zhi)度,适(shi)用于公(gong)司(si)总(zong)部(bu)各部(bu)门(men)、分支机构、子(zi)公(gong)司(si),明确了公(gong)司(si)数(shu)(shu)据安(an)(an)全(quan)(qu����an)的(de)(de)(de)主要目标、基本要求(qiu)、工(gong)作任务(wu)、保(bao)(bao)护(hu)措(cuo)施等(deng)重点,旨在防范因数(shu)(shu)据泄(xie)露或(huo)不正当(dang)使(shi)用个人信息(xi)导致的(de)(de)(de)风险,加强和(he)规范公(gong)司(si)网(wang)络及(ji)数(shu)(shu)据安(an)(an)全(quan)(quan)管(guan)(guan)理(li),保(bao)(bao)护(hu)公(gong)司(si)信息(xi)系统(tong)和(he)数(shu)(shu)据安(an)(an)全(quan)(quan)。
其中,《国(guo)泰(tai)君安(an)(an)证(zheng)券股份有(you)限公司数(shu)(shu)据(ju)(ju)安(an)(an)全管理实(shi)施细则》在数(shu)(shu)据(ju)(ju)分类分级的基础上明(min�������g)确了数(shu)(shu)据(ju)(ju)生命(ming)周期各阶段的安(an)(an)全保护要求(qiu),建(jian)立覆盖数(shu)(shu)据(ju)(ju)采集、数(shu)(shu)据(ju)(ju)展现、数(shu)(shu)据(ju)(ju)传输(shu)、数(shu)(shu)据(ju)(ju)处理、数(shu)(shu)据(ju)(ju)存(cun)储(chu)的安(an)(an)全管控框(kuang)架,持续(xu)推进数(shu)(shu)据(ju)(ju)在安(an)(an)全合规(gui)基础上的有(you)序流转。公司主要的线上对客(ke)服务APP(包括国(guo)泰(tai)君安(an)(an)君弘、国(guo)泰(tai)君安(an)(an)道(dao)合)已公开并明(ming)确告知(zhi)客(ke)户隐(yin)私(si)政(zheng)策,包括《国(guo)泰(tai)君安(an)(an)证(zheng)券互联网平台隐(yin)私(si)政(zheng)策》及《国(guo)泰(tai)君安(an)(an)道(dao)合平台隐(yin)私(si)政(zheng)策》。
▼表2 国泰君安(an)数(shu)据安(an)全����及隐私(si)保护政(zheng)策
类别
|
政策名称
|
适用范围
|
数据安全
|
《国泰(tai)君安证券股份有限公司(si)数据安全管理(li)实施细(xi)则(ze)》
|
公司总部各部门、各分公司,子公司参照管理细则开展数据安全管理工作。
|
隐私保护
|
《国(guo)泰君(jun)安证(zh�����eng)券互联(lian)网(wang)平(ping)台隐私政策》
|
包(bao)括国泰君安(an)君弘APP、君弘富易(yi)、君弘商城、国泰君安(a�����n)君弘公众号及其各子页面(mian)等。
|
《国(guo)泰君安道合(he)平台隐私(si)政策(ce)》
|
包(bao)括国(guo)泰(tai)君安道合APP、国(guo)泰(tai)君安道合中(zhong)英文网(wang)站、国(guo)泰(tai)君安道合微信(xin)小程序、国(gu�������o)泰(tai)君安道合微信(xin)服务号(hao)等。
|
二、数据安全管理措施
为应对潜在信息及(ji)隐(yin)私泄露事件(jian)并防范公(gong)司(si)(s�������i)数(shu)据(ju)安全保(bao)护机制(zhi)中可(ke)能存在的(de)风险,公(gong)司(si)(si)采取主(zhu)动和(he)被动相结合的(de)数(shu)据(ju)安全保(bao)护措施(shi),实(shi)现快速遏制(zhi)并缩小数(shu)据(ju)信息泄露事件(jian)对公(gong)司(si)(si)及(ji)客户权(quan)益的(de)负面影响。公(gong)司(si)(si)通过定期的(de)内外(wai)部审计核查(cha)确保(bao)信息安全政(zheng)策(ce)的(de)合规性,以及(ji)系(xi)统(tong)保(������bao)障(zhang)方(fang)面达到行(xing)业标准。
(一)主被动相结合的数据安全保护措施
公司(si)建立了高(gao)效的(de)应急响(xiang)������应和(he)预警机制(zhi),并采(cai)取主动与被(bei)动相结合的(de)措施维护数据安全,具体(ti)措施如(ru)下(xia):
主动措施
1.建立预警响应机制。针对发生的应急事件,对事件的基本情况、可能造成的影响范围和后果、已采取的防范措施及相关建议等信息进行详细报告,并按照事件的严重性和紧急程度,对各级别提出差异化预警处置要求、采取相应防范措施、预备应急所需的设备和资源;
2.建立(li)数(shu)据(ju)脱(tuo)敏(min)系(xi)统。系(xi)统具有精(jing)准的敏(min)感(gan)数(shu)据(ju)发现(xian)(xian)、丰富的数(shu)据(ju)脱(tuo)敏(min)算法、统一的敏(min)感(gan)元数(shu)据(ju)管(guan)理(li)、多重(zhong)的任务(wu)分(fen)发、多样的数(shu)据(ju)脱(tuo)敏(min)方式、保(bao)证(zheng)数(shu)据(ju)一致性、完善(shan)的安全(quan)审计与动态监控体(ti)系(xi)�����等功能。公司以数(shu)据(ju)脱(tuo)敏(min)系(xi)统为重(zhong)要工具平台,实(shi)现(xian)(xian)了客户(hu)隐私(si)的有效保(bao)护,提升了敏(min)感(gan)数(shu)据(ju)的安全(quan)处理(li)。
被动措施
1.建立应急管理组织架构,确定关键业务及其恢复目标,制定应急预案,配置充足关键信息技术资源,稳妥处置信息技术突发事件,积极开展应急演练和信息技术应急管理的评估与改进。应急管理组织架构包括应急指挥领导小组、应急处置工作小组、应急联动工作小组、应急策划工作小组。
2.建立应急响应机制,按照事件持续时间、数据损毁程度,以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度等事件特征,建立五级事件分级标准,并根据事件分级启动对应急处置流程,及时、有效地进行处置。
3.建立(li)应急保(bao)障机制,根据公司(si)业(ye)务(wu)影响分(fen)析和信(xin)(xin)息技术(shu)(shu)服务(wu)连(lian)续性(xing)风险评估(gu)结果,在信(xin)(xin)息技术(shu)(shu)服务(wu)连�����(lian)续性(xing)策略指导下,建设信(xin)(xin)息技术(shu)(shu)服������务(wu)连(lian)续性(xing)管理所(suo)需资源并定期(qi)维护,保(bao)障信(xin)(xin)息技术(shu)(shu)服务(wu)连(lian)续性(xing)计划(hua)顺利执行。
(二)政策及系统审计
通过ISO27001认证并接受年度审核
公司信息技术部、数据中心、数据平台运营部、资产托管部通过了ISO27001信息安全管理体系认证,覆盖公司100%数据中心、机房,适用公司绝大部分(90%以上)业务。
委托中国网络安全审查技术与认证中心(CCRC)进行认证和监督审核,认证范围包括国泰君安证券股份有限公司信息技术部、数据中心、数据平台运营部、资产托管部所承担的相关应用开发、运营、管理服务、灾备业务。
通过等级保护测评
公(gong)司(si)高度重视网络安(an)全(quan)(quan)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)工作(zuo),充分认识到等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)工作(zuo)既是国家对重要行业(ye)网络安(an)全(quan)(quan)保(bao)障(zhang)工作(zuo)提(ti)出的要求(qiu),也是证(zheng)券(quan)期货行业(ye)维(wei)护(hu)(hu)(hu)信息(xi)系统(tong)安(an)全(quan)(quan)运(yun)行,维(wei)护(hu)(hu)(hu)资(zi)本(ben)市场健康稳(wen)定发(fa)展的客观需要。公(gong)司(si)依(yi)据《信息(xi)安(an)全(quan)(quan)技术网络安(an)全(quan)(quan)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)基本(ben)要求������(qiu)》《证(zheng)券(quan)期货业(ye)网络安(an)全(quan)(quan)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)基本(ben)要求(qiu)》相(xiang)关要求(qiu)进(jin)行了(le)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)备案,并根(gen)据公(gong)司(si)信息(xi)系统(tong)定级(ji)情况,委托(tuo)外(wai)部机构每年度对公(gong)司(si)信息(xi)系统(tong)开展安(an)全(quan)(quan)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)测评工作(zuo)。此(ci)外(wai),公(gong)司(si)持续参与(yu)������金融行业(ye)及证(zheng)券(quan)行业(ye)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)标(biao)准(zhun)建设,推进(jin)等(deng)(deng)级(ji)保(bao)护(hu)(hu)(hu)标(biao)准(zhun)在行业(ye)的落地和完善优化。
开展信息安全及隐私保护内部审计
在内部审计(ji)方面,公(gong)司对(dui)照(zhao)《App违(wei)法违(wei)规收集使用个(ge)人(ren)信息行(xing)(xing)为(wei)认定(ding)方法》《工业和信息化(hua)部关于开展纵深(shen)推(tui)进APP侵害用户(hu�����)权(quan)益专项(xiang)整(zheng)治行(xing)(xing)动的通知》,每年度进行(xing)(xing)内部审计(ji)排(pai)查,并对(dui)发现的个(ge)人(ren)信息安全(quan)合(h�������e)规问题进行(xing)(xing)优化(hua)整(zheng)改。
三、客户隐私保护管理措施
公司严格(ge)遵守《信息(xi)安(an)全技(ji)术个人信息(xi)安(an)全规(gui)范》等法(fa)律(lv)法(fa)规(gui)及(ji)标(biao)准,在(zai)《国(guo)泰君安(an)证券互联网平台(tai)隐私政策》及(ji)《国(guo)泰君安(an)道合平台(tai)隐私政策》中(zhong),明确了在(zai)业务开展的(de)各个环节中(zhong)收集和处理客(ke)户(hu)信息(xi)、控制访问敏感(ga����n)数据(ju)、赋予客(ke)户(hu)权(quan)限、产品和服务开发等方面的(de)管理规(gui)范,以保障客(ke)户(hu)隐私信息(xi)。
(一)收集和处理客户信息
收集
公司根据合法、正当、必要、诚信、公开、透明的原则,基于相关政策所述的目的,收集和使用客户的个人信息。如果公司客户的个人信息用于政策未载明的其它用途,或基于其他特定目的而收集客户的个人信息,公司将以合理的方式告知客户,并在使用前再次征得客户的同意。
公司遵循“最小(xiao)限度、必(bi)要收集(ji)(ji)”原(yuan)则(ze),采(cai)集(ji)(ji)的数(shu)据(ju)符合业(ye)务开展�������������或经营管理需要,并与合同协议(yi)条款、隐私政策(ce)中(zhong)约定(ding)采(cai)集(ji)(ji)的内容保持(chi)一致,不超范围采(cai)集(ji)(ji)数(shu)据(ju)。在停止相关业(ye)务或无需继续执行数(shu)据(ju)采(cai)集(ji)(ji)时,将立即(ji)停止数(shu)据(ju)收集(ji)(ji)活动。
处理
在数据删除部分,公司将依据国家、行业主管部门及内部规章有关规定及与个人金融信息主体约定的时限等,针对不同类型的数据设定其数据保存期。超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据,将执行数据删除操作。
对公(gong)司委(wei)托(tuo)处(chu)理客(ke)户个(ge)人(ren)信(xin)息的(de)(de)公(gong)司、组织(zhi)(zhi��������)和(he)(he)个(ge)人(ren),公(gong)司会要(yao)求其仅按照公(gong)司的(de)(de)要(yao)求、隐私政策(ce)以及其他任何相关的(de)(de)保(bao)密和(he)(he)安全措施来处(chu)理个(ge)人(ren)信(xin)息。除(chu)特定情形及相关法(fa)律另有规定外(wai),公(gong)司不会向第(di)三方公(gong)司、组织(zhi)(zhi)或(huo)个(ge)人(ren)提供或(huo)转移客(ke)户的(de)(de)个(ge)人(ren)信(xin)息。
(二)敏感数据访问控制
针对客户个人数据(ju)和(he)敏感数据(ju),公(gong)司(si)从数据(ju)传输(shu)、������存储、使用(yong)、展示、共享等方面(mian)进行了严格�������的访问控制,并(bing)建立(li)相关数据(ju)安(an)全保护机制。
▼表3 国泰君(jun)安(an)数据安(an)全保护机制
环节
|
保护措施(shi)
|
数据传输
|
均使用加(jia)密协议,对传(chuan)输数据进行保护;
|
数(shu)据存储(chu)
|
采用加密存(cun)储方式,确保在移动端存(cun)储介质中的安全性,客(ke)户个人(ren)信息的存(cun)储时(shi)间为(w������ei)������业务必需的最短时(shi)间;
|
数据(ju)使用(yong)
|
公(gong)司支持全体(ti)员工(含数据(ju)(ju)处(chu)理(li)(li)人员)的(de)统(tong)一身份鉴别,身份标识具(ju)有(you)唯一性。对应(ying)用(yong)账(zhang)(zhang)(zhang)号、操作系统(tong)账(zhang)(zhang)(zhang)号、数据(ju)(ju)库账(zhang)(zhang)(zhang)号均(jun)按照“最(zui)小权(quan)限(xian)”原则(ze)进(jin)行(xing)(xing)(xing)授权(quan)管理(li)(li)并进(jin)行(xing)(xing)(xing)定期审计,并通过(guo)(guo)设置(zhi)网(wang)络防(fang)火(huo)墙、主机防(fang�����)火(huo)墙等方式限(xian)制访(fang)问源,通过(guo)(guo)安装(zhuang)主机入侵检测工具(ju)进(jin)行(xing)(xing)(xing)异常行(xing)(xing)(xing)为监(jian)测,以(yi)避免非法入侵或访(fang)问。在数据(ju)(ju)使用(yong)过(guo)(guo)程(cheng)中(zhong),公(gong)司已根据(ju)(ju)数据(ju)(ju)的(de)重要性及(ji)敏感程(cheng)度,进(jin)行(xing)(xing)(xing)了数据(ju)(j�������u)分类分级(ji),并要求(qiu)业(ye)务系统(tong)对于敏感数据(ju)(ju)的(de)显(xian)示进(jin)行(xing)(xing)(xing)脱(tuo)敏处(chu)理(li)(li),严格限(xian)制用(yong)户查看和下载权(quan)限(xian);
|
数据(ju)展(zhan)示
|
公(gong)司(si)APP客户端对手机号码(ma)、交(jiao)易账号等客户敏(min)感数据进行屏蔽(bi)显���示,平台页面增(zeng)加����背景水印,降低个人敏(min)感数据截图泄露(lu)风险;
|
数据共享
|
针对敏(min)感数(shu)据,公司(si)根据业务(wu)需(xu)求实(shi)施静(jing)态(tai)脱(tuo)敏(min)和动(dong)态(tai)脱(tuo�����)敏(min),实(shi)现(xian)非必要场景下的个人信(xin)息(xi)去标识化。
|
(三)赋予客户权限
公司保障客户对自己个人信息行使查阅、复制、转移、更正、删除、更改或撤回授权同意的范围、注销账户、拒绝个性化推荐,以及《中华人民共和国个人信息保护法》等规定的其他权利,并提供客服热线和客服邮箱以便客户随时联系。相关客户权利的详细说明,可参见公开发布的及。
我们设立了专门的个人信息保护团队和个人信息保护负责人,您可以将您的需求发送至我们的邮箱:grxxbh@gtjas.com。
(四)产品和服务开发规范
公司在产品(pin)和服务开发过程中(zhong),通过及时更新(xin)《国泰君安证券互联网平台(tai)隐私政策(ce)》,制定《证券APP个人信(xin)(xin)(xin)息保护技术标准(zhun)》等,对(dui)个人信(xin)(xin)(xin������)息全生命周期采取(qu)安全保障措施,具体(ti)措施如(ru)采用(yong)安全键盘(pan)进行(xing)输(shu)入、使用(yong)https进行(xing)加密传输(shu)、C3类(lei)别个人金融信(xin)(xin)(xin)息(主要为(wei)各类(lei)账户密码)不在客户端中(zhong)落地(di)存储、客户信(xin)(xin)(xin)息分级权(quan)限(xian)管理等,以严格保障用(yong)户个人信(xin)(xin)(xin)息,最(zui)大限(xian)度地(di)减少对(dui)个人权(quan)益的潜在负面(mian)影响。
四、数据安全管理配套措施
(一)对员工及外包人员开展培训
公司重视数据安全与隐私保护的培训与考核,定期对公司总部、分公司、子公司所有员工进行培训,并每年对信息技术条线的外包人员进行数据安全培训,如公司曾开展“网络安全周——上海市委网信办网络安全知识培训”系列培训,含《中华人民共和国数据安全法》解读、数据出境安全合规解读、数据要素与数据交易安全防护、智能网联汽车数据安全、数据安全管理认证工作解读等多个培训主题。
公司定期开(kai)(kai)展(zhan)(zh������an)线(xian)上(shang)培(pei)训、钓鱼(yu)邮件(jian)测试、现(xian)场案(an)例(li)体验等多(duo)样(yang)化(hua)(hua)活动,将(jiang)数(shu)据安全(quan)培(pei)训工作(zuo)体系(xi)化(hua)(hua)、规范(fan)化(hua)(hua),并紧密结合实际工作(zuo),提高员(yuan)工日(ri)常办公和展(zhan)(zhan)业过程中的数(shu)据安全(quan)防护水平。公司通(tong)过现(xian)场、线(xian)上(shang)、邮件(jian)传达等多(duo)种形(xing)式开(kai)(kai)展(zhan)(zhan)合规风控文化(hua)(hua)培(pei)训宣(xuan)导,并通(tong)过开(kai)(kai)展(zhan)(zhan)钓鱼(yu)邮件(jian)测试����对集团(tuan)全(quan)体员(yuan)工进行防钓鱼(yu)攻击知识宣(xuan)贯,加深(shen)员(yuan)工对数(shu)据安全(quan)风险和防范(fan)技(ji)巧的认知能力。
(二)供应商数据安全管理
公司在不断提升自身数据安全及隐私保护水平的同时,积极推动供应商及合作伙伴完善数据安全管理。针对所有供应商合作伙伴,公司要求其数据合作必须遵守国泰君安的数据安全管理要求。公司参照《证券期货业网络和信息安全管理办法》《证券基金经营机构信息技术管理办法》《国泰君安股份有限公司供应商管理办法》等制度文件的要求,在前期商务阶段、中期实施阶段、后期验收阶段及供应商考核,全方位检验供应商及合作伙伴对信息安全的遵守情况,并在供应商考核中明确列出了数据安全相关指标,以助力提高行业整体数据安全水平。
版(ban)权所有 © 国(guo)泰君安证券股份有限公司(si)
由(you)国(guo)泰(tai)君安证券股份有限(�����xian)公司ESG与(yu)可持(chi)续发展(zhan)委员会于(yu) 2024 年 8 月 16 日(ri)更(geng)新
