一、声明目的

为保障北汽福田信息的保密性、完整性和可用性，防范内外部信息安全风险，支持业务持续开展，并满足相关法律法规、合同及监管要求，特制定并发布本信息安全管理声明。

二、管理承诺

北汽福田最高管理层郑重承诺：

1)      领导支持：提供必要的资源（人力、资金、技术），建立、实施、维护并持续改进信息安全管理体系（ISMS）。

2)      风险导向：基于业务风险，定期开展信息安全风险评估，采取适当控制措施。

3)      合规遵循：遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及国内外行业特定法规（如GDPR、CSR、GSR等，视情况填写）。

4)      持续改进：通过内部审计、管理评审、纠正预防措施，不断提升信息安全管理水平。

5)      事件响应：建立信息安全事件应急响应机制，及时处理并报告重大安全事件。

三、适用范围

本声明适用于：

1)      组织范围：北汽福田所有部门、分支机构、外包服务涉及的信息资产。

2)      人员范围：全体员工、临时人员、第三方合作方、访客等。

3)      资产范围：所有信息系统、网络设备、数据文件、纸质文档、人员知识、软件、硬件、云服务等。

4)      物理范围：总部、事业部、全资子公司及控股的合资公司所有办公场所、数据中心、会议室、移动办公环境等。

四、信息安全管理原则

1)      最小权限：按业务需要授予用户最小必要权限，定期审查授权。

2)      默认隐私：在处理个人信息时，默认采用去标识化、加密等保护措施。

3)      纵深防御：采用网络隔离、访问控制、入侵检测、端点防护等多层安全机制。

4)      业务连续性：关键系统应具备容灾备份与应急恢复能力。

5)      安全左移：在系统设计、开发阶段即嵌入安全要求。

五、主要控制措施摘要

1)      访问控制：密码策略符合复杂度与更换周期要求。

2)      数据保护：传输与存储过程中的敏感数据须加密，密钥由专人管理。

3)      操作安全：记录日志并定期审计，变更管理需经过审批。

4)      物理与环境安全：机房设置门禁、监控及温湿度控制设备。

5)      供应链安全：与供应商签订保密及安全协议，定期评估其安全能力。

6)      培训与意识：每年至少组织一次全员信息安全培训及钓鱼模拟测试。

六、责任与问责

1)      各部门党委书记/党支部书记为本部门信息安全管理第一责任人。

2)      流程与数字化部负责制定制度、监控风险、组织应急演练。

3)      员工违反信息安全制度将依据相关管理制度或法律法规追究责任，严重者移交法律处理。

4)      第三方合作方违反安全要求，将按合同条款追究责任。

七、声明生效与更新

1)      本声明自发布之日起生效。

2)      每年至少复审一次，或在发生重大安全事件、业务环境变更时及时修订。

八、联系方式

如发现信息安全漏洞或有任何安全建议，请联系：

•      信息安全部：[zhangzhiqiang21/18518098330]

•      应急响应热线：[01056755213]