信息安全管理制度

最后更新日期：2026年6月23日

武汉王派医学教育科技有限公司（以下简称"公司"）高度重视信息安全，为保障平台及用户信息安全，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规，特制定本《信息安全管理制度》。

一、信息安全组织架构

1.1 信息安全领导小组

公司设立信息安全领导小组，由公司主要负责人担任组长，统筹负责信息安全管理工作。主要职责包括：

• 制定信息安全战略和方针政策；
• 审批信息安全管理制度和规范；
• 协调信息安全重大事项；
• 监督信息安全工作落实情况。

1.2 信息安全工作小组

设立信息安全工作小组，由技术负责人牵头，成员包括技术开发、运维、客服等部门人员。主要职责包括：

• 落实信息安全管理制度；
• 负责日常信息安全运维管理；
• 处理信息安全事件；
• 开展信息安全培训与宣传。

二、信息安全管理体系

2.1 人员安全管理

• 入职管理：新员工入职须签署保密协议，进行信息安全培训；
• 权限管理：按照"最小权限"原则分配系统访问权限，定期审核权限；
• 离岗管理：员工离岗时及时收回系统权限，签署离职保密承诺书；
• 培训教育：定期开展信息安全培训，提高全员安全意识。

2.2 资产安全管理

• 建立信息资产清单，明确资产责任人；
• 对重要信息资产进行分类分级管理；
• 定期进行资产盘点，确保资产安全可控。

2.3 网络安全管理

• 部署防火墙、入侵检测系统等网络安全设备；
• 实施网络访问控制，划分安全域；
• 定期进行网络安全漏洞扫描和渗透测试；
• 部署DDoS防护、WAF等安全防护措施。

三、数据安全管理

3.1 数据分类分级

对平台数据进行分类分级管理，分为公开数据、内部数据、敏感数据和核心数据四个等级，针对不同等级采取不同的保护措施。

3.2 数据存储安全

• 敏感数据（如用户密码、身份证号等）采用加密存储；
• 数据库实施访问控制，仅授权人员可访问；
• 定期进行数据备份，确保数据可恢复；
• 数据存储在中华人民共和国境内的服务器上。

3.3 数据传输安全

• 全站采用HTTPS加密传输协议；
• 敏感数据传输采用SSL/TLS加密；
• API接口采用签名认证机制。

3.4 数据使用安全

• 数据使用须经审批，记录操作日志；
• 禁止将用户数据用于未经授权的用途；
• 数据共享须经用户同意，并签署数据处理协议。

3.5 数据销毁

• 超过存储期限的数据及时删除或匿名化处理；
• 用户注销账号后，按照法律法规要求处理其个人信息；
• 数据销毁过程记录存档。

四、系统安全管理

4.1 系统访问控制

• 实施账号密码认证，密码须符合复杂度要求；
• 重要系统启用双因素认证；
• 账号登录实施异常检测，发现异常及时处置。

4.2 系统运维安全

• 系统变更须经过测试和审批；
• 定期进行系统安全漏洞扫描和修复；
• 操作系统和应用程序及时更新安全补丁；
• 运维操作须记录审计日志。

4.3 日志管理

• 记录系统访问日志、操作日志、安全日志等；
• 日志保存期限不少于6个月；
• 定期分析日志，发现安全威胁及时处置。

五、个人信息保护

公司严格遵守个人信息保护相关法律法规，具体保护措施详见《隐私政策》。主要包括：

• 遵循合法、正当、必要原则收集个人信息；
• 明确告知用户信息收集目的、方式和范围；
• 取得用户同意后收集和使用个人信息；
• 采取技术措施和管理措施保护个人信息安全；
• 保障用户查阅、更正、删除等权利。

六、内容安全管理

• 建立内容审核机制，对用户发布内容进行审核；
• 禁止发布违法、淫秽、暴力、歧视等不良信息；
• 发现违规内容及时删除，并追究发布者责任；
• 配合相关部门进行内容安全管理。

七、安全事件应急预案

7.1 应急组织

成立安全事件应急响应小组，负责安全事件的发现、报告、处置和恢复工作。

7.2 应急流程

1. 事件发现：通过安全监控、用户举报等渠道发现安全事件；
2. 事件报告：发现安全事件后立即向应急响应小组报告；
3. 事件评估：评估安全事件的影响范围和严重程度；
4. 应急处置：采取隔离、修复、恢复等措施处置安全事件；
5. 事件通报：按照法律法规要求向监管部门和用户通报；
6. 事后总结：总结经验教训，完善安全措施。

7.3 用户通知

如发生个人信息泄露等安全事件，我们将按照《中华人民共和国个人信息保护法》要求，及时通知用户和相关部门，告知事件情况、可能影响及已采取的应对措施。

八、安全审计与评估

• 定期开展信息安全内部审计；
• 每年至少进行一次信息安全风险评估；
• 委托第三方机构进行安全测评；
• 根据审计和评估结果持续改进安全措施。

九、 compliance 合规管理

• 遵守《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律法规；
• 持有ICP备案（鄂ICP备18002255号-1）；
• 持有增值电信业务经营许可证（鄂B2-20200229）；
• 完成公安机关网络安全备案（鄂公网安备 42018502004629号）；
• 配合监管部门的检查和指导。

十、附则

10.1 本制度自发布之日起生效，由信息安全工作小组负责解释和修订。

10.2 本制度将根据法律法规变化和技术发展定期更新。

10.3 如对本制度有任何疑问，请联系：

• 客服电话：400-999-120-1
• 电子邮箱：wangpaiyixue@163.com
• 公司地址：湖北省武汉市洪山区卓刀泉路108号凯乐桂园S-1栋A单元12层5号房