信息安全方针：规范信息管理，保障信息安全,提升信息技术，服务公司经营。

公司全体员工应严格按ISO/IEC 27001 标准的要求，建立、实施、保持和改进公司信息安全管理体系，不断提升信息安全意识，规范信息生命周期过程的管理，持续识别和控制信息安全的风险，保证公司所有信息的安全。不断加大对信息设备的投入，提升信息技术水平，为公司经营提供高效、便捷、安全的服务，确保总体业务系统持续可靠地运行。

信息安全目标：

1. 顾客保密性抱怨/投诉的次数不超过1起/年。
2. 内部审核及管理评审实施及时率100%。
3. 内部审核不符合项整改率100%。
4. 员工入职培训完成率100%。
5. 年度信息安全培训人员覆盖率100%。
6. 信息安全培训计划完成率100%。
7. 员工劳动合同签订率100%。
8. 受控信息泄露的事件发生不超过2起/年。
9. 机密信息泄露的事件每年不超过0起。
10. 重要信息设备丢失每年不超过0起。
11. 网络故障导致关键业务中断时间每年累计不超过4小时。
12. 大面积感染计算机病毒次数不得超过1次。
13. 运行业务系统的相关服务器故障导致关键业务中断次数不得超过1次。
14. 计算机故障处理完成率100%。
15. 容量不足导致业务故障次数小于等于1起。
16. 服务中心的电话系统正常运行率99.9%。
17. 邮件服务器连通率99.9%。
18. 各业务系统连通率99.9%。
19. 软件系统故障率不超过0.1%。
20. 硬件故障解决率99.9%。
21. 系统设计中数据在传输和存储过程中被加密的覆盖率100%。
22. 系统关键数据完整备份每天一次。
23. 系统代码审计覆盖率100%。
24. 系统重大变更评估报告满足评审委员会审核标准的比例100%。
25. 对业务系统进行漏洞扫描及渗透测试每年2次。
26. 重大安全事件响应时间1小时内。
27. 发现安全漏洞后进行响应和初步调查的时间要求24小时内。
28. 高危漏洞修复时间72小时内。
29. 中危漏洞修复时间30天内。
30. 低危漏洞修复时间90天内。
31. 向管理层报告信息安全事件时限24小时内。