中國重汽（香港）有限公司

信息安全政策

一、目的

為強化中國重汽集團信息安全管理體系，明確全員信息安全責任，保護數據完整性，防范信息安全威脅，確保集團信息資產（含商業數據、保密信息、知識產權及IT資源）的安全可控，支撐集團業務穩定運營與合規發展，特制定本政策。

二、適用范圍

本政策適用于中國重汽集團全體員工，以及所有與集團進行業務往來的“商業伙伴”（包括但不限于客戶、供應商、代理商、經銷商、服務商、第三方中介機構等）。

三、核心承諾與要求

3.1 持續改進信息安全體系

中國重汽集團承諾通過定期評估、風險監測與技術升級，持續優化信息安全管理體系，確保其與集團業務發展、法規要求及技術環境變化相適應，有效應對新型信息安全挑戰。

3.2 確保數據的完整性與保護

集團嚴格保護所有業務數據（含財務、客戶、研發、運營等數據）的完整性，通過加密存儲、訪問控制、備份恢復等技術與管理措施，防止數據篡改、丟失或損壞，確保數據在全生命周期內的準確性、可用性與安全性。

3.3 監控并應對信息安全威脅

中國重汽集團建立覆蓋網絡、系統、終端及人員行為的信息安全監控機制，實時識別潛在威脅（如網絡攻擊、數據泄露、惡意軟件等）；通過應急預案、事件響應流程及定期演練，快速處置安全事件，降低風險影響，保障業務連續性。

3.4 明確全體員工的信息安全責任

集團全體員工（含管理人員）是信息安全的第一責任人，須嚴格遵守集團信息安全政策與操作規范，主動識別并報告安全隱患，禁止任何違規操作（如泄露保密信息、使用弱密碼、連接未授權設備等）；管理層須以身作則，推動信息安全文化落地，確保責任落實到崗到人。

3.5 對第三方（如供應商）建立信息安全要求

中國重汽集團要求所有第三方合作伙伴（含供應商、服務商等）在合作期間遵守同等信息安全標準，通過合同條款明確其數據保護義務、訪問權限限制及違規責任；合作前開展信息安全能力評估，合作中定期監督，確保第三方處理集團信息時符合集團安全要求，防范供應鏈安全風險。

3.6 信息安全監督管理責任

中國重汽集團設立由董事長負責的網絡安全和信息化領導小組，作為集團信息安全監督管理的最高決策機構，全面負責信息安全工作的戰略規劃、重大事項決策及監督執行。

四、配套管理要求

4.1 員工行為規范

集團全體員工須嚴格保護保密信息（如客戶數據、研發資料等），禁止外傳、私自留存或未授權使用，離開工位時及時鎖屏；使用集團IT設備須設置高強度密碼并定期更新，公共網絡處理敏感信息時啟用加密通信；發現可疑郵件、系統漏洞等異常情況，須立即向信息安全部或直屬經理報告。

4.2 監督與改進機制

集團定期開展信息安全審計與事件復盤，通過漏洞排查與根因分析持續優化防護措施；同步落實年度全員信息安全培訓及關鍵崗位專項教育，全面提升員工風險識別與合規意識。