ICS 03.080.20 CCS A16 团 体 标 准 T/IMAS 103—2025 物业项目信息安全管理规程 Property project information security management regulations 2025 - 09 - 04 发布 2025 - 09 - 20 实施 内蒙古标准化协会 发 布 全国团体标准信息平台 全国团体标准信息平台 T/IMAS 103—2025 I 目 次 前 言 ........................................................................... II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 一般规定 ............................................................................ 1 5 信息归集 ............................................................................ 2 6 信息安全存储管理 .................................................................... 2 7 信息使用传递安全管理 ................................................................ 3 8 信息安全检查 ........................................................................ 3 9 应急响应与处置 ...................................................................... 3 参 考 文 献 ........................................................................ 5 全国团体标准信息平台 T/IMAS 103—2025 II 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古嘉泰物业服务有限公司提出。 本文件由内蒙古标准化协会归口。 本文件起草单位：内蒙古嘉泰物业服务有限公司、人网（北京）信息科技有限公司、内蒙古宏泰物 业服务评估监理有限公司、内蒙古中天亿城物业服务集团有限公司、呼和浩特市物业服务中心、和林格 尔县城市管理综合执法大队。 本文件主要起草人：苗文军、周利兵、王改玲、王波、李树绿、王锋、杜云静、刘欣、李精文、杨 娟、宋艳、薛文萍、刘玲玲、李勇、吕文涛、赵利桃、皇甫燕、贾晓峰、安立文、徐秀冬、孙海涛、连 海波、杨可心、王东、曹林、刘嘉诚、王慧。 全国团体标准信息平台 T/IMAS 103—2025 1 物业项目信息安全管理规程 1 范围 本文件规定了物业项目信息安全管理的术语和定义、 一般规定、 信息归集、 项目信息安全存储管理、 信息使用传递安全管理、信息安全检查、应急响应与处置的要求。 本文件适用于物业项目信息安全管理。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 物业项目信息 property project information 在物业管理活动中产生、收集的各类信息，包括但不限于物业项目建设信息、业主信息、财务数据 以及日常管理信息等。 点对点传输 peer-to-peer transmission 在物业项目信息安全管理中，两个特定授权节点之间直接进行数据交换的通信方式。该传输过程需 通过安全的、受控的通信通道（如加密协议）实现，确保信息在传递过程中的机密性与完整性，防止窃 取或篡改。 4 一般规定 信息管理部门 设立信息安全管理部门，安全管理部门要求如下： —— 设立负责人岗位，并明确负责人的职责； —— 设立专门的管理员岗位，并明确管理人员岗位职责； —— 根据各个部门和岗位的职责明确授权审批部门及批准人，对信息收集、传递及查阅等关键活 动进行审批，并保存关键活动的审批过程记录； —— 管理员应负责定期进行信息资料安全检查，检查内容包括系统日常运行、网络环境、物理环 境、数据备份等情况，并保存检查记录。 信息管理人员 4.2.1 人员录用 人员录用要求如下： —— 规范人员录用过程，对被录用人员的身份、背景、专业资格和信用记录等进行审查，对其所 具有的技术、技能进行考核，并记录审查内容和审查结果； —— 与被录用人员签署保密协议。 4.2.2 人员离岗 人员离岗要求如下： —— 规范人员离岗过程，及时终止离岗员工的所有访问权限，并保存相关记录； —— 收回系统文件密码、管理空间钥匙以及部门提供的软硬件设备，并保存相关记录； —— 做好信息文件交接，并保存相关记录。 全国团体标准信息平台 T/IMAS 103—2025 2 4.2.3 人员考核 定期对信息管理各岗位的人员进行工作考核，并对考核内容和考核结果等内容进行记录，对违反信 息安全管理规定的人员给予严肃处理，对造成信息安全事故的依法追究当事人和有关负责人的责任， 并 以适当方式通报。 人员培训 4.3.1 制定信息安全培训计划。培训内容可以包括信息安全政策、风险防范措施、密码安全等内容。 4.3.2 定期开展信息安全培训活动，通过宣传、演练等方式，提高员工的信息安全意识和技能水平。 4.3.3 鼓励员工积极参与信息安全管理工作，提出改进意见和建议，共同维护项目信息安全。 4.3.4 参与物业信息系统的合作方， 也应当加强对信息系统安全意识的培训， 提升信息安全保护认知。 5 信息归集 按照《中华人民共和国民法典》《中华人民共和国个人信息保护法》《物业管理条例》等法律法 规对项目需要的信息进行归集。 项目信息归集内容如下： —— 物业项目建设信息，包括：项目基础数据、设备清单、竣工图纸等； —— 业主信息，包括：业主姓名、身份证复印件、联系方式等； —— 财务数据，包括：收费记录、欠费记录等； —— 日常管理信息，包括：报修记录、监控录像存储、门禁刷卡记录、访客记录等。 6 信息安全存储管理 纸质信息资料存储要求： —— 按照信息类别进行分类； —— 根据信息类别规定存储期限，过期信息应按照规定流程销毁，需保存销毁记录； —— 设立专门用于存储信息档案的空间和设备； —— 存储空间应干燥、整洁，配置相应的防火、防鼠、防潮、防盗设施； —— 业主信息单独存放于加密保密柜，由专人双锁管理，非经授权不得接触。 电子档案信息存储要求： —— 配置专用的电子信息存储设备； —— 设备和文件采用双重加密的方式存储； —— 定期进行信息资料的备份，备份件与源文件存储在不同的介质中； —— 业主电子信息采用独立加密分区存储，密钥由信息安全管理部门负责人与管理员分别保管， 访问需双人授权； —— 业主敏感信息（如身份证号）需进行脱敏处理后存储，原始数据加密存储于离线设备。 根据物业项目信息的敏感性、重要性等特征， 将其划分为不同等级（其中业主信息为最高等级） 。 针对不同等级的信息，采取相应的物理、技术和管理措施保护。具体措施包括： —— 访问控制：对不同安全等级的信息存储区域（如档案室、机房）实施分级门禁管理，限制无 关人员进入，并记录出入日志； —— 环境防护：配置防火、防水、防潮、防鼠、防盗设施（如灭火器、监控摄像头、恒温恒湿设 备），确保存储环境安全； —— 介质管理：纸质档案分类存放于专用保密柜，电子存储介质（如服务器、硬盘）需置于受控 区域，废弃介质须彻底销毁； —— 加密保护： 对高敏感电子信息采用双重加密， 传输时通过 SSL/TLS等安全协议保障通道安全； —— 权限隔离：基于信息等级设置访问权限，实现数据分级访问控制，禁止越权操作； —— 审计追踪：部署日志管理系统，记录信息的访问、修改、传输等操作（包括时间、人员、行 为），定期分析异常行为； —— 备份容灾：对核心数据实施异地备份，定期测试备份可用性；关键系统需具备冗余部署能力。 全国团体标准信息平台 T/IMAS 103—2025 3 7 信息使用传递安全管理 根据职责和需要，分配相应的信息使用及批准权限，并定期进行审查和更新，并建立信息使用审 批流程。 严格控制信息的使用权限，实行最小权限原则，确保只有经过授权的人员才能使用相关信息。 信息使用人要按照信息使用审批流程提起信息使用申请， 信息管理人员要如实记录