数据安全分类分级规范.docx

《数据安全分类分级规范.docx》由会员分享，可在线阅读，更多相关《数据安全分类分级规范.docx（27页珍藏版）》请在第一文库网上搜索。

1、数据分类分级安全管理办法XX股份有限公司20XX年XX月目录第一章总则3第一条【目的依据】3第二条【管控范畴】3第三条【适用范围】3第四条【适用范围】.4第三章数据分类分级4第一节数据分类4第五条【数据分类管理】4第六条【用户身份相关数据（A类）】5第七条【用户服务内容数据（B类）】6第八条【用户服务衍生数据（C类）】6第九条【企业运营管理数据（D类）】7第二节数据分级8第十条【数据级别划分】8第十一条【数据分级原则】9第十二条【数据分级明细】9第四章数据对外分级管理10第一节开放形式10第十三条【数据开放形式】10第十四条【原始数据定义】10第十五条【脱敏数据定义】10第十六条【标签数据定义

2、】10第十七条【群体数据定义】H第二节数据分级管控要求11第十八条【通用数据分级管控要求】11第十九条【第4级数据管控要求】12第二十条【第2、3级数据管控要求】12第二十一条【第1级数据管控要求112第三节数据对外开放管控12第二十二条【数据对外开放原则】12第二十三条【数据对外开放审批流程】13第二十四条【用户个人信息对外开放管控】14第二十五条【企业管理数据对外开放管控】15第二十六条【数据输出管控意义解释】17第二十七条【数据对外开放要求】18第四节数据对内开放管控18第二十八条【数据对内开放管控】18第五章数据对内分级管理19第二十九条【采集环节管控要求】19第三十条【传输环节管控要

3、求】20第三十一条【存储环节管控要求】21第三十二条【使用环节管控要求】22第三十三条【共享环节管控要求】23第三十四条【销毁环节管控要求】25第一章总则第一条【目的依据】为促进XX股份有限公司（以下简称XXXX）数据业务健康有序发展，保障公司数据资产安全，保障用户合法权益，进一步提高XXXX数据安全管控能力，驱动公司精细化、智能化管理，参阅信息安全技术大数据安全管理指南、信息安全技术个人信息安全规范、信息安全技术个人信息去标识化指南、关于印发中国XX用户个人信息保护工作提升实施细则的通知（中国XX（20XX）XXX号）、关于印发中国XX用户个人信息管理办法（试运行）的通知（中国XX（20XX

4、）XXX号）文件特制定本管理办法。本管理规范主要针对XXXX数据安全管控分类分级进行规范。规范内容主要包括：对XXXX数据进行分类分级，不同级别敏感数据开放管控实施要求。第二条【管控范畴】XXXX业务支撑域系统（BSS域）、运营支撑域系统（OSS）,管理支撑域系统（MSS）、企业数据应用域（EDA）、IT管控域（ITM）等五大领域相关系统开展数据分类分级管理，适用于本办法。第三条【适用范围】本办法是公司开展数据分类分级安全管理工作的基本制度。第四条【适用范围】本办法适用于XXXX省公司各部门及所属各单位（以下简称各单位）。第三章数据分类分级第一节数据分类第五条【数据分类管理】根据信息安全技术大

5、数据安全管理指南、关于印发中国XX用户个人信息保护工作提升实施细则的通知（中国XX（2013）411号），结合XXXX自身业务数据特点明确对数据进行分类分级,为规范XXXX数据分类分级管理，将XXXXBSS域系统、OSS域系统、MSS域系统、EDA域系统、ITM域系统等数据整合，将数据分为（A类）用户身份相关数据、（B类）用户服务内容数据、（C类）用户服务衍生数据、D类）企业运营管理数据四大类。类别子类及范围（A类）用户身份相关数据（AD用户身份和标识信息：（A1T）自然人身份标识、（A1-2）网络身份标识、（1-3）用户基本资料、（A1-4）实体身份证明、（A1-5）用户私密资料（A2）用户

6、网络身份鉴权信息：（A2-1）密码及关联信息（B类）用户服务内容数据（BD服务内容和费料数据：（B1T）服务内容数据、（Bb2）联系人信息（C类）用户服务衍生数据（CD用户服务使用数据：（CIT）使用通信服务订购的业务信息、（C1-2）服务记录和日志、（C1-3）消费信息和账单、（C1-4）位置数据、（C1-5）违规记录数据（C2）设备信息：（C2-1）设备标识、（C2-2）设备资料(DD企业管理数据：(Db1)：企业内部核心管理数据、(D1-2)：企业内部(D类)企业运营管理数据(企业运营管理数据依据其商业价值，分为“核心”、“重要”、“一般”、“公开”四类数据。)重要管理数据、(D1-3)

7、：企业内部一般管理数据、(D1-4)：市场核心经营类数据、(D1-5)：市场重要经营类数据、(D1-6)：市场一般经营类数据、(D1-7)：企业公开披露信息、(D1-8)：企业上报信息(D2)业务运营数据：(D2-1)：重要业务运营服务数据、(D2-2)：一般业务运营服务数据、(D2-3)：业务运营服务数据、(D2-4)：数字内容业务运营数据(D3)网络运维数据：(D3-1)：网络设备及IT系统密码及关联信息、(D3-2)：核心网络设备及IT系统资源数据、(D3-3)：重要网络设备及IT系统资源数据、(D3-4)：一般网络设备及IT系统资源数据、(D3-5)：公开网络设备及IT系统资源数据、(

8、D3-6)：公开网络设备及IT系统支撑据(D4)合作伙伴数据：(D4-1)：渠道基础数据、(D4-2)：CP/SP基础数据*第六条【用户身份相关数据(A类)】用户身份相关数据包括用户身份标识信息和用户网络身份鉴权信息。子类范围对应数据A1用户身份和标识信息A1-1：自然人身份标识用户姓名、代办人的姓名、证件类型及编号、驾照编号、银行账户、用户实体编号、企业用户编号、企业用户名称、企业用户负责人联系人信息等可以精确标识定位具体实体用户的信息A1-2：网络身份标识联系电话、邮箱地址(如189邮箱地址)、网络用户编号、即时通信账号(如翼聊)、网络社交用户账号、金融用户账号(翼支付)等可以精确标识网络

9、用户或通信用户的信息A13:用户基本资料用户职业、工作单位、年龄、性别、籍贯、兴趣爱好等；企业用户所在省市、所在行业、企业用户签约时间及协议到期时间、单位成员个人、企业用户办公或注册地址、用户社会化生活实体编号(如水表号、社保号等)基本资料等A1-4：实体身份证明身份证、护照、驾照、营业执照等证件影印件等；指纹、声纹、虹膜等；各类用户的业务登记资料、入网协议、业务申请/变更/终止协议、与单位客户签订的各类商业合作合同、业务招投标书等A1-5：用户私密资料揭示个人种族、家属信息、居住地址、宗教信仰、基因、个人健康、私人生活等有关的用户私密信息征信业管理条例等法律、行政法规规定禁止公开的用户其他信

10、息A2：用户网络身份鉴权信息A2-1：用户密码及关联信息用户网络身份密码及关联信息，如：手机客服密码、189邮箱密码、翼聊密码、掌厅/网厅密码、W1an密码、翼支付等交易密码，以及这些密码关联的密码保护答案等第七条【用户服务内容数据（B类）】用户服务内容数据包括用户服务内容数据和联系人信息。子类范围对应数据B1：服务内容和资料数据B1-1：服务内容数据XX网服务内容数据：短信、彩信、话音等通信内容移动互联网服务内容信息：包括：翼聊、翼支付、掌厅、网厅、189邮箱等移动互联网服务所涉及通话内容、即时通信内容、群内发布内容、数据文件、邮件内容、用户上网访问内容等；用户云存储、SDN、IDC等存储或

11、缓存的非公开的私有文字、多媒体等资料数据信息B1-2：联系人信息用户通讯录、好友列表、群组列表等用户资料数据第八条【用户服务衍生数据（C类）】用户服务验证数据主要包括用户服务使用数据和设备信息。子类范围对应数据C1：用户服务使用数据C1-1：使用通信服务订购的业务信息基本业务订购关系：品牌、套餐定制等情况增值业务订购关系：189邮箱、翼聊、来显、彩铃、翼支付等增值业务的注册、修改、注销C1-2：服务记录和日志服务详单及信令：包括语音、短信、彩信和GPRS详单、2G3G1TE用户面XDR及信令面XDR等，内含主叫号码、主叫归属地、被叫号码、开始通信时间、时长、流量等信息移动互联网服务记录：包括C

12、ookie内容、上网日志、连接APP等，内含主叫号码、网址、网购记录等C1-3：消费信息和账单消费信息：停开机、入网时间、在网时间、积分、预存款、信用等级、信用额度、缴费信息、欠费信息、账户余额变动信息、账号信息、付费方式、翼支付余额、交易历史记录账单：每月出账的固定费用、通信费用、欠费信息、数据费用、代收费用C1-4：位置数据精确位置信息（如小区代码、基站号、基站经纬度坐标等）大致位置信息（如地区代码等）C1-5：违规记录数据用户违规记录，包括垃圾短信、骚扰电话等记录、黑名单、灰名单等业务违规记录，包括端口滥用、违规渠道、不良网站域名等记录、黑名单、灰名单等C2：设备信息C2-1：终端设备标

13、识唯一设备识别码IMEI、设备MAC地址、SIM卡IMS1信息等等可以精确标识定位具体设备的信息C2-2：终端设备资料终端型号、品牌、厂商、OS类型、预置安装软件应用、使用时长等第九条【企业运营管理数据（D类）】企业运营管理数据包括企业管理数据、业务运营数据、网络及IT系统运维数据和合作伙伴数据。子类范围对应数据D1：企业管理数据D1-I：企业内部核心管理数据公司发展战略及规划数据、公司年度投资计划数据、公司年度预算数据、公司经营财务报表、中高层人员考核信息、财务审计信息、人力具体薪酬数据D1-2：企业内部重要管理数据会计凭证及账本数据、招投标及采购类数据、供应商考核数据、人工成本及薪酬福利统

14、计数据、纳税申报数据、人事档案数据、法律案卷数据、专项及经济责任审计数据D1-3:企业内部一般管理数据内部公开后企业核心管理数据、内部公开后企业重要管理数据、内部通信网络及IT系统结算决算类数据、其他内部管理类数据、合作伙伴费用计提及结算数据D1-4：市场核心经营类数据公司经营分析数据、营销方案及资费信息D1-5:市场重要经营类数据市场经营考核数据、号码等资源分配数据D1-6：市场一般经营类数据其他内部公开的市场经营类数据D1-7：企业公开披露信息资本市场要求披露的数据D1-8：企业上报信息工信部、国资委要求上报的数据D2：业务运营数据D2-1：重要业务运营服务数据高端用户名单、白名单、套餐资

15、费管理信息等D2-2：一般业务运营服务数据渠道（佣金、业务受理等）数据，CP/SP（结算、业务订购等）数据，客服数据，充值数据，各类精准营销用户号码，各类预缴、促销、捆绑和营销奖励用户号码，终端业务各类指标完成数据、终端经营日常生产数据D2-3：公开业务运营服务数产品资费信息、公开的业务运营数据据D2-4：数字内容业务运营数据业务平台文本、视频、阅读、音乐、知识库等数字内容运营数据等D3：网络及IT系统运维数据D3-1：网络设备及IT系统密码及关联信息系统网络设备及IT系统登录访问账号密码及IP信息D3-2:核心网络设备及IT系统资源类数据核心网络设备和IT系统内部IP及端口信息、核心网络设备互连接口信息