安全制度-数据安全管理办法V1.0.docx

《安全制度-数据安全管理办法V1.0.docx》由会员分享，可在线阅读，更多相关《安全制度-数据安全管理办法V1.0.docx（8页珍藏版）》请在第一文库网上搜索。

1、数据安全管理办法2023年1月订定权责单位：组第一章总则第一条为了规范公司的数据资产管理，进一步完善数据安全管理体系，保证公司数据资产及其支撑系统的完整性、机密性和可用性，避免数据泄密，根据国家有关法律法规，特制定本办法。第二条本办法所称的数据是指：公司业务系统、数据仓库以及数据产品中生成的数据，适用于数据的产生、传输、使用、存储、共享、归档/销毁全链路的数据安全管理环节。第三条本办法内容包括：总则、数据资产范围、数据安全管理角色及岗位职责、数据分级分类规范、数据安全规范细则、数据输出管理细则、附则七章。第四条本办法适用于总公司及各分支机构。第二章数据资产范围第五条公司数据安全管理涉及的范围包

2、括：（一）数据资产：所有存储在线上数据库和数据仓库中的数据，包括但不限于：1、公司拥有的数据；2、第三方委托公司存储处理的受合同约束的数据。（二）支撑系统：所有的支撑设施，例如直接或间接参与确保上述数据完整性、机密性以及可用性相关的人或系统，包括但不限于：1、场所，如：办公室、云服务器、公司机房；2、硬件，如：服务器、网络设备、笔记本电脑、台式电脑、存储设备、移动设备；3、软件，如：操作系统、商业软件、自行开发的软件；4、人员，如：员工、外包、除员工和外包人员外的第三方人员（以下简称第三方人员）。（）文档和记录：所有与管理、使用及控制上述数据资产及其支持系统相关的策略、流程及操作手册和记录。第

3、三章数据安全管理角色设置及岗位职责第六条数据安全管理角色设置及岗位职责：（一）*组*组是数据安全的主管部门，承担以下职责：1、引导数据使用部门，对数据进行分级分类，制定数据安全管理体系；2、定期安排及开展数据安全管理审计；3、定期对数据资产支持系统进行审计；4、推动相关方对数据安全问题进行改进；5、推动数据安全识别和建立数据安全管理关键控制点。（二）部门数据安全负责人部门数据安全负责人由各部门负责人担任，负责部门内的数据安全管理，主要承担以下职责：1、确保各自团队的业务开展与公司数据安全策略、流程及操作指引的要求一致,并确保部门员工（包括外包人员）得到适当的数据安全培训；2、在各自负责的职责范

4、围内开展数据安全管理和复核工作；3、在各自负责的职责范围内配合公司的数据安全管理和风险评估工作。（三）数据资产责任人数据资产责任人由部门负责人指定，基于业务或职能分工，对与其业务相关的数据资产的完整性、机密性及可用性负责，主要承担以下职责：1、评估各自负责的数据资产对公司的重要性，协助*组进行数据分级工作；2、承担风险评估的细节工作，如：识别控制、协助评估控制的有效性；3、协助对数据资产访问权限进行定期复核；4、协助数据安全事件的调查和处理；5、协助数据安全管理审计工作；6、引导使用方合理使用各自负责的数据资产；7、协助*组完善数据安全管理体系。第四章数据分级分类规范第七条数据分级定义根据数据

5、价值、敏感性、数据风险及法律法规要求，将数据分为四个级别：绝密、机密、保密、公开。级别定义核心商密(U) 非授权的公开、泄露将直接对公司、客户或者员工造成严重不利影响(例如：造成重大经济损失、严重破坏公司声誉、造成监管问责，以及发生重大法律责任等)的数据。 指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。一般商密(13) 非授权的公开、泄露将直接对公司、客户或者员工造成不利影响(例如：造成经济损失、破坏公司声誉、可能发生法律责任等)的数据。 指能够单独识别自然人身份或者反映特定自然人活动情况的信息。公司内部(12)非授权的公开、泄露将直接对公司

6、、客户或者员工造成较小不利影响的数据。外部公开(11)允许被公共访问和对外发布的信息，并且公开信息可以自由散布而不会产生任何安全和法律问题。数据分级示例:级别典型示例核心商密(14) 公司级未公开的财务预算报告及各类财务报表、统计报表 公司级尚未付诸实施的经营战略、经营规划 公司级业务相关的核心数据 公司人事档案 公司业务系统源代码 公司关键业务系统的账号密码一般商密(13) 关键项目的计划、方案等 个人身份标识数据 公司业务系统的账号密码 公司内部安全管理策略 公司内部项目开发文档公司内部(12) 公司内部全员公告、通知 公司通讯录 公司内部规章管理制度外部公开(1I)公司对外公布的经营数据

7、数据分级标注要求:级别标注要求核心商密(14)在文件显著位置标注密级、保密期限、知悉范围。在文件首页标注份号，份号应与知悉范围相对应。一般商密(13)在文件显著位置标注密级、保密期限、知悉范围。公司内部(12)可在文件显著位置标注密级，无密级标注的文件默认为内部资料级别。外部公开(11)无标注要求。定义为公开的信息须经相关部门授权。数据分级授权要求:级别授权要求核心商密(14)需得到公司领导批准。一般商密(13)需得到密级确定部门主要负责人批准。公司内部(12)需得到所有者批准。外部公开(11)无限制。数据分级存储要求:级别存储要求核心商密(14)电子类的应妥善保存在设有安全控制的计算机系统内

8、。介质由知悉部门保密执行人专人专柜保存。一般商密(13) 电子类的应妥善保存在设有安全控制的计算机系统内。 介质由知悉部门保密执行人专人专柜保存。公司内部(12)应妥善保管。外部公开(11)无限制。数据分级复制要求:级别复制要求核心商密(14)禁止复制。一般商密由定密部门保密执行人进行，复制件上应加盖复制部门公章，并在显著位置注(13)明“复制件”字样和复制日期。公司内部(12)根据工作需求执行。外部公开无限制。(11)数据分级邮件要求:级别邮件要求核心商密禁止邮件直接发送，经授权后做电子签名或加密控制，经安全的途径发送，不(14)得发送到公众或私人电子邮件账户，并保留发送记录。一般商密须经密

9、级确定部门负责人许可，邮件发送应做加密控制，不得发送到公众或私(13)人电子邮件账户，并保留发送记录。公司内部(12)根据工作需求执行。外部公开(11)无限制。数据分级销毁要求:级别销毁要求核心商密(14)碎纸机或集中销毁；彻底销毁介质；一般商密(13)碎纸机或集中销毁；彻底销毁介质；公司内部(12)碎纸机或集中销毁；删除数据；外部公开(11)无限制。第八条数据分类定义按照类别，将数据分为如下基本的三类数据： 用户类数据(用表示)：用户的基本信息和用户提供给公司使用的数据，以及自身相关的行为数据、交易数据等。这些信息属于用户或者和用户直接相关。 业务类数据(用“B”表示)：公司业务开展所需要的

10、数据，包括：公司各个业务系统的费率、重要合作伙伴名单、合作授权价格信息等。 公司类数据(用“C”表示)，包括：公司的财务数据、管理数据及运营数据(尚未公布的公司经营规划和财务报告、法律文件等)；公司的服务、内部系统、软件等产生的数据，各种系统的账户和密码；员工在工作中产生的所有数据，如源代码、操作记录、项目文档等。数据分类分级矩阵关系如下:外部公开(1D公司内部(12)一般商密(13)核心商密(14)用户数据（U）客户公开数据（UI）客户内部数据（U2）客户保密数据（U3）客户机密数据（U4）业务数据（B）业务公开数据（B1）业务内部数据（B2）业务保密数据（B3）业务机密数据（B4）公司数据

11、（C）公司公开数据（C1）公司内部数据（C2）公司保密数据（C3）公司机密数据（C4）第九条数据使用过程中的升级原则（一）客户个人数据： 当个人间接识别信息（U2）与个人直接识别信息（U3）结合或者多个个人间接识别信息（U2）关联后，能识别特定自然人身份或自然人行为轨迹的参照个人直接识别信息（U3）保护要求进行的对应安全管理； 拥有可将个人间接识别信息（U2）关联到某一特定数据主体的附加信息，则有关个人间接识别信息（U2）,应按照个人直接识别信息（U3）保护。 个人间接识别信息（U2）与个人直接识别信息（U3）结合或者多个个人间接识别信息（U2）关联后，符合个人敏感信息（U4）定义，参照个人敏

12、感信息（U4）保护要求的对应安全管理。 与个人敏感信息（U4）结合使用的个人间接识别信息（U2）或个人直接识别信息（U3）,参照个人敏感信息（U4）保护要求的对应安全管理。 将个人间接识别信息（U2）或个人直接识别信息（U3）关联到某一特定数据主体的附加信息，信息组合后符合个人敏感信息（U4）定义的，应按照个人敏感信息（U4）保护。 用户个人数据默认分级特别说明：具有特定指向性的个人信息，级别应认定为U3及以上。（二）同一次申请数据量超过一定的阀值（建议值是1万条记录），数据自动升级到更高一个级别；（三）在某个特定业务背景或特殊阶段要求下，可以根据具体情况进行数据升级。第五章数据安全规范细则第

13、十条数据资产清单每个数据资产应有其相应的责任人，数据资产责任人应理解并执行本规范中定义的职责。部门数据安全负责人负责定义和维护上述适用范围内的数据资产清单。第十一条数据分类和处理部门数据安全负责人应确保所有的数据资产都被适当的分级，并根据不同的级别，推动相关方建立和实施相应的保护措施，保护措施应考虑到数据的存储、访问、传输及分发等环节。第十二条数据安全基本准则所有的员工、外包及第三方人员需遵守公司的数据安全基本准则，包括但不限于:（一）所有对数据库及数据仓库数据的分析、加工、处理等操作，必须在数据安全网络中进行；（二）数据分析人员需要将上述数据传递给业务需求方时，必须先通过内部数据流程审批，审

14、批通过之后，才能进行数据分发；（三）禁止使用个人或非公司提供的设备来接收或处理数据安全网络和数据分发平台的数据；（四）严禁在没有得到适当授权的情况下，将上述范围中的数据传递给第三方。任何违反上述要求的员工，将进行通报批评、情节严重的依据公司规定进行处罚。第十三条数据资产访问控制数据资产及其处理设施的访问控制应能保证数据的完整性、机密性及可用性；访问授权应遵循最小授权以及除非特别授予否则默认禁止的原则；禁止将上述范围中的数据存储在非公司拥有的系统或信息处理设备上；各数据支撑系统所属和管理部门应定期审查具有远程访问权限的人员，对于不再需要远程访问权限的账号应立即禁用。第十四条风险评估* *组定期对数据资产及其支撑处理设施进行风险评估，识别数据安全风险并建立和实施风险处置措施；* *组及质量中心定期对评估结果及风险处置措施进行复核，以确保采取了适当的控制措施来保证数据的安全性。第十五条数据安全事件监控* *组及运维部应保证数据资产支撑系统建立数据异常访问监控机制，能够及时识别非授权的访问；部门数据安全负责人和*组应建立数据安全风险反馈流程，以及时收集数据安全风险，并采取适当的风险处置措施。第十六条数据安全管理的监督各部门负责人应定期复核所在