公司数据安全管理办法模板
数据安全管理制度模板
第一章总则第一条为加强本单位数据安全管理,确保数据资源的安全、完整和可用,根据国家相关法律法规和行业标准,结合本单位实际情况,制定本制度。
第二条本制度适用于本单位所有涉及数据存储、处理、传输、使用和销毁的活动。
第三条本制度遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 技术与管理并重;4. 依法合规、持续改进。
第二章组织机构与职责第四条成立数据安全管理委员会,负责本单位数据安全工作的统筹规划、组织实施和监督管理。
第五条数据安全管理委员会下设数据安全管理办公室,负责日常数据安全管理工作,包括:1. 制定和实施数据安全管理制度;2. 监督检查数据安全措施的落实;3. 组织开展数据安全培训;4. 处理数据安全事件。
第六条各部门负责人对本部门数据安全负总责,确保本部门数据安全工作落实到位。
第七条数据安全责任人:1. 负责制定本部门数据安全管理制度;2. 负责组织本部门数据安全培训和宣传教育;3. 负责监督本部门数据安全措施的执行;4. 负责报告本部门数据安全事件。
第三章数据分类与分级第八条根据数据的重要性、敏感性、影响范围等因素,将数据分为以下类别:1. 一类数据:涉及国家秘密、商业秘密和个人隐私的数据;2. 二类数据:涉及重要商业秘密和个人隐私的数据;3. 三类数据:一般数据。
第九条根据数据的重要性、敏感性、影响范围等因素,将数据分为以下等级:1. 一级数据:对国家安全、社会公共利益和公民个人权益具有重大影响的数据;2. 二级数据:对国家安全、社会公共利益和公民个人权益具有重要影响的数据;3. 三级数据:对国家安全、社会公共利益和公民个人权益有一定影响的数据。
第四章数据安全措施第十条建立数据安全防护体系,包括物理安全、网络安全、应用安全、数据安全等。
第十一条物理安全:1. 设备安全:对存储设备、传输设备等实施物理保护,防止设备丢失、损坏或被盗;2. 环境安全:确保数据存储、处理和传输环境的稳定性和安全性。
数据安全制度清单模板
数据安全制度清单模板一、总则1.1 为了加强我国数据安全保护,预防和防范数据安全风险,根据《中华人民共和国数据安全法》等相关法律法规,制定本制度。
1.2 本制度适用于公司在数据处理过程中的各项活动,包括数据收集、存储、使用、传输、处理、销毁等环节。
1.3 公司应建立健全数据安全管理制度,明确数据安全责任和义务,采取技术和管理措施,保障数据安全。
二、数据安全管理组织2.1 公司应设立数据安全管理机构,负责组织、协调和监督公司数据安全管理工作。
2.2 数据安全管理机构应指定数据安全负责人,负责公司数据安全管理的日常事务。
2.3 公司各部门应设立数据安全管理人员,负责本部门数据安全管理工作。
三、数据安全管理制度3.1 数据分类与分级保护制度3.1.1 公司应根据数据的重要性、敏感性及对国家安全、公共利益的影响,对数据进行分类分级保护。
3.1.2 公司应制定重要数据目录,明确重要数据的范围、保护措施等。
3.2 数据安全风险评估制度3.2.1 公司应定期开展数据安全风险评估,识别数据安全风险,评估风险程度和可能造成的影响。
3.2.2 公司应根据风险评估结果,采取相应的风险防范和应对措施。
3.3 数据安全监控与审计制度3.3.1 公司应建立数据安全监控系统,实时监控数据处理活动,发现异常情况及时采取措施。
3.3.2 公司应定期进行数据安全审计,检查数据安全管理制度和措施的执行情况,发现问题及时整改。
3.4 数据安全培训与教育制度3.4.1 公司应开展数据安全培训和教育工作,提高员工的数据安全意识,掌握数据安全知识和技能。
3.4.2 公司应定期组织数据安全培训和教育活动,更新员工的数据安全知识。
3.5 数据安全事件应急预案3.5.1 公司应制定数据安全事件应急预案,明确应急响应流程、措施和责任人员。
3.5.2 公司应定期组织应急演练,提高应对数据安全事件的能力。
四、数据安全技术措施4.1 数据加密制度4.1.1 公司应对存储、传输和处理的数据进行加密处理,确保数据在传输和存储过程中的安全性。
公司数据安全管理制度模板
第一章总则第一条为加强公司数据安全管理,确保公司数据的安全、完整和可用,防止数据泄露、篡改和丢失,特制定本制度。
第二条本制度适用于公司内部所有数据,包括但不限于电子数据、纸质数据、音频、视频等。
第三条本制度遵循以下原则:1. 防范为主,防治结合;2. 数据分类分级,分级保护;3. 责任到人,明确分工;4. 全员参与,共同维护。
第二章数据分类与分级第四条公司数据分为以下等级:1. 一级数据:涉及国家秘密、商业秘密和个人隐私,对国家安全、社会稳定和公司利益具有重大影响的数据。
2. 二级数据:涉及公司重要商业秘密和个人隐私,对公司利益和声誉具有较大影响的数据。
3. 三级数据:涉及公司一般商业秘密和个人隐私,对公司利益和声誉具有一定影响的数据。
4. 四级数据:一般性数据,对公司和客户影响较小。
第五条各部门应按照数据等级制定相应的安全保护措施。
第三章数据安全管理职责第六条公司数据安全管理职责如下:1. 信息安全管理部门:负责公司数据安全工作的规划、实施和监督,制定和更新数据安全管理制度,组织数据安全培训和考核。
2. 部门负责人:对本部门数据安全工作负总责,确保本部门数据安全措施的落实。
3. 员工:遵守公司数据安全管理制度,自觉维护公司数据安全。
第四章数据安全措施第七条数据收集与存储:1. 数据收集应遵循最小化原则,只收集必要的数据。
2. 数据存储应选择符合国家标准的安全设备,并采取物理、技术和管理措施确保数据安全。
第八条数据使用与处理:1. 数据使用应遵循授权原则,未经授权不得使用他人数据。
2. 数据处理应确保数据准确、完整,避免泄露、篡改和丢失。
第九条数据传输与交换:1. 数据传输应采用加密通信方式,确保数据传输安全。
2. 数据交换应遵守相关法律法规和公司内部规定,确保数据交换安全。
第十条数据备份与恢复:1. 定期对数据进行备份,确保数据安全。
2. 制定数据恢复方案,确保在数据丢失时能够及时恢复。
第五章数据安全教育与培训第十一条公司应定期开展数据安全教育和培训,提高员工数据安全意识。
数据安全管理制度模板
数据安全管理制度模板第一章总则1.1 目的为确保公司数据的安全性、完整性和可用性,防范数据泄露、篡改、删除等安全隐患,制定本制度。
1.2 适用范围本制度适用于公司内所有的数据收集、存储、使用、处理、传输、销毁等活动,并适用于所有公司员工。
1.3 主要内容本制度包括以下几个方面的内容:(1)数据安全责任;(2)数据分类分级;(3)数据收集存储;(4)数据使用处理;(5)数据传输交换;(6)数据备份恢复;(7)数据销毁归档;(8)数据追溯审计。
第二章数据安全责任2.1 责任主体公司董事会对数据安全负有最终的责任。
公司高层管理人员对数据安全方针和政策负责,并由公司首席网络安全官领导的数据安全团队负责执行与管理数据安全。
2.2 工作职责公司管理人员应确保本制度的有效实施,并提供必要的资源以支持数据安全工作。
公司首席网络安全官及其团队应负责制定与颁布数据安全政策和规程,定期开展数据安全教育和训练,并监测和识别数据安全风险。
所有公司员工应牢记保护数据安全的责任,遵守公司的相关政策和规程,将数据安全作为工作的重中之重,确保数据安全的机密性、完整性和可用性。
第三章数据分类分级3.1 数据分类公司的所有数据应按其重要性、机密性、敏感性等因素进行分类,分为一般数据和重要数据两种。
一般数据主要指个人或部门的各种信息及办公文档、电子邮件、人事档案、考勤管理、监控数据等;重要数据主要包括财务数据、客户信息、服务器数据等。
3.2 数据分级根据数据的机密性、重要性和敏感性,将数据分为以下几个级别:公开级、内部级、敏感级和机密级。
公司应根据数据的级别采取相应的保护措施。
第四章数据收集存储4.1 数据收集在收集数据时,应确保数据的合法性和合规性。
收集的数据应明确目的,并遵循最小化原则,只收集必要的数据。
4.2 数据存储数据应存储在安全可靠的数据存储设备上。
根据数据的级别,采取相应的存储措施,如加密存储、访问控制等。
第五章数据使用处理5.1 数据使用在使用数据时,应遵循数据保护原则,确保数据的合法、合规和合理使用。
数据安全应急管理制度
数据安全应急管理制度一、总则为加强数据安全工作,减少数据丢失和泄露可能带来的损失,保护公司的核心利益和客户信息安全,特制定本管理制度。
二、适用范围本管理制度适用于公司所有员工,在日常工作中必须严格遵守并落实。
三、责任部门公司数据安全工作由信息技术部门负责统筹管理,其他部门需全力配合。
四、应急预案1. 数据备份:定期对重要数据进行备份,备份数据的存储应分布在多个地点,确保备份数据的安全性和可靠性。
2. 数据加密:对敏感数据进行加密处理,确保数据在传输和存储过程中的安全。
3. 数据恢复:制定数据恢复计划,规定数据丢失或泄露情况下应该怎么应对恢复。
4. 事件处理:一旦发现数据泄露或丢失情况,立即启动预案,及时采取应对措施,尽力减少损失。
五、数据安全管理措施1. 员工培训:定期开展数据安全知识培训,加强员工对数据安全的重视和意识。
2. 访问权限控制:对公司内部数据进行访问权限的控制,确保不同员工只能访问到自己工作需要的数据。
3. 系统监控:加强对系统的监控,发现异常情况及时报警并采取措施。
4. 加强设备安全:对所有设备进行定期检查和维护,确保设备的安全和可靠性。
5. 数据流程管理:规范数据流程,明确数据传输和存储的流程,减少数据泄露和丢失的可能性。
六、违规处理对违反数据安全管理规定的员工,公司将根据情况给予相应处理,严重情况将追究法律责任。
七、监督检查定期对公司的数据安全管理制度进行检查和评估,及时发现问题并改进。
八、附则本管理制度自颁布之日起生效,如有调整,由信息技术部门负责制定并通知全体员工。
数据安全是公司的生命线,每位员工都有责任保护好公司的数据资产,希望大家共同努力,保障公司数据的安全。
公司数据质量管理制度模板
第一章总则第一条为确保公司数据的质量,提高数据准确性、完整性和可用性,充分发挥数据在决策、管理和运营中的作用,特制定本制度。
第二条本制度适用于公司所有涉及数据采集、存储、处理、分析及应用的部门和人员。
第三条本制度遵循以下原则:1. 实用性原则:制度内容应紧密结合公司实际,确保可操作性和有效性。
2. 系统性原则:构建完整的数据质量管理体系,涵盖数据全生命周期。
3. 持续改进原则:不断完善数据质量管理措施,提升数据质量水平。
第二章数据质量管理组织与职责第四条成立公司数据质量管理委员会,负责制定、实施和监督数据质量管理制度,协调各部门数据质量管理相关工作。
第五条数据质量管理委员会下设数据质量管理办公室,负责具体执行数据质量管理日常工作。
第六条各部门应指定数据质量管理负责人,负责本部门数据质量管理工作的组织实施。
第三章数据质量管理规范第七条数据质量标准:1. 真实性:数据应真实反映业务实际情况,不得虚构、篡改。
2. 完整性:数据应全面、完整,不得缺失关键信息。
3. 一致性:数据在不同系统或同一系统内多次记录时保持相同。
4. 可用性:数据格式规范,便于查询、分析和应用。
5. 及时性:数据应及时更新,确保时效性。
第八条数据质量管理流程:1. 数据采集:明确数据采集标准和流程,确保数据来源可靠。
2. 数据存储:建立数据存储规范,确保数据安全、稳定。
3. 数据处理:对数据进行清洗、整合、转换等操作,提高数据质量。
4. 数据分析:利用数据分析工具和方法,挖掘数据价值。
5. 数据应用:将数据应用于决策、管理和运营,提升公司效益。
第四章数据质量管理考核与奖惩第九条公司对数据质量管理进行定期考核,考核结果纳入部门和个人绩效考核体系。
第十条对数据质量管理工作中表现突出的部门和个人给予奖励;对数据质量管理工作中存在严重问题的部门和个人进行处罚。
第五章附则第十一条本制度由公司数据质量管理委员会负责解释。
第十二条本制度自发布之日起施行。
公司数据管理制度范文模板
第一章总则第一条为加强公司数据管理,确保数据资产的安全、完整、准确和有效利用,根据国家相关法律法规和公司实际情况,制定本制度。
第二条本制度适用于公司所有部门及员工,涉及数据采集、存储、处理、传输、使用、共享、备份、恢复等全过程。
第三条公司数据管理应遵循以下原则:(一)依法合规:遵守国家法律法规,符合行业标准;(二)安全可靠:确保数据安全,防止数据泄露、篡改、破坏;(三)规范统一:建立健全数据管理制度,实现数据管理规范化、标准化;(四)高效利用:提高数据利用率,为公司决策提供有力支持。
第二章数据分类与分级第四条公司数据分为以下类别:(一)基础数据:公司基本信息、组织架构、人员信息等;(二)业务数据:销售、采购、生产、财务、人力资源等业务数据;(三)技术数据:技术文档、专利、软件源代码等;(四)其他数据:涉及公司运营、管理、合作等方面的数据。
第五条公司数据根据其重要性、敏感性、影响程度等分为以下级别:(一)一级数据:对公司运营、管理、决策具有重要影响的数据;(二)二级数据:对公司运营、管理、决策有一定影响的数据;(三)三级数据:对公司运营、管理、决策影响较小或无影响的数据。
第三章数据管理职责第六条公司数据管理实行统一领导、分级负责、部门协同的管理体制。
第七条公司数据管理部门负责以下工作:(一)制定数据管理制度、标准和规范;(二)组织实施数据管理工作,确保数据安全、完整、准确和有效利用;(三)监督、检查数据管理工作的执行情况,对违规行为进行处理;(四)组织数据培训和宣传,提高员工数据管理意识。
第八条各部门负责人对本部门数据管理负总责,具体职责如下:(一)建立健全本部门数据管理制度;(二)组织本部门员工遵守数据管理制度;(三)确保本部门数据安全、完整、准确和有效利用;(四)配合数据管理部门开展数据管理工作。
第四章数据采集与处理第九条数据采集应遵循以下原则:(一)合法合规:采集数据应符合国家法律法规和公司规定;(二)真实准确:采集数据应真实反映实际情况,确保数据准确性;(三)最小化原则:仅采集实现业务需求所必需的数据。
公司数据监管制度模板
公司数据监管制度模板一、总则1.1 为加强公司数据资源管理,保障数据安全,发挥数据资产价值,提高数据服务质量,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等相关法律法规,制定本制度。
1.2 本制度适用于公司总部及所属各级单位(以下简称“各级单位”)的数据管理工作。
1.3 公司数据管理工作遵循统一领导、分级负责、全面覆盖、重点突出、协同推进、动态调整的原则。
二、组织架构与职责2.1 公司设立数据管理委员会,负责公司数据管理工作的统筹规划、组织协调和监督评估。
数据管理委员会由公司领导、相关部门负责人及专家组成。
2.2 各级单位应设立数据管理部门,负责本单位的 data管理工作,并向数据管理委员会报告工作。
2.3 各级单位应明确数据管理职责,确保数据管理工作的有效实施。
数据管理职责包括但不限于:数据资源规划、数据质量保障、数据安全保护、数据应用推广等。
三、数据资源管理3.1 数据资源规划(1)公司应根据业务发展需求,制定数据资源规划,明确数据资源的发展方向、目标和任务。
(2)各级单位应根据公司数据资源规划,编制本单位的 data资源规划,确保与公司数据资源规划相衔接。
3.2 数据采集与存储(1)公司应制定数据采集与存储标准,规范数据采集与存储行为,确保数据质量。
(2)各级单位应按照公司数据采集与存储标准,开展数据采集与存储工作,并确保数据的安全、完整和可用。
3.3 数据维护与更新(1)公司应制定数据维护与更新制度,规范数据维护与更新行为,确保数据时效性。
(2)各级单位应按照公司数据维护与更新制度,开展数据维护与更新工作,并确保数据的准确性、完整性和一致性。
四、数据安全与合规4.1 数据安全(1)公司应制定数据安全制度,明确数据安全保护的目标、要求和措施。
(2)各级单位应按照公司数据安全制度,开展数据安全保护工作,确保数据安全。
4.2 数据合规(1)公司应制定数据合规制度,明确数据合规的要求和措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公司数据安全管理办法修订记录目录第一章总则 (4)第二章机构与人员 (6)第三章数据安全合规 (8)第四章数据分类分级 (11)第五章数据全生命周期管理 (15)第六章基础安全管理 (30)第七章问责与处罚 (33)第八章附则 (33)附录 (34)附录一公司数据安全保护清单........................................................................错误!未定义书签。
附录二公司数据安全自评表............................................................................错误!未定义书签。
附录三《关键系统数据安全责任承诺书》模板. (34)附录四安全事件违规行为及对应的违规事件级别 (38)第一章总则第一条目的及依据为加强公司数据安全管理,构建强有力的数据安全保障体系,维护国家安全、社会公共利益,保护用户合法权益,保障公司数据资产安全及业务健康发展,根据《中华人民共和国网络安全法》,以及国家相关法规及制度要求,参照《信息安全技术个人信息安全规范》等国家标准,制定本办法。
作为本公司各相关部门实施数据安全管理工作的依据。
第二条管控对象本规范的管控对象为公司运营过程中通过网络收集、存储、传输、处理和产生的各种电子数据(以下简称“数据”)包括公司源数据、客户隐私数据、生产过程数据、测试数据、产品数据以及保证生产经营活动正常运转的支撑数据、业务平台数据、数据分析平台系统、数据业务服务及相关人员组织等。
第三条基本原则保障公司数据安全,总体来说应遵循以下基本原则:✧主体责任明确原则:明确责任分工,落实公司业务和平台的数据安全主体责任。
✧协同治理原则:保障数据安全是公司的目标,安全职责应体现在所有相关部门,对于出现的安全问题,所有相关部门均应履行相应的安全职责并承担相应的责任。
✧服务最小化原则:在向公司内部、平台、第三方合作伙伴共享开放数据时,应仅提供业务开展明确需要的数据属性、标签属性及规模。
✧分类分级管控原则:对公司数据进行分类分级,根据敏感程度不同,采取适当的、与安全风险相适应的管控措施和技术手段,保障数据安全。
✧用户知情同意原则:收集、使用客户信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经客户信息主体同意。
✧安全三同步原则:在承载数据的相关平台系统的设计、建设和运行过程中,应做到数据安全保护措施的同步规划、同步建设、同步运行。
第四条适用范围本规范适用范围为公司各部门。
本规范中所述第三方合作伙伴是指除公司外的第三方。
本规范中所述的网络和内网均指生产网环境非办公网环境。
办公网环境数据安全遵照公司的办公数据安全相关管理办法执行。
本规范的解释权属于公司。
第二章机构与人员第五条网络安全领导小组的职责公司网络安全领导小组在控股公司网络安全领导小组的统一领导下,负责开展本单位的数据安全管理工作。
网络安全领导小组的主要职责包括:(一)负责数据安全保护工作的全面统筹指导;(二)审核和批准数据安全保护相关管理规定;(三)对数据安全保护工作的支持,提供必要资源(人、财、物)等;(四)负责监督数据安全泄密事件的查处;(五)负责统一对上级单位或部门报告数据安全突发事件情况等工作。
第六条运维中心的职责运维中心是数据安全归口管理部门,负责整体数据安全的统筹管理,其相关职责如下:(一)负责数据安全资产清单管理,统一维护公司数据安全资产清单库,牵头各部门开展数据资产的清查及管理工作;(二)负责牵头各部门开展数据安全审计、数据安全合规性评估等监督检查工作;(三)负责督促协调各相关部门建立数据安全技术保障措施。
如督促协调严格落实操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施;(四)负责所运维的涉及数据的系统和平台技术层面的数据安全保障和稽查工作;(五)负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责;(六)负责系统层面数据安全的日常管理和审核工作;(七)负责开展数据安全教育培训,培训内容包括但不限于数据安全管理与用户个人信息保护相关法律法规、标准制度、安全责任、知识技能等;(八)协助数据安全泄密事件的查处;(九)协助对与公司合作的第三方管理,包括协助开展第三方安全资质审查,综合评估第三方的数据安全保障能力等。
第七条涉及数据安全的业务部门的职责(一)明确数据安全主体责任,建立落实数据安全保护的管理、技术、组织保障措施;(二)协助数据安全归口管理部门开展数据资产的清查及管理工作;(三)协助数据安全归口管理部门开展数据安全审计、数据安全合规性评估等监督检查工作;(四)负责主管的业务系统数据安全相关事件上报和处置,协助数据安全归口管理部门进行数据安全事件的查处。
(五)按照数据安全管控原则,合理设置相关业务人员岗位、角色、权限及职责;(六)负责落实主管业务的合作伙伴数据安全管理,包括做好合作伙伴背景调查和安全资质审查、综合评估业务合作伙伴的数据安全保障能力、签订数据安全保密协议、明确数据安全违规的处罚措施和违约责任、加强数据操作管理等;第八条其他相关部门的职责(一)人力资源部门:组织员工签订保密承诺书,及时发布人员岗位变动、入离职的信息同步给帐号管理部门,协同组织数据安全教育培训工作,参与对数据泄密人员的查处;(二)采购、合规管理部门应在采购、合同管理阶段,审核数据安全保护的要求,在合同中纳入数据安全保密条款;第三章数据安全合规第九条数据安全“三同步”为保障公司生产运营中数据安全,落实业务安全“三同步”的要求,应在公司数据生产运营流程的关键环节,采取必要的安全控制措施,实现公司敏感数据可管可控。
(一)数据系统规划设计阶段在数据系统规划设计阶段应全面梳理数据运营平台及系统安全需求,明确相关资源,对敏感数据泄露、身份认证缺陷等安全风险进行分析、评估,设计整体数据运营平台系统安全保障方案,做好系统安全方案设计和方案评审两个环节的安全控制。
(二)数据系统建设开发阶段在数据系统建设开发阶段在设备采购、系统开发、测试验收、上线试运行四个环节做好安全控制,落实整体安全保障方案。
(三)数据系统运行维护阶段在数据运营运行维护阶段应做好数据运营系统和平台的监测、访问控制、账号管理、补丁更新等安全管理工作;落实日常安全监测与保障,建立应急处置机制,保证数据业务的连续运行;建立退出服务机制,确保不符合生产环境的应用系统安全退出服务。
第十条数据泄露应急处理(一)公司内部部门工作人员发生数据泄漏,应停止账号使用并回收操作权限,报告分管部门领导和数据安全归口管理专员,并保留相关日志记录,配合归口管理专员开展调查和责任追究。
事件严重的要按照相关的管理要求,上报公司网络安全工作办公室进行处置。
(二)第三方人员发生数据泄漏,应立即停止其操作权限,再向泄漏人员追讨数据,并报告分管部门领导和数据安全归口管理专员,根据实际需要采取向第三方厂商通报、追责等处理措施。
事件严重的要按照相关的管理要求,上报公司网络安全工作办公室进行处置。
(三)由于非人员因素,例如,黑客攻击等原因造成的数据泄露,涉及的业务系统应立即采取包括网络封堵、关停服务等措施避免数据的进一步泄露,报告数据安全管理专员和部门领导,保留相关日志记录,配合数据安全管理专员开展问题调查。
问题严重的要按照公司安全管理制度要求,上报公司网络安全办公室或网络安全领导小组进行处置。
第十一条数据资产管理与报送涉及数据安全的部门应明确各自部门数据安全归口管理人员,配合数据安全归口管理部门开展数据资产的清查和梳理工作,负责各自部门业务或系统的数据安全资产的清查和管理,并对清查和梳理的结果进行记录、管理,按照附录《公司数据安全保护清单》填写,确保资产管理的规范性、统一性。
第十二条数据安全审计数据安全审计是通过管理和技术两种手段,检查公司的数据安全策略和数据安全风险控制措施的执行情况以及发现安全风险,保障业务连续运转的过程。
安全审计的范围应包括与公司数据安全相关的所有范畴,包括各类数据资产、业务流程、支撑生产经营活动正常运转的各类网络设备操作日志、部门以及人员(管理层、员工、用户、第三方等)等,同时还包括保障正常生产经营活动连续运转的应急响应及恢复机制。
涉及数据安全的部门应根据各自部门的实际情况配合数据安全归口管理部门定期或按监管要求开展数据安全风险评估、数据安全合规性评估等监督检查工作,按照《公司数据安全自评表》至少每年开展一次安全风险自评。
各相关部门负责数据安全审计的人员应对审计情况进行汇总,梳理存在问题,通报结果,对发现的重大安全隐患或违规行为,应向部门管理层汇报。
公司各部门的安全审计活动和后续整改工作应被正式记录并保存。
第四章数据分类分级为了能够更好的保护数据安全,公司应对敏感数据进行分类分级,从而可以针对不同种类和敏感级别的数据制定差异化的安全控制策略。
各部门要结合各自部门业务的实际情况,梳理各自部门涉及的数据并明确具体数据的分级。
针对较敏感级(含)以上的数据必须分析其存在的风险并制定落实具体的安全管控措施,避免数据泄露、被窃取、篡改和滥用事件发生。
第十三条数据分类详细信息根据公司数据运营和开放服务的特点,结合有关部门规范的规定和要求,将公司数据运营涉及的敏感数据分为四类。
第十四条数据分级及管控原则根据数据敏感程度,遵循原则,即,同一批数据中各属性或字段的分级不同,需要按照定级最高的属性或字段的级别一并实施安全管控,将数据划为四个敏感级别,敏感级别从高到底依次为极敏感级(4级)、敏感级(3级)、较敏感级(2级)和低敏感级(1级)。
表2数据分级及管控原则第五章数据全生命周期管理数据全生命周期分为采集、存储、传输、使用、共享和销毁六个环节。
各数据的责任部门要根据所管数据的分级和所处的环节以及面临的具体安全风险,制定并落实有针对性的数据安全管控措施。
第十五条数据采集安全(一)各部门应加强线上、线下等数据收集环节管控,通过配备技术手段、签署保密协议等措施,加强对数据收集人员、设备的管控,保障收集数据安全。
通过第三方等其他途径获得的敏感数据,与直接收集的敏感数据负有同等的保护责任和义务。
(二)各部门通过线上渠道等方式收集使用客户信息时,应当制定并公开收集使用规则,收集使用规则应明确具体、简单通俗、易于访问。
且仅当用户知悉收集使用规则并明确同意后,方可收集客户信息,同时向用户提供查询、更正、删除等多种参与用户信息处理的渠道,并予以公告。
(三)各部门不得收集其提供服务所必需以外的客户信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。