集團公司數(shù)據(jù)安全管理制度

數(shù)據(jù)安全管理制度（試行）2022年8月數(shù)據(jù)安全管理制度概述編寫目的為加強數(shù)據(jù)信息的安全管理，保證公司數(shù)據(jù)的安全性、可靠性、完整性和有效性，特制定本管理制度,對數(shù)據(jù)進行有效保護，防止未經(jīng)授權地修改、泄漏和破壞公司數(shù)據(jù)。適用范圍本制度適用于公司內(nèi)所有員工及相關外部信息系統(tǒng)承建廠商、團隊，所有人員應明確本制度,支持本制度,并強制遵守。本制度也將作為員工遵守情況及復查的基本原則。違反本制度者經(jīng)查實將由公司管理部門進行處理,可視其輕重對其進行相應懲處。數(shù)據(jù)管理部負責指導及協(xié)調(diào)本制度的實施，根據(jù)公司實際業(yè)務發(fā)展狀況，數(shù)據(jù)管理部將在獲得公司領導同意后酌情修正本制度，以使其符合公司的實際情況。數(shù)據(jù)管理部負責本制度的解釋及修正。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語GB/T35273-2020信息安全技術個人信息安全規(guī)范GB/T35274-2017信息安全技術大數(shù)據(jù)服務安全能力要求術語和定義下列術語和定義適用于本文件。

公司業(yè)務數(shù)據(jù)

公司在履行職責過程中產(chǎn)生、獲取和使用的數(shù)據(jù)資源。

大數(shù)據(jù)

具有數(shù)量巨大、種類多樣、流動速度快、特征多變等特性，并且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)和數(shù)據(jù)處理技術進行有效組織、存儲、計算、分析和管理的數(shù)據(jù)集。

數(shù)據(jù)服務

提供數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理（包括計算、分析、可視化等）、數(shù)據(jù)交換、數(shù)據(jù)銷毀等數(shù)據(jù)生存形態(tài)演變的一種網(wǎng)絡信息服務。

數(shù)據(jù)共享

讓不同的數(shù)據(jù)使用者能夠訪問平臺整合的各種數(shù)據(jù)資源，并通過數(shù)據(jù)服務或數(shù)據(jù)交換技術對這些數(shù)據(jù)資源進行相關的計算、分析、可視化等處理。

重要數(shù)據(jù)

不涉及國家秘密，但如果泄露、毀損、丟失或被竊取、篡改和非法使用可能危害國家安全、國計民生、公共利益的未公開數(shù)據(jù)。

個人信息

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

大數(shù)據(jù)平臺

采用分布式存儲和計算技術，提供大數(shù)據(jù)的訪問和處理，支持大數(shù)據(jù)應用安全高效運行的軟硬件集合，包括監(jiān)視大數(shù)據(jù)的存儲、輸入/輸出、操作控制等大數(shù)據(jù)服務軟硬件基礎設施。

數(shù)據(jù)提供者

數(shù)據(jù)的提供者。

數(shù)據(jù)使用者

數(shù)據(jù)的獲取者。

數(shù)據(jù)擁有者：擁有數(shù)據(jù)的所有權；擁有對數(shù)據(jù)的處置權利；對數(shù)據(jù)進行分類與分級；指定數(shù)據(jù)資產(chǎn)的管理者/維護人；數(shù)據(jù)管理者被授權管理相關數(shù)據(jù)資產(chǎn)；負責數(shù)據(jù)的日常維護和管理；數(shù)據(jù)訪問者在授權的范圍內(nèi)訪問所需數(shù)據(jù)；確保訪問對象的機密性、完整性、可用性等；數(shù)據(jù)活動

組織機構(gòu)針對數(shù)據(jù)開展的一組特定任務的集合，數(shù)據(jù)活動主要包括采集、存儲、傳輸、治理、共享、銷毀等。

數(shù)據(jù)管理制度規(guī)定組織和人員管理通過建立組織機構(gòu)負責數(shù)據(jù)安全工作，防范組織和人員管理過程中存在的數(shù)據(jù)安全風險。應符合以下內(nèi)容：（1）建立組織層面的數(shù)據(jù)安全領導小組，指定機構(gòu)最高管理者或授權代表擔任小組組長，并明確了組長的責任與權力；（2）建立組織層面專職的數(shù)據(jù)安全職能部門和崗位，明確其工作職責，以及職能部門之間的協(xié)作關系和配合機制，并在職能崗位設計時考慮職責分離的原則；（3）確保人力資源部門與負責數(shù)據(jù)安全的部門能夠進行有效配合；（4）建立組織內(nèi)部的監(jiān)督管理職能部門，負責對組織內(nèi)部的數(shù)據(jù)操作行為進行安全監(jiān)督；（5）明確在組織層面人力資源管理中承擔數(shù)據(jù)安全要求制定和執(zhí)行的人員或崗位，并與數(shù)據(jù)安全人員進行有效配合；（6）明確組織層面承擔人員數(shù)據(jù)安全培訓管理職責的崗位和人員，負責對數(shù)據(jù)安全培訓需求的分析及落地方案的制定和推進；（7）明確數(shù)據(jù)安全追責機制，定期對責任部門和安全崗位組織安全檢查，形成檢查報告；（8）明確數(shù)據(jù)服務人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生存周期各階段相關的工作范疇和安全管控措施；（9）明確組織層面的數(shù)據(jù)服務人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度，將數(shù)據(jù)安全相關的要求固化到人力資源管理流程中；（10）在錄用重要崗位人員前對其進行背景調(diào)查，符合相關的法律、法規(guī)、合同要求，對數(shù)據(jù)安全員工候選者的背景調(diào)查中也包含了對候選者的安全專業(yè)能力的調(diào)查；（11）明確數(shù)據(jù)服務重要崗位的兼職和輪崗、權限分離、多人共管等安全管理要求；（12）明確針對合作方的安全管理制度，對接觸個人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進行審批和登記，并要求簽署保密協(xié)議，定期對這些人員行為進行安全審查；（13）在重要崗位人員調(diào)離或終止勞動合同前，與其簽訂保密協(xié)議或競業(yè)協(xié)議；（14）明確組織內(nèi)部員工的數(shù)據(jù)安全培訓計劃，按計劃定期對員工開展數(shù)據(jù)安全培訓；（15）明確重要崗位人員的數(shù)據(jù)安全培訓計劃，并在重要崗位轉(zhuǎn)崗、崗位升級等環(huán)節(jié)對相關人員開展培訓；（16）按最少夠用原則為入職員工分配初始權限；（17）及時終止或變更離崗和轉(zhuǎn)崗員工的數(shù)據(jù)操作權限，并及時將人員的變更通知到相關方；（18）以公開信息且可查詢的形式，面向組織全員公布數(shù)據(jù)安全職能部門的組織架構(gòu)；（19）確保負責組織和人員管理的人員充分理解人力資源管理流程中可對安全風險進行把控的環(huán)節(jié)；（20）開展針對員工入職過程中的數(shù)據(jù)安全教育，通過培訓、考試等手段提升其整體的數(shù)據(jù)安全意識水平；（21）負責設置數(shù)據(jù)安全職能的人員，能夠明確組織的數(shù)據(jù)安全工作目標。數(shù)據(jù)存儲管理數(shù)據(jù)安全分級要求針對具體業(yè)務場景，結(jié)合數(shù)據(jù)重要程度等級，確定場景數(shù)據(jù)使用風險等級；等級標識數(shù)據(jù)信息價值定義5很高重要程度很高，其安全屬性破壞后可能導致系統(tǒng)或信息受到非常嚴重的影響4高重要程度較高，其安全屬性破壞后可能導致系統(tǒng)或信息受到比較嚴重的影響3中重要程度較高，其安全屬性破壞后可能導致系統(tǒng)或信息受到中等程度的影響2低重要程度較低，其安全屬性破壞后可能導致系統(tǒng)或信息受到較低程度的影響1很低重要程度都很低，其安全屬性破壞后可能導致系統(tǒng)或信息受到很低程度的影響，甚至忽略不計用戶及密碼安全管理用戶賬號管理各應用信息系統(tǒng)的賬號申請一般由該部門的負責人審批，審批同意后提交該系統(tǒng)的系統(tǒng)管理員負責開通賬號。對有特別安全等級保護要求的應用信息系統(tǒng)以及各應用信息系統(tǒng)中的系統(tǒng)管理員，還需通過受理部門的主管領導審批。原則上應用信息系統(tǒng)主管部門應在收到《用戶賬號申請單》后才能進行審批和開通賬號。特殊情況下，經(jīng)部門負責人和受理部門主管領導書面同意后，可采取事后審查的方式，先開通賬號，但自賬號開通日起超過1個月仍未收到《用戶賬號申請單》的，系統(tǒng)管理員有權對該賬號采取暫時停用措施。凡需要使用應用信息系統(tǒng)的用戶，每人均須按照“實名制”方式申請一個僅限本人使用的用戶賬號。不同用戶的用戶賬號彼此之間不得隨意借用，因某用戶賬號的操作而造成應用信息系統(tǒng)中數(shù)據(jù)信息或任何系統(tǒng)功能等方面的改變或后果，均由擁有該用戶賬號的用戶負責。如果某用戶因工作調(diào)動或其它原因而不允許繼續(xù)使用某應用信息系統(tǒng)時,其隸屬的原工作單位應督促和確保該用戶離職前及時申請注銷相關用戶賬號；不論原用戶是否知曉或同意，均禁止將其原賬號轉(zhuǎn)交其他人員繼續(xù)使用密碼管理設置用戶密碼是用戶登陸應用信息系統(tǒng)時身份合法性認證的重要手段，用戶密碼的設置應盡量復雜化，不易被他人推測，密碼長度一般不少于6位，并做到定期更換新密碼。密碼遺忘時可向系統(tǒng)管理員申請密碼初始化修復。若發(fā)現(xiàn)賬號密碼泄露,用戶須立即報告系統(tǒng)管理員及時采取停用賬號措施，并在報告后的24小時內(nèi)向該信息系統(tǒng)主管部門提交書面報告，說明詳細情況，以便系統(tǒng)主管部門協(xié)助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運行情況，采取有效補救措施將危害程度降至最低數(shù)據(jù)備份管理數(shù)據(jù)信息備份應采用性能可靠、不宜損壞的介質(zhì)，如磁帶、光盤、硬盤等。備份數(shù)據(jù)信息的物理介質(zhì)應注明數(shù)據(jù)信息的來源、備份日期、恢復步驟等信息，并置于安全環(huán)境保管?！粢话闱闆r下對服務器和網(wǎng)絡安全設備的配置數(shù)據(jù)信息每月進行一次的備份，當進行配置修改、系統(tǒng)版本升級、補丁安裝等操作前也要進行備份；網(wǎng)絡設備配置文件在進行版本升級前和配置修改后進行備份?！暨\維操作員應確保對核心業(yè)務數(shù)據(jù)每日進行增量備份，每周做一次包括數(shù)據(jù)信息的全備份。業(yè)務系統(tǒng)將進行重大系統(tǒng)變更時，應對核心業(yè)務數(shù)據(jù)進行數(shù)據(jù)信息的全備份。數(shù)據(jù)流轉(zhuǎn)流程管理管理范圍針對新接入系統(tǒng)以及要從數(shù)據(jù)底座流出的數(shù)據(jù)進行安全管理。數(shù)據(jù)流轉(zhuǎn)流程管理數(shù)據(jù)接入數(shù)據(jù)接入申請有需要新接入的系統(tǒng)數(shù)據(jù)時，需要數(shù)據(jù)接入需求方填寫系統(tǒng)數(shù)據(jù)接入申請單，并填寫清楚數(shù)據(jù)接入系統(tǒng)名稱、接入原因、數(shù)據(jù)接入預估量、數(shù)據(jù)接入方式、數(shù)據(jù)接入后負責部門、負責人。數(shù)據(jù)接入審批填寫數(shù)據(jù)接入申請后，將審批單由數(shù)據(jù)管理者提交對應負責部門領導進行審批，審批通過后，將審批單轉(zhuǎn)至數(shù)據(jù)運維團隊，進行數(shù)據(jù)接入對接工作并開發(fā)數(shù)據(jù)接入腳本等。數(shù)據(jù)流出數(shù)據(jù)流出申請當外部人員或機構(gòu)、系統(tǒng)對我方數(shù)據(jù)有需求，希望申請我平臺數(shù)據(jù)時，需要數(shù)據(jù)申請方填寫系統(tǒng)數(shù)據(jù)流出申請單，并填寫清楚數(shù)據(jù)申請人員、數(shù)據(jù)申請使用原因、申請流出數(shù)據(jù)系統(tǒng)、表、數(shù)據(jù)量、數(shù)據(jù)對接方式、數(shù)據(jù)負責部門、負責人。數(shù)據(jù)流出審批填寫數(shù)據(jù)流出申請后，數(shù)據(jù)管理者需要首先評估數(shù)據(jù)流出申請的系統(tǒng)和表的數(shù)據(jù)安全等級，首先由數(shù)據(jù)管理團隊評估數(shù)據(jù)安全性，通過后將審批單由數(shù)據(jù)管理者提交對應負責部門領導進行審批，審批通過后，將審批單轉(zhuǎn)至數(shù)據(jù)運維團隊，進行數(shù)據(jù)