企業(yè)數(shù)據(jù)安全合規(guī)管理指南

ISO37301/IS045001/IS014001/ISO27001ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)1/10生效版本：AO文件制修訂記錄NO制/修訂日期修訂編號(hào)制/修訂內(nèi)容版本頁(yè)次12022-7-21-新制訂AO文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)2/10生效版本：AO核準(zhǔn)審核制訂企業(yè)數(shù)據(jù)安全合規(guī)管理指南第一章總則第一條為推動(dòng)廣州市國(guó)資委監(jiān)管企業(yè)全面加強(qiáng)數(shù)據(jù)安全合規(guī)管理，規(guī)范監(jiān)管企業(yè)數(shù)據(jù)處理活動(dòng)，保障企業(yè)數(shù)據(jù)安全，促進(jìn)企業(yè)健康發(fā)展，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家經(jīng)濟(jì)安全和社會(huì)穩(wěn)定，提升監(jiān)管企業(yè)數(shù)據(jù)治理能力及數(shù)據(jù)安全保護(hù)水平，根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》《廣州市市屬企業(yè)合規(guī)管理指引（試行）》等有關(guān)法律法規(guī)規(guī)定，制定本指南。第一條本指南適用于廣州市人民政府國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱“市國(guó)資委”）直接履行出資人職責(zé)的國(guó)有及國(guó)有控股企業(yè)、國(guó)有實(shí)際控制企業(yè)（以下稱“監(jiān)管企業(yè)”）。第三條市國(guó)資委負(fù)責(zé)監(jiān)督指導(dǎo)監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理工作。第四條監(jiān)管企業(yè)應(yīng)當(dāng)對(duì)本企業(yè)工作中收集和產(chǎn)生的數(shù)據(jù)和數(shù)據(jù)安全承擔(dān)主體責(zé)任。數(shù)據(jù)安全合規(guī)管理是合規(guī)管理體系的專項(xiàng)重點(diǎn)領(lǐng)域，已建立合規(guī)管理體系的監(jiān)管企業(yè)，應(yīng)在現(xiàn)有合規(guī)管理體系的基礎(chǔ)上，進(jìn)行專項(xiàng)深化管理。數(shù)據(jù)安全風(fēng)險(xiǎn)較高的監(jiān)管企業(yè)，必須將數(shù)據(jù)安全合規(guī)作為重點(diǎn)領(lǐng)域進(jìn)行專項(xiàng)管理。達(dá)到以下條件之一的，視為數(shù)據(jù)安全風(fēng)險(xiǎn)較高：（一） 主要業(yè)務(wù)涉及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和重要領(lǐng)域的：（二） 主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200人：（三） 處理超過100萬(wàn)人的個(gè)人信息，或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬(wàn)人的個(gè)人信息：（四） 處理超過10萬(wàn)人的個(gè)人敏感信息的；（五） 從事國(guó)家秘密載體制作、復(fù)制、維修、銷毀，涉密信息系統(tǒng)集成或者武器裝備科研生產(chǎn)等涉及國(guó)家秘密的業(yè)務(wù)的：（六） 法律法規(guī)規(guī)定的其他情形第五條監(jiān)管企業(yè)應(yīng)當(dāng)按照以下原則提升數(shù)據(jù)安全合規(guī)管理：（一）高度重視。數(shù)據(jù)是重要的戰(zhàn)略性資源，監(jiān)管企業(yè)要將數(shù)據(jù)安全合規(guī)管理提升到事關(guān)國(guó)家安全、文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)3/10生效版本：AO經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和人民群眾切實(shí)合法權(quán)益的高度，始終把國(guó)家主權(quán)、安全、發(fā)展利益放在首位，加強(qiáng)安全能力建設(shè)，重視企業(yè)、員工、股東及合作方數(shù)據(jù)安全及個(gè)人信息保護(hù)，以發(fā)展促安全、以安全保發(fā)展。（二） 推進(jìn)落實(shí)。監(jiān)管企業(yè)要堅(jiān)持將數(shù)據(jù)安全合規(guī)要求逐步覆蓋各業(yè)務(wù)領(lǐng)域，各部門，各級(jí)全資、控股或?qū)嶋H控制的子企業(yè)、分支機(jī)構(gòu)及其員工。數(shù)據(jù)應(yīng)當(dāng)全面包括電子或其他方式對(duì)信息的記錄。數(shù)據(jù)安全合規(guī)管控措施及技術(shù)應(yīng)用覆蓋所有數(shù)據(jù)資產(chǎn)及數(shù)據(jù)處理全流程。（三） 強(qiáng)化責(zé)任。監(jiān)管企業(yè)要切實(shí)加強(qiáng)對(duì)數(shù)據(jù)安全合規(guī)管理的組織領(lǐng)導(dǎo)，明確職責(zé)，建立健全分工負(fù)責(zé)、協(xié)作配合的工作機(jī)制，明確管理人員和各崗位員工的數(shù)據(jù)合規(guī)責(zé)任并督促有效落實(shí)。（四） 協(xié)同融合。監(jiān)管企業(yè)認(rèn)真貫徹落實(shí)數(shù)據(jù)安全合規(guī)的相關(guān)要求，將數(shù)據(jù)安全合規(guī)工作納入企業(yè)數(shù)字化轉(zhuǎn)型整體布局中，將數(shù)據(jù)安全合規(guī)管理通過企業(yè)數(shù)字化技術(shù)的應(yīng)用及升級(jí)進(jìn)行有效落地。第二章管理職責(zé)第六條監(jiān)管企業(yè)應(yīng)將數(shù)據(jù)安全合規(guī)管理的職責(zé)納入現(xiàn)有合規(guī)管理組織體系。通過建立專項(xiàng)制度或文件的形式，在原有合規(guī)管理組織體系合規(guī)職責(zé)范圍內(nèi)，進(jìn)一步細(xì)化及明確各層級(jí)合規(guī)管理機(jī)構(gòu)及相關(guān)部門的數(shù)據(jù)安全合規(guī)管理職責(zé)。第七條董事會(huì)合規(guī)委員會(huì)或承擔(dān)合規(guī)管理職責(zé)的專業(yè)委員會(huì)應(yīng)在職責(zé)范圍內(nèi)推動(dòng)企業(yè)數(shù)據(jù)安全合規(guī)管理，以完善企業(yè)合規(guī)管理體系，合理配置數(shù)據(jù)安全合規(guī)管理工作所需的相關(guān)資源和獎(jiǎng)懲機(jī)制，審批重大數(shù)據(jù)安全合規(guī)事項(xiàng)，確保工作有效推行及落地。第八條經(jīng)理層及合規(guī)管理負(fù)責(zé)人應(yīng)在原有合規(guī)管理職責(zé)的范圍內(nèi)，指導(dǎo)及監(jiān)督企業(yè)數(shù)據(jù)安全合規(guī)管理相關(guān)制度規(guī)范建設(shè)、相關(guān)管理措施的設(shè)計(jì)與執(zhí)行、數(shù)據(jù)安全技術(shù)應(yīng)用等，確保企業(yè)數(shù)據(jù)安全合規(guī)。第九條監(jiān)管企業(yè)承擔(dān)數(shù)據(jù)管理、信息系統(tǒng)管理或1T技術(shù)等部門和其它各職能部門分別作為各業(yè)務(wù)范圍內(nèi)數(shù)據(jù)安全合規(guī)管理的責(zé)任部門，作為數(shù)據(jù)安全合規(guī)管理的第一道防線，主要職責(zé)包括：（一） 制定企業(yè)數(shù)據(jù)管理的相關(guān)標(biāo)準(zhǔn)，包括數(shù)據(jù)分類分級(jí)、權(quán)限管理等工作：（二） 制定企業(yè)數(shù)據(jù)管理的相關(guān)制度及規(guī)范，包括數(shù)據(jù)全生命周期管理的相關(guān)制度：（三） 負(fù)責(zé)統(tǒng)一規(guī)范企業(yè)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等工作機(jī)制；（四） 負(fù)責(zé)數(shù)據(jù)安全技術(shù)的應(yīng)用及更新；（五） 負(fù)責(zé)數(shù)據(jù)管理能力建設(shè)；（六） 其他規(guī)章制度規(guī)定的數(shù)據(jù)管理工作。文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)4/10生效版本：AO第十條監(jiān)管企業(yè)各職能部門負(fù)責(zé)本領(lǐng)域的日常數(shù)據(jù)安全合規(guī)管理工作，規(guī)范數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等工作，妥善應(yīng)對(duì)數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)事件，組織或配合進(jìn)行違規(guī)問題調(diào)查并及時(shí)整改。第十一條監(jiān)管企業(yè)合規(guī)管理牽頭部門作為數(shù)據(jù)合規(guī)管理第二道防線，在數(shù)據(jù)安全合規(guī)管理方面的職責(zé)包括：（一） 參與對(duì)企業(yè)涉及數(shù)據(jù)安全事項(xiàng)的合規(guī)審查；（二） 對(duì)數(shù)據(jù)安全合規(guī)管理的情況進(jìn)行評(píng)估與檢查；（三） 組織或協(xié)助數(shù)據(jù)安全合規(guī)責(zé)任部門、人事部門開展數(shù)據(jù)安全合規(guī)培訓(xùn)，為公司其他部門提供數(shù)據(jù)安全合規(guī)咨詢與支持；（四） 合規(guī)委員會(huì)或合規(guī)管理負(fù)責(zé)人交辦的其他工作。第十二條監(jiān)管企業(yè)可視情況通過建立聯(lián)合的數(shù)據(jù)合規(guī)管理辦公室或工作組，開展數(shù)據(jù)安全合規(guī)管理標(biāo)準(zhǔn)、制度及規(guī)范的建立工作，可由相關(guān)業(yè)務(wù)、信息系統(tǒng)、技術(shù)、合規(guī)、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)等部門人員組成，在經(jīng)理層及合規(guī)管理負(fù)責(zé)人的領(lǐng)導(dǎo)下，有效推動(dòng)數(shù)據(jù)安全合規(guī)管理工作的開展及實(shí)施。第十三條內(nèi)部審計(jì)部門負(fù)責(zé)定期對(duì)數(shù)據(jù)安全進(jìn)行審計(jì)，可根據(jù)風(fēng)險(xiǎn)評(píng)估和審計(jì)資源鋪排，在審計(jì)工作中涵蓋數(shù)據(jù)安全合規(guī)的內(nèi)容，并出具相關(guān)審計(jì)報(bào)告，為公司數(shù)據(jù)安全風(fēng)險(xiǎn)管理的有效性提供合理保障。紀(jì)檢監(jiān)察部門負(fù)責(zé)職權(quán)范圍內(nèi)的違規(guī)事件的監(jiān)督、執(zhí)紀(jì)、問責(zé)等工作。第三章制度規(guī)范建設(shè)第十四條監(jiān)管企業(yè)應(yīng)建立健全數(shù)據(jù)安全合規(guī)管理的相關(guān)標(biāo)準(zhǔn)、制度和規(guī)范，建立重大數(shù)據(jù)安全合規(guī)審批清單、數(shù)據(jù)分類分級(jí)管理、權(quán)限管理、數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)評(píng)估及審計(jì)、重大數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)事件報(bào)告、應(yīng)急處置機(jī)制、教育培訓(xùn)等管理事項(xiàng)，并根據(jù)法律法規(guī)變化和監(jiān)管動(dòng)態(tài)，及時(shí)將外部合規(guī)要求落實(shí)到內(nèi)部規(guī)章制度。第十五條監(jiān)管企業(yè)重大數(shù)據(jù)安全合規(guī)事項(xiàng)實(shí)施清單管理。由數(shù)據(jù)安全合規(guī)管理的責(zé)任部門牽頭編制本企業(yè)重大數(shù)據(jù)安全合規(guī)事項(xiàng)清單，提交黨委會(huì)審議通過后，由董事會(huì)合規(guī)委員會(huì)或承擔(dān)合規(guī)管理職責(zé)的專業(yè)委員會(huì)負(fù)責(zé)審批清單涉及的重大數(shù)據(jù)合規(guī)事項(xiàng)。數(shù)據(jù)安全合規(guī)管理的責(zé)任部門應(yīng)根據(jù)法律法規(guī)及企業(yè)的實(shí)際運(yùn)營(yíng)情況的變化進(jìn)行及時(shí)更新清單。第十六條監(jiān)管企業(yè)應(yīng)建立數(shù)據(jù)分類分級(jí)管控標(biāo)準(zhǔn)和管控要求。企業(yè)應(yīng)優(yōu)先根據(jù)所屬行業(yè)相關(guān)標(biāo)準(zhǔn)對(duì)核心業(yè)務(wù)數(shù)據(jù)進(jìn)行分類分級(jí)，無(wú)明確標(biāo)準(zhǔn)的企業(yè)可自行建立相關(guān)分類及分級(jí)標(biāo)準(zhǔn)。其中數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)應(yīng)參考及遵循國(guó)家數(shù)據(jù)安全等相關(guān)法律法規(guī)。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)需要實(shí)施更加嚴(yán)格的管理制度，包括文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)5/10生效版本：AO涉及國(guó)家保密范圍的產(chǎn)業(yè)規(guī)劃、戰(zhàn)略規(guī)劃、重大項(xiàng)目、核心技術(shù)等，應(yīng)根據(jù)相關(guān)法律法規(guī)的具體要求進(jìn)行重點(diǎn)保護(hù)和管理。上述相關(guān)數(shù)據(jù)的交易、出境及共享等業(yè)務(wù)，應(yīng)列入企業(yè)“三重一大”事項(xiàng)進(jìn)行管理，不得向境外司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于境內(nèi)的數(shù)據(jù).監(jiān)管企業(yè)應(yīng)根據(jù)標(biāo)準(zhǔn)對(duì)現(xiàn)有數(shù)據(jù)進(jìn)行全面分類分級(jí)，并通過技術(shù)手段落實(shí)安全管理要求，定期對(duì)新增數(shù)據(jù)進(jìn)行梳理，確保所有數(shù)據(jù)分類及分級(jí)管控。同時(shí)，應(yīng)根據(jù)相關(guān)法律法規(guī)或行業(yè)標(biāo)準(zhǔn)的變化，及時(shí)更新企業(yè)內(nèi)部數(shù)據(jù)分類分級(jí)的相關(guān)標(biāo)準(zhǔn)。第十七條監(jiān)管企業(yè)應(yīng)規(guī)范數(shù)據(jù)處理的權(quán)限管理，建立適當(dāng)?shù)挠脩魴?quán)限管理機(jī)制，根據(jù)崗位設(shè)置相關(guān)賬戶權(quán)限，明確相關(guān)數(shù)據(jù)所涉及的賬戶管理流程，減少數(shù)據(jù)濫用情況，提高數(shù)據(jù)安全合規(guī)水平。第十八條數(shù)據(jù)安全風(fēng)險(xiǎn)較高的監(jiān)管企業(yè)，應(yīng)建立數(shù)據(jù)安全合規(guī)評(píng)估及審計(jì)機(jī)制，應(yīng)自行或委托有相關(guān)信息安全檢查評(píng)估資質(zhì)的機(jī)構(gòu)，每年至少進(jìn)行一次全面的網(wǎng)絡(luò)安全監(jiān)測(cè)和風(fēng)險(xiǎn)評(píng)估，定期或不定期對(duì)企業(yè)整體數(shù)據(jù)使用情況、數(shù)據(jù)全生命周期安全及合規(guī)性、基礎(chǔ)安全等情況進(jìn)行評(píng)估及審計(jì)，并對(duì)發(fā)現(xiàn)的問題及時(shí)整改。第十九條數(shù)據(jù)安全風(fēng)險(xiǎn)較高的監(jiān)管企業(yè)，應(yīng)建立數(shù)據(jù)安全應(yīng)急響應(yīng)機(jī)制，明確數(shù)據(jù)安全事故管理和應(yīng)急響應(yīng)職責(zé)，制定各類數(shù)據(jù)安全事故的處置流程及應(yīng)急預(yù)案，并定期進(jìn)行演練，對(duì)各類安全事件進(jìn)行及時(shí)響應(yīng)和處置，降低企業(yè)因數(shù)據(jù)安全事故而引發(fā)的損失。第二十條數(shù)據(jù)安全風(fēng)險(xiǎn)較高的監(jiān)管企業(yè)，應(yīng)建立重大數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)事件報(bào)告制度，對(duì)影響或可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，發(fā)現(xiàn)數(shù)據(jù)安全威脅時(shí)，應(yīng)按規(guī)定向公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)報(bào)告，可能關(guān)系到重大經(jīng)營(yíng)風(fēng)險(xiǎn)的應(yīng)同步及時(shí)向市國(guó)資委報(bào)告，并積極采取措施防止危害，減少損失。第二十一條監(jiān)管企業(yè)應(yīng)積極配合公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全或者偵查犯罪需要及時(shí)配合提供相關(guān)數(shù)據(jù)。第二十二條監(jiān)管企業(yè)應(yīng)建立有效的管控模式，對(duì)其下屬全資、控股和實(shí)際控制子企業(yè)在數(shù)據(jù)安全合規(guī)工作內(nèi)容和職責(zé)分工，可根據(jù)實(shí)際情況，分批推進(jìn)各單位數(shù)據(jù)安全合規(guī)管理工作，并結(jié)合集團(tuán)合規(guī)管理管控模式進(jìn)行差異化管理。第二十三條監(jiān)管企業(yè)應(yīng)全面評(píng)估企業(yè)本部及下屬各級(jí)全資、控股和實(shí)際控制子企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)。針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)較高的企業(yè)應(yīng)盡快開展數(shù)據(jù)安全合規(guī)管理相關(guān)工作，建立數(shù)據(jù)安全合規(guī)的相關(guān)標(biāo)準(zhǔn)、制度及規(guī)范。監(jiān)管企業(yè)可根據(jù)相關(guān)子企業(yè)的工作成果及經(jīng)驗(yàn)，逐步在其他子企業(yè)進(jìn)行推廣及實(shí)施。第二十四條數(shù)據(jù)安全風(fēng)險(xiǎn)較高的監(jiān)管企業(yè)，可基于企業(yè)的原有的戰(zhàn)略規(guī)劃、IT規(guī)劃等制定本企業(yè)的數(shù)據(jù)安全三年滾動(dòng)工作規(guī)劃，確保監(jiān)管企業(yè)按照既定路線達(dá)成數(shù)據(jù)安全合規(guī)目標(biāo)，并在執(zhí)行過程中，ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)6/10生效版本：AO根據(jù)數(shù)據(jù)安全合規(guī)和企業(yè)IT戰(zhàn)略目標(biāo)下不斷優(yōu)化、提升數(shù)據(jù)安全合規(guī)管理的各項(xiàng)制度和信息系統(tǒng)。第四章數(shù)據(jù)安全合規(guī)管理措施第二十五條監(jiān)管企業(yè)在數(shù)據(jù)安全合規(guī)管理過程中，應(yīng)對(duì)數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)儲(chǔ)存、數(shù)據(jù)使用、數(shù)據(jù)開放共享、數(shù)據(jù)銷毀等數(shù)據(jù)全生命周期管理的要素，制定必要的管控措施及標(biāo)準(zhǔn)，依法保護(hù)企業(yè)數(shù)據(jù)基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，防范數(shù)據(jù)處理的違規(guī)風(fēng)險(xiǎn)，確保數(shù)據(jù)安全合規(guī)。第二十六條規(guī)范數(shù)據(jù)采集的管理，明確數(shù)據(jù)采集渠道，確定數(shù)據(jù)格式標(biāo)準(zhǔn)，制定各類數(shù)據(jù)采集流程及方式，定期開展數(shù)據(jù)采集合規(guī)性審查，確保數(shù)據(jù)采集合法合規(guī)。第二十七條加強(qiáng)數(shù)據(jù)傳輸安全管理，劃分企業(yè)網(wǎng)絡(luò)系統(tǒng)安全域，區(qū)分域內(nèi)、域間等不同數(shù)據(jù)傳輸場(chǎng)景，明確數(shù)據(jù)傳輸安全策略和操作規(guī)程。第二十八條監(jiān)管企業(yè)應(yīng)梳理數(shù)據(jù)出境情況的業(yè)務(wù)，建立企業(yè)內(nèi)部數(shù)據(jù)出境合規(guī)審查的流程及規(guī)范，針對(duì)境外并購(gòu)、赴境外上市等情況，應(yīng)充分評(píng)估數(shù)據(jù)出境的相關(guān)風(fēng)險(xiǎn)，按相關(guān)規(guī)定進(jìn)行內(nèi)部審核審批，并根據(jù)法律法規(guī)要求，履行監(jiān)管機(jī)構(gòu)數(shù)據(jù)出境的審查申報(bào)。非經(jīng)相關(guān)部門批準(zhǔn)，不得向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)與中華人民共和國(guó)境內(nèi)的數(shù)據(jù)監(jiān)管企業(yè)境外分支機(jī)構(gòu)在當(dāng)?shù)卦O(shè)立服務(wù)器，并通過該服務(wù)器儲(chǔ)存及使用監(jiān)管企業(yè)數(shù)據(jù)的，應(yīng)按數(shù)據(jù)出境的管理要求實(shí)施數(shù)據(jù)安全管理。境外分支機(jī)構(gòu)通過遠(yuǎn)程訪問使用數(shù)據(jù)的，應(yīng)加強(qiáng)訪問權(quán)限控制及數(shù)據(jù)傳輸安全管理，確保數(shù)據(jù)安全。第二十九條規(guī)范并加強(qiáng)數(shù)據(jù)儲(chǔ)存的管理，加強(qiáng)對(duì)數(shù)據(jù)儲(chǔ)存介質(zhì)的管理，包括提升對(duì)服務(wù)器及離線儲(chǔ)存介質(zhì)的物理安全及加密管理，規(guī)范帶數(shù)據(jù)儲(chǔ)存功能的可移動(dòng)設(shè)備的管控，加強(qiáng)對(duì)本地?cái)?shù)據(jù)儲(chǔ)存系統(tǒng)平臺(tái)接入移動(dòng)儲(chǔ)存介質(zhì)的管控，實(shí)施對(duì)儲(chǔ)存在第三方云平臺(tái)數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)下載到本地終端行為進(jìn)行審核及日志記錄等管控措施，提升數(shù)據(jù)儲(chǔ)存的安全性。第三十條規(guī)范數(shù)據(jù)使用的管理，根據(jù)不同類別、級(jí)別的數(shù)據(jù)，明確不同場(chǎng)景的數(shù)據(jù)使用審批流程，制定數(shù)據(jù)脫敏處理規(guī)則，提升數(shù)據(jù)使用的安全性：建立數(shù)據(jù)開發(fā)利用的相關(guān)流程及規(guī)范，完善數(shù)據(jù)開發(fā)利用的風(fēng)險(xiǎn)評(píng)估機(jī)制。具有數(shù)據(jù)交易相關(guān)業(yè)務(wù)的監(jiān)管企業(yè)，應(yīng)按國(guó)家相關(guān)法律法規(guī)的相關(guān)要求進(jìn)行交易，法律法規(guī)尚未規(guī)定的，應(yīng)進(jìn)行充分的風(fēng)險(xiǎn)評(píng)估，確保數(shù)據(jù)安全。第三十一條加強(qiáng)數(shù)據(jù)開放及共享的管理，根據(jù)數(shù)據(jù)使用目的、共享對(duì)象，明確數(shù)據(jù)可進(jìn)行開放及共享的范圍，建立數(shù)據(jù)共享的申請(qǐng)及授權(quán)審批的流程及權(quán)限設(shè)置，明確數(shù)據(jù)共享過程的傳輸方式。第三十二條針對(duì)企業(yè)向外部單位共享數(shù)據(jù)的情況，監(jiān)管企業(yè)應(yīng)充分評(píng)估相關(guān)數(shù)據(jù)安全風(fēng)險(xiǎn)，涉及重大敏感的數(shù)據(jù)提供要按審批權(quán)限逐級(jí)審批。并在相關(guān)合同中明確數(shù)據(jù)安全及保密義務(wù)，明確相關(guān)違約責(zé)任，必要時(shí)可單獨(dú)簽訂保密協(xié)議。相關(guān)事項(xiàng)結(jié)束后，應(yīng)進(jìn)行內(nèi)部總結(jié)匯報(bào)，對(duì)數(shù)據(jù)共享情況進(jìn)行說(shuō)ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)7/10生效版本：AO明，加強(qiáng)數(shù)據(jù)共享的管理。監(jiān)管企業(yè)應(yīng)盡量依托國(guó)資國(guó)企信息安全“云”監(jiān)管平臺(tái)，積極支持配合國(guó)資國(guó)企一體化網(wǎng)絡(luò)安全信息大數(shù)據(jù)平臺(tái)的建立，促進(jìn)數(shù)據(jù)安全信息聯(lián)動(dòng)和能力共享。第三十三條建立員工數(shù)據(jù)安全合規(guī)行為規(guī)范，針對(duì)員工日常工作中數(shù)據(jù)儲(chǔ)存、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)共享等事項(xiàng)明確相關(guān)合規(guī)管理要求。第三十四條規(guī)范數(shù)據(jù)銷毀的過程管理，建立數(shù)據(jù)銷毀的申請(qǐng)審批機(jī)制及流程，規(guī)范數(shù)據(jù)銷毀過程的監(jiān)督及記錄，明確存儲(chǔ)介質(zhì)銷毀策略及操作規(guī)范，委托第三方進(jìn)行數(shù)據(jù)銷毀的，應(yīng)委托具有相關(guān)資質(zhì)的單位，確保數(shù)據(jù)銷毀的安全可靠。第五章與商業(yè)伙伴合作中的數(shù)據(jù)保護(hù)第三十五條監(jiān)管企業(yè)應(yīng)加強(qiáng)及規(guī)范與商業(yè)伙伴合作中的數(shù)據(jù)安全管理，明確合作方準(zhǔn)入、日常管理、數(shù)據(jù)安全評(píng)估、變更及退出等環(huán)節(jié)的合規(guī)管理要求。第三十六條監(jiān)管企業(yè)應(yīng)明確信息系統(tǒng)開發(fā)及運(yùn)維、數(shù)據(jù)儲(chǔ)存、數(shù)據(jù)處理等數(shù)據(jù)服務(wù)相關(guān)合作方的準(zhǔn)入標(biāo)準(zhǔn)，并在合作方選擇時(shí)進(jìn)行資格審查。同等條件下應(yīng)優(yōu)先采購(gòu)境內(nèi)安全可信的網(wǎng)絡(luò)產(chǎn)品和數(shù)據(jù)服務(wù)。必要時(shí)，應(yīng)對(duì)數(shù)據(jù)服務(wù)的合作方進(jìn)行數(shù)據(jù)安全合規(guī)方面的盡職調(diào)查。第三十七條對(duì)于合作方能接觸到企業(yè)非公開數(shù)據(jù)的合作項(xiàng)目，監(jiān)管企業(yè)應(yīng)加強(qiáng)合同管理，通過制定相應(yīng)的示范文本在相關(guān)合同中明確數(shù)據(jù)安全合規(guī)相關(guān)條款。對(duì)于為企業(yè)提供數(shù)據(jù)服務(wù)的合作方，企業(yè)應(yīng)結(jié)合實(shí)際情況將服務(wù)標(biāo)準(zhǔn)、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)泄露預(yù)防、業(yè)務(wù)連續(xù)性計(jì)劃等內(nèi)容在合同中進(jìn)行明確。涉及委托處理個(gè)人信息的合作方，企業(yè)應(yīng)結(jié)合實(shí)際情況將委托處理的目的、期限、處理方式、個(gè)人信息種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等內(nèi)容在合同中進(jìn)行明確，并對(duì)合作方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。第三十八條監(jiān)管企業(yè)應(yīng)明確與合作方對(duì)接部門的數(shù)據(jù)安全管理責(zé)任。涉及公司資料及數(shù)據(jù)分享的，應(yīng)按實(shí)現(xiàn)合作目的最小數(shù)據(jù)獲取原則，對(duì)部分非必要數(shù)據(jù)進(jìn)行脫敏，并對(duì)數(shù)據(jù)分享過程進(jìn)行記錄。涉及合作方提供駐場(chǎng)服務(wù)，鏈接企業(yè)信息系統(tǒng)，或直接接觸重要數(shù)據(jù)的，相關(guān)項(xiàng)目負(fù)責(zé)人應(yīng)采取適當(dāng)措施對(duì)其合作方的工作進(jìn)行管控，確保數(shù)據(jù)安全。第三十九條監(jiān)管企業(yè)應(yīng)建立數(shù)據(jù)服務(wù)合作方定期的數(shù)據(jù)安全監(jiān)測(cè)、檢測(cè)和評(píng)估機(jī)制，明確數(shù)據(jù)安全監(jiān)測(cè)、檢測(cè)和評(píng)估的范圍及具體內(nèi)容，并將相關(guān)評(píng)估結(jié)果與合作方的變更及退出進(jìn)行掛鉤，發(fā)現(xiàn)合作方存在數(shù)據(jù)濫用、盜賣數(shù)據(jù)、預(yù)留“后門”等違法違規(guī)行為的，應(yīng)及時(shí)終止合作并永久禁止合作，并按合同約定進(jìn)行索賠。確保合作方數(shù)據(jù)安全合規(guī)。第六章個(gè)人信息保護(hù)ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)8/10生效版本：AO第四十條監(jiān)管企業(yè)應(yīng)進(jìn)一步規(guī)范及完善個(gè)人信息保護(hù)機(jī)制，加強(qiáng)企業(yè)員工、訪客個(gè)人信息的保護(hù)監(jiān)管企業(yè)應(yīng)梳理集團(tuán)本部及下屬各級(jí)全資、控股或?qū)嶋H控制子企業(yè)涉及大規(guī)模處理個(gè)人信息的業(yè)務(wù)，加強(qiáng)及完善相關(guān)部門及企業(yè)個(gè)人信息保護(hù)的管理，針對(duì)個(gè)人信息分類、個(gè)人信息獲取、個(gè)人信息儲(chǔ)存、個(gè)人信息使用及處理等管理過程中，按法律法規(guī)建立相關(guān)標(biāo)準(zhǔn)及規(guī)范，并滿足下述相關(guān)管理要求。第四十一條建立企業(yè)內(nèi)部個(gè)人信息分類標(biāo)準(zhǔn)，明確個(gè)人敏感信息定義范圍及處理規(guī)則，明確處理不滿十四周歲未成年人個(gè)人信息處理規(guī)則。個(gè)人敏感信息及未成年人個(gè)人信息處理規(guī)則應(yīng)遵循法律法規(guī)的相關(guān)規(guī)定。第四十二條個(gè)人信息的收集應(yīng)滿足法定的相關(guān)原則，不得過度收集個(gè)人信息，確保個(gè)人信息采集及處理前取得個(gè)人同意。優(yōu)化取得個(gè)人同意的方式，確保由個(gè)人在充分知情的前提下自愿、明確作出同意。針對(duì)法定要求需取得個(gè)人單獨(dú)同意的情形，確保取得個(gè)人的單獨(dú)同意。并且當(dāng)個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更時(shí)，可以及時(shí)有效重新取得個(gè)人同意，同時(shí)能夠?yàn)閭€(gè)人提供便捷的撤回同意的方式。第四十三條建立個(gè)人信息儲(chǔ)存的相關(guān)規(guī)范，明確個(gè)人信息的保存期限，結(jié)合個(gè)人信息刪除的相關(guān)機(jī)制，確保信息保存期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。同時(shí)完善相關(guān)技術(shù)應(yīng)用，采取使用加密及去標(biāo)識(shí)化等安全技術(shù)措施，確保個(gè)人信息的儲(chǔ)存安全。第四十四條梳理內(nèi)部進(jìn)行個(gè)人信息處理的各類場(chǎng)景，對(duì)于向他人提供企業(yè)處理的個(gè)人信息，利用個(gè)人信息進(jìn)行自動(dòng)化決策，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備、針對(duì)法定要求需取得個(gè)人單獨(dú)同意的情形，等情形，應(yīng)依據(jù)相關(guān)法律法規(guī)的要求，明確處理流程并制定規(guī)范要求。第四十五條建立完善的個(gè)人信息處理規(guī)則，確保在處理個(gè)人信息前，按照相關(guān)法律法規(guī)的要求，向個(gè)人告知個(gè)人信息處理者的名稱或者姓名?聯(lián)系方式，個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限，個(gè)人行使法定權(quán)利的方式和程序等內(nèi)容，并建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。并且當(dāng)上述內(nèi)容有變更的，能夠及時(shí)將變更部分告知個(gè)人。建立個(gè)人信息處理事前影響評(píng)估機(jī)制，監(jiān)管企業(yè)應(yīng)結(jié)合實(shí)際情況根據(jù)法律法規(guī)要求梳理須進(jìn)行事前個(gè)人信息保護(hù)影響評(píng)估的具體場(chǎng)景，制定評(píng)估的標(biāo)準(zhǔn)及規(guī)范，明確個(gè)人信息保護(hù)影響評(píng)估報(bào)告及處理情況記錄保存的相關(guān)要求。建立個(gè)人信息主動(dòng)刪除的相關(guān)機(jī)制，明確個(gè)人信息刪除的流程及規(guī)范，確保當(dāng)個(gè)人信息處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要，企業(yè)停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿，以及個(gè)人撤回同意時(shí)，相關(guān)個(gè)人信息得到及時(shí)刪除。第四十六條屬于相關(guān)主管部門認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的監(jiān)管企業(yè)，應(yīng)依法依規(guī)履行關(guān)鍵信ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據(jù)安全合規(guī)管理指南生效日期：2022-7-21文件編號(hào)：頁(yè)數(shù)9/10生效版本：AO息基礎(chǔ)設(shè)施安全保護(hù)的責(zé)任義務(wù)。提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的監(jiān)管企業(yè)，應(yīng)對(duì)其個(gè)人數(shù)據(jù)信息處理活動(dòng)負(fù)責(zé)，并應(yīng)通過制定及優(yōu)化內(nèi)部管理，履行基礎(chǔ)互聯(lián)網(wǎng)平臺(tái)的法定合規(guī)義務(wù)，包括建立獨(dú)立的監(jiān)督機(jī)構(gòu)、制定平臺(tái)個(gè)人信息保護(hù)規(guī)則及定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等相關(guān)事項(xiàng)。第七章數(shù)據(jù)安全技術(shù)應(yīng)用第四十七條監(jiān)管企業(yè)應(yīng)通過相關(guān)技術(shù)的應(yīng)用及更新，提升企業(yè)在數(shù)據(jù)識(shí)別、敏感信息保護(hù)、數(shù)據(jù)操作審計(jì)、接口安全管理、數(shù)據(jù)防泄露等方面的技術(shù)能力，提升數(shù)據(jù)安全保障能力。第四十八條監(jiān)管企業(yè)可采用定期數(shù)據(jù)資產(chǎn)掃描，脫敏效果驗(yàn)證等技術(shù)，深入到具體業(yè)務(wù)場(chǎng)景，精準(zhǔn)識(shí)別重要敏感數(shù)據(jù)、敏感人群、特權(quán)操作等，持續(xù)提升企業(yè)數(shù)據(jù)識(shí)別能力，從數(shù)據(jù)檢測(cè)能力維度保障企業(yè)數(shù)據(jù)能夠按照既定的分類標(biāo)準(zhǔn)及規(guī)則進(jìn)行處理，確保企業(yè)數(shù)據(jù)分類分級(jí)安全合規(guī)。第四十九條監(jiān)管企業(yè)應(yīng)通過加強(qiáng)個(gè)人信息去標(biāo)識(shí)化、數(shù)據(jù)關(guān)鍵字段隱藏、擾亂等技術(shù)的應(yīng)用，提升個(gè)人敏感信息保護(hù)能力，保障大規(guī)模個(gè)人數(shù)據(jù)在儲(chǔ)存及傳輸過程中的安全。采用校驗(yàn)或加密技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性和安全性，采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性。第五十條監(jiān)管企業(yè)應(yīng)通過對(duì)涉及儲(chǔ)存、處理個(gè)人敏感信息和企業(yè)重要數(shù)據(jù)系統(tǒng)平臺(tái)的防泄漏技術(shù)的應(yīng)用，提升數(shù)據(jù)防泄露的能力，防范數(shù)據(jù)泄露風(fēng)險(xiǎn)，確保數(shù)據(jù)安全。第五十一條監(jiān)管企業(yè)可通過數(shù)據(jù)操作審計(jì)系統(tǒng)的部署應(yīng)用，實(shí)現(xiàn)對(duì)企業(yè)重要敏感業(yè)務(wù)系統(tǒng)的數(shù)據(jù)操作實(shí)施監(jiān)控及審計(jì)，防范操作性風(fēng)險(xiǎn)。第五十二條監(jiān)管企業(yè)可通過建