電信運(yùn)營(yíng)商行業(yè)-中國(guó)聯(lián)通數(shù)據(jù)安全管理辦法

XX聯(lián)通數(shù)據(jù)安全管理辦法V1總則為提升中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司XX省分公司（以下簡(jiǎn)稱“XX聯(lián)通”）數(shù)據(jù)安全管理水平，明確數(shù)據(jù)安全管理責(zé)任，防范和處置數(shù)據(jù)安全隱患及問題，降低網(wǎng)絡(luò)數(shù)據(jù)被違規(guī)使用和傳播的風(fēng)險(xiǎn)，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等相關(guān)法律法規(guī)，以及《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（工信部24號(hào)令）等行業(yè)規(guī)定，制定本辦法。本辦法適用范圍為XX聯(lián)通省公司各部門、各地市分公司和各子公司在數(shù)據(jù)采集、生成、傳輸、存儲(chǔ)、使用、交互、銷毀等數(shù)據(jù)全生命周期活動(dòng)中涉及的數(shù)據(jù)安全相關(guān)事項(xiàng)。本辦法為XX聯(lián)通數(shù)據(jù)安全總體管理辦法，IT系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)、對(duì)外合作數(shù)據(jù)安全管理要求還需遵循《聯(lián)通IT系統(tǒng)數(shù)據(jù)安全管理辦法》、《XX聯(lián)通基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)管理辦法（試行）》、《XX聯(lián)通大數(shù)據(jù)對(duì)外合作支撐管理辦法》中的相關(guān)規(guī)定。數(shù)據(jù)安全責(zé)任體系省公司信息安全部負(fù)責(zé)牽頭全省數(shù)據(jù)安全管理工作，具體安全職責(zé)如下：1、負(fù)責(zé)按照相關(guān)法律法規(guī)要求，制定公司數(shù)據(jù)安全管理整體方針策略。2、負(fù)責(zé)規(guī)劃數(shù)據(jù)安全技術(shù)保障措施，督促相關(guān)部門建設(shè)數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)防攻擊、防竊取、防泄漏、數(shù)據(jù)備份和恢復(fù)等安全技術(shù)保障措施。3、負(fù)責(zé)牽頭做好數(shù)據(jù)安全事件應(yīng)急處置，組織開展應(yīng)急演練。4、負(fù)責(zé)組織開展數(shù)據(jù)安全評(píng)估，按照上級(jí)評(píng)估工作要求及評(píng)估要點(diǎn)，針對(duì)重點(diǎn)業(yè)務(wù)類型和場(chǎng)景，組織相關(guān)單位完成數(shù)據(jù)安全合規(guī)性自評(píng)估。5、負(fù)責(zé)組織開展各類數(shù)據(jù)安全專項(xiàng)治理工作。6、負(fù)責(zé)公司內(nèi)部數(shù)據(jù)安全監(jiān)督檢查，定期對(duì)相關(guān)單位數(shù)據(jù)安全管理情況和落實(shí)效果進(jìn)行監(jiān)督檢查，及時(shí)督促問題整改。7、配合電信主管部門、集團(tuán)公司開展數(shù)據(jù)安全監(jiān)督檢查。8、負(fù)責(zé)組織教育培訓(xùn)等工作。省公司信息化專業(yè)是公司IT系統(tǒng)數(shù)據(jù)安全的管理責(zé)任部門，負(fù)責(zé)本省IT系統(tǒng)數(shù)據(jù)全生命周期管理；制定本省IT系統(tǒng)安全制度；負(fù)責(zé)建設(shè)本省IT系統(tǒng)安全保障平臺(tái)；負(fù)責(zé)本省大數(shù)據(jù)平臺(tái)數(shù)據(jù)采集、數(shù)據(jù)服務(wù)的業(yè)務(wù)評(píng)估以及安全合規(guī)性審核；其他本省范圍IT系統(tǒng)數(shù)據(jù)安全管理相關(guān)工作。省公司網(wǎng)絡(luò)運(yùn)營(yíng)部是公司基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)安全理責(zé)任部門，負(fù)責(zé)本單位網(wǎng)絡(luò)數(shù)據(jù)安全管理情況的具體落實(shí)；建立完善本單位網(wǎng)絡(luò)數(shù)據(jù)安全管理體系；組織開展本單位網(wǎng)絡(luò)數(shù)據(jù)監(jiān)督檢查工作；結(jié)合本省實(shí)際情況制定本單位網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)實(shí)施細(xì)則，并貫徹落實(shí)各項(xiàng)網(wǎng)絡(luò)數(shù)據(jù)管理要求。省公司市場(chǎng)部負(fù)責(zé)用戶授權(quán)相關(guān)政策落實(shí)，通過用戶協(xié)議和隱私政策明示收集目的、方式和范圍。省公司政企客戶事業(yè)部總體牽頭大數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)安全管理，負(fù)責(zé)統(tǒng)籌大數(shù)據(jù)對(duì)外業(yè)務(wù)發(fā)展規(guī)劃、產(chǎn)品引入評(píng)審管理、產(chǎn)品化管理、資費(fèi)管理、營(yíng)銷管理、培訓(xùn)管理、考核評(píng)價(jià)管理等工作。省公司客戶服務(wù)部負(fù)責(zé)建立健全數(shù)據(jù)安全投訴處理機(jī)制，受理用戶投訴。各數(shù)據(jù)運(yùn)營(yíng)、使用單位具體安全職責(zé)如下：1、遵守執(zhí)行公司各數(shù)據(jù)安全管理辦法，負(fù)責(zé)本單位建設(shè)的系統(tǒng)全生命周期數(shù)據(jù)安全。2、負(fù)責(zé)制定本單位數(shù)據(jù)安全技術(shù)保障要求，搭建本單位數(shù)據(jù)安全保障平臺(tái)。3、負(fù)責(zé)本單位的數(shù)據(jù)使用管理和安全審核，明確數(shù)據(jù)使用時(shí)間、用途和使用范圍，對(duì)接收到的數(shù)據(jù)在約定的范圍內(nèi)使用。4、負(fù)責(zé)本單位數(shù)據(jù)使用的人員管理，遵守公司數(shù)據(jù)安全相關(guān)規(guī)定。5、負(fù)責(zé)本單位與外部合作伙伴的數(shù)據(jù)合作安全保障，遵守國(guó)家法律法規(guī)及聯(lián)通對(duì)外合作的相關(guān)管理規(guī)定，按照合作關(guān)系簽訂數(shù)據(jù)合作協(xié)議，明確相關(guān)數(shù)據(jù)保密責(zé)任。省公司各部門、子公司和地市分公司應(yīng)至少配備一名數(shù)據(jù)安全管理員，負(fù)責(zé)本單位數(shù)據(jù)安全相關(guān)工作。數(shù)據(jù)分級(jí)分類根據(jù)數(shù)據(jù)在生產(chǎn)、經(jīng)營(yíng)和管理中的重要性，結(jié)合有關(guān)保密規(guī)定，按照內(nèi)網(wǎng)IT系統(tǒng)數(shù)據(jù)、基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)分別制定分級(jí)分類管理標(biāo)準(zhǔn)。內(nèi)網(wǎng)IT系統(tǒng)數(shù)據(jù)由省公司信息化專業(yè)管理；基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)由省公司網(wǎng)絡(luò)運(yùn)營(yíng)部管理。按照數(shù)據(jù)的重要程度和一旦發(fā)生相關(guān)數(shù)據(jù)安全事件對(duì)公司所帶來的危害程度，對(duì)數(shù)據(jù)實(shí)行分級(jí)管理。數(shù)據(jù)原則上分為關(guān)鍵級(jí)、重要級(jí)、較重要級(jí)、一般級(jí)4個(gè)級(jí)別，省公司信息化專業(yè)、網(wǎng)絡(luò)運(yùn)營(yíng)部要根據(jù)實(shí)際情況予以細(xì)分，具體分級(jí)如下：1、關(guān)鍵級(jí)：具有最高安全等級(jí)的數(shù)據(jù)。此類數(shù)據(jù)或涉及用戶的個(gè)人隱私、核心業(yè)務(wù)數(shù)據(jù)、組合信息，不正當(dāng)使用會(huì)對(duì)用戶或公司造成極為嚴(yán)重的影響。2、重要級(jí)：具有較高安全等級(jí)的數(shù)據(jù)。此類數(shù)據(jù)或涉及用戶的特征信息和日常業(yè)務(wù)數(shù)據(jù)，不正當(dāng)使用會(huì)對(duì)用戶或公司造成較為嚴(yán)重的影響。3、較重要級(jí)：具有較低數(shù)據(jù)安全等級(jí)的數(shù)據(jù)。此類數(shù)據(jù)不正當(dāng)使用會(huì)對(duì)用戶或公司造成一定的影響4、一般級(jí)：是指不具安全敏感度，可以公共訪問和對(duì)外發(fā)布的數(shù)據(jù)，并且不會(huì)產(chǎn)生任何安全問題按照數(shù)據(jù)的重要程度和一旦發(fā)生相關(guān)數(shù)據(jù)安全事件對(duì)公司所帶來的危害程度，對(duì)數(shù)據(jù)實(shí)行分級(jí)管理。數(shù)據(jù)原則上分為關(guān)鍵級(jí)、重要級(jí)、較重要級(jí)、一般級(jí)4個(gè)級(jí)別，省公司信息化專業(yè)、網(wǎng)絡(luò)運(yùn)營(yíng)部要根據(jù)實(shí)際情況予以細(xì)分，具體分級(jí)如下：省公司信息化專業(yè)、網(wǎng)絡(luò)運(yùn)營(yíng)部要根據(jù)數(shù)據(jù)內(nèi)容涉及的主體（個(gè)人客戶、公司客戶等）、顆粒度（明細(xì)、匯總等）、完整性（全量、樣本等）、真實(shí)性、數(shù)據(jù)量、數(shù)據(jù)位置等屬性進(jìn)行分類管理。針對(duì)較重要級(jí)以上的數(shù)據(jù)和用戶信息數(shù)據(jù)，相關(guān)部門要制定加密、脫敏等具體的安全管控措施，避免數(shù)據(jù)泄露、被竊取、篡改和濫用等事件發(fā)生。數(shù)據(jù)安全基礎(chǔ)管理按照“誰生成誰負(fù)責(zé)，誰使用誰負(fù)責(zé)，誰存儲(chǔ)誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)、誰受益誰負(fù)責(zé)，誰審批誰監(jiān)管”的原則，各單位應(yīng)承擔(dān)相關(guān)數(shù)據(jù)全生命周期的數(shù)據(jù)安全責(zé)任，防止數(shù)據(jù)的丟失、泄露。各單位應(yīng)遵循操作權(quán)限最小化原則，建立數(shù)據(jù)訪問權(quán)限控制體系，應(yīng)限制批量查詢、復(fù)制、轉(zhuǎn)移數(shù)據(jù)的操作權(quán)限。記錄數(shù)據(jù)訪問權(quán)限審批日志、數(shù)據(jù)訪問操作行為日志，并定期審計(jì)。數(shù)據(jù)應(yīng)避免手工離線操作，數(shù)據(jù)生命周期活動(dòng)應(yīng)在系統(tǒng)上實(shí)現(xiàn)，最大限度避免手工或離線方式進(jìn)行數(shù)據(jù)生命周期活動(dòng)。數(shù)據(jù)系統(tǒng)化保障原則，各級(jí)數(shù)據(jù)系統(tǒng)必須建立數(shù)據(jù)安全保障系統(tǒng)架構(gòu)，建立涵蓋網(wǎng)絡(luò)數(shù)據(jù)全生命周期的各個(gè)環(huán)節(jié)的數(shù)據(jù)安全保障平臺(tái)，具備系統(tǒng)化的數(shù)據(jù)安全保護(hù)能力。各單位應(yīng)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)巡查，對(duì)操作日志開展安全審計(jì)，發(fā)現(xiàn)和處置非授權(quán)訪問、批量復(fù)制或轉(zhuǎn)移等異常情況，及時(shí)消除安全隱患。涉及較重要級(jí)（含）以上數(shù)據(jù)的系統(tǒng)應(yīng)按照網(wǎng)絡(luò)安全防護(hù)工作要求，定期開展風(fēng)險(xiǎn)評(píng)估工作，對(duì)其中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)事項(xiàng)及時(shí)進(jìn)行整改；定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)所使用的操作系統(tǒng)、中間件、數(shù)據(jù)庫以及程序本身的高危安全漏洞，及時(shí)修補(bǔ)發(fā)現(xiàn)的安全漏洞以及配置不符合項(xiàng)。涉及較重要級(jí)（含）以上數(shù)據(jù)的系統(tǒng)應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分，不同安全域之間使用防火墻進(jìn)行隔離和訪問控制，并具備入侵檢測(cè)系統(tǒng)等防護(hù)手段。防火墻設(shè)備的訪問策略應(yīng)設(shè)置為默認(rèn)拒絕，只對(duì)特定的業(yè)務(wù)所必須的系統(tǒng)或維護(hù)終端開放訪問權(quán)限。涉及較重要級(jí)（含）以上數(shù)據(jù)的用戶權(quán)限申請(qǐng)、密碼初始化申請(qǐng)等，必須嚴(yán)格按照相關(guān)管理要求，經(jīng)相關(guān)流程審核批復(fù)后方可予以配置。對(duì)于能處理較重要級(jí)（含）以上數(shù)據(jù)的操作維護(hù)終端，應(yīng)統(tǒng)一安裝防病毒軟件，定期進(jìn)行安全掃描和加固，限制無線網(wǎng)絡(luò)的使用，應(yīng)有統(tǒng)一的接入控制，執(zhí)行統(tǒng)一的安全策略。各單位應(yīng)強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)防控意識(shí)，積極推動(dòng)對(duì)員工和第三方合作單位的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)教育、培訓(xùn)。數(shù)據(jù)生命周期各環(huán)節(jié)安全要求各單位應(yīng)圍繞數(shù)據(jù)生命周期五個(gè)環(huán)節(jié)，持續(xù)提升整體的數(shù)據(jù)安全保障能力。數(shù)據(jù)采集/生成：指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的環(huán)節(jié)。數(shù)據(jù)傳輸：指數(shù)據(jù)通過網(wǎng)絡(luò)在系統(tǒng)之間進(jìn)行流動(dòng)的環(huán)節(jié)。數(shù)據(jù)存儲(chǔ)：指非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)據(jù)格式進(jìn)行物理存儲(chǔ)的環(huán)節(jié)。數(shù)據(jù)使用：指動(dòng)態(tài)數(shù)據(jù)在系統(tǒng)自身內(nèi)部進(jìn)行的一系列活動(dòng)的環(huán)節(jié)。數(shù)據(jù)銷毀：指利用物理或者技術(shù)手段使數(shù)據(jù)永久或臨時(shí)性的不可用的環(huán)節(jié)。數(shù)據(jù)采集/生成過程安全要求各單位要在收集信息時(shí)明確告知用戶收集和使用規(guī)則，包括信息共享機(jī)制，并取得用戶授權(quán)同意，原則上統(tǒng)一使用集團(tuán)公司《中國(guó)聯(lián)通用戶隱私政策》模板。當(dāng)收集的信息超出授權(quán)范圍時(shí)，需要二次授權(quán)。數(shù)據(jù)采集/生成遵循“按需收集”的原則，數(shù)據(jù)采集前應(yīng)進(jìn)行業(yè)務(wù)評(píng)估。收集/生成的數(shù)據(jù)必須在上級(jí)主管部門和業(yè)務(wù)主管部門要求范圍之內(nèi)，嚴(yán)禁擅自擴(kuò)大數(shù)據(jù)收集/生成的范圍。原則上不允許通過分光鏡像方式進(jìn)行數(shù)據(jù)收集。如果確有需要，必須經(jīng)過省公司網(wǎng)絡(luò)信息安全管理部門審批。對(duì)外合作中采集的非本單位數(shù)據(jù)應(yīng)合法獲得，無接收系統(tǒng)的冗余數(shù)據(jù)應(yīng)在采集環(huán)節(jié)及時(shí)刪除。相關(guān)設(shè)備及系統(tǒng)要對(duì)收集/生成數(shù)據(jù)的操作進(jìn)行日志記錄，并對(duì)日志記錄中的身份信息和鑒權(quán)信息進(jìn)行模糊化處理。數(shù)據(jù)傳輸過程安全要求不得隨意向其他單位或部門轉(zhuǎn)移各類相關(guān)數(shù)據(jù)信息。數(shù)據(jù)轉(zhuǎn)移須在業(yè)務(wù)主管部門要求范圍之內(nèi)，嚴(yán)禁擅自擴(kuò)大網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移范圍，或轉(zhuǎn)移與業(yè)務(wù)無直接關(guān)系的內(nèi)容。數(shù)據(jù)傳輸過程中，應(yīng)建立完善的數(shù)據(jù)傳輸保護(hù)機(jī)制，包括數(shù)據(jù)加密、完整性校驗(yàn)等手段。對(duì)于跨越互聯(lián)網(wǎng)或不同等級(jí)安全域之間的數(shù)據(jù)傳輸，必須進(jìn)行加密，以實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩?。轉(zhuǎn)移數(shù)據(jù)時(shí)，數(shù)據(jù)接收單位應(yīng)具備信息保護(hù)技術(shù)能力，達(dá)到信息保護(hù)相關(guān)標(biāo)準(zhǔn)要求。要強(qiáng)化傳輸接口安全管控，采取系統(tǒng)間接口的設(shè)備鑒權(quán)、通過MAC地址、IP地址或端口號(hào)綁定、訪問控制策略等方式限制違規(guī)設(shè)備接入。數(shù)據(jù)接收單位應(yīng)在訪問和使用完成后，及時(shí)通知數(shù)據(jù)輸出單位收回相關(guān)權(quán)限。相關(guān)設(shè)備及系統(tǒng)應(yīng)對(duì)數(shù)據(jù)的轉(zhuǎn)移操作進(jìn)行日志記錄，并對(duì)日志記錄中的敏感信息進(jìn)行模糊化處理。數(shù)據(jù)存儲(chǔ)過程安全要求要采取加密、鑒權(quán)、數(shù)字簽名等安全措施保障數(shù)據(jù)存儲(chǔ)安全，防止對(duì)數(shù)據(jù)傳輸介質(zhì)的未授權(quán)訪問、損害和干擾。原則上，關(guān)鍵級(jí)數(shù)據(jù)要加密存儲(chǔ)，并按照有關(guān)規(guī)定選擇適當(dāng)?shù)臄?shù)據(jù)加密算法；較重要級(jí)（含）以上數(shù)據(jù)在存儲(chǔ)時(shí)是否需要采取加密措施，在風(fēng)險(xiǎn)評(píng)估時(shí)予以明確。對(duì)于較重要級(jí)（含）以上數(shù)據(jù)，按照實(shí)際系統(tǒng)需要，在存儲(chǔ)時(shí)要充分利用模糊化等脫敏措施。對(duì)于數(shù)據(jù)備份，要按照各專業(yè)相關(guān)管理規(guī)定執(zhí)行，每年制定數(shù)據(jù)備份計(jì)劃，并按照備份計(jì)劃嚴(yán)格執(zhí)行。數(shù)據(jù)必須存儲(chǔ)在本地，并具備容災(zāi)備份，如需采用云端存儲(chǔ)作為異址備份，則應(yīng)選用聯(lián)通自有云端存儲(chǔ)。數(shù)據(jù)使用過程安全要求對(duì)于較重要級(jí)（含）以上數(shù)據(jù)，要通過數(shù)據(jù)需求單位申請(qǐng)、數(shù)據(jù)輸出單位及各專業(yè)線數(shù)據(jù)安全責(zé)任單位審批后方能使用。數(shù)據(jù)需求單位必須明確具體的數(shù)據(jù)內(nèi)容和用途，并保證相關(guān)數(shù)據(jù)不泄露和被濫用。數(shù)據(jù)輸出單位應(yīng)建立數(shù)據(jù)使用審核機(jī)制，明確數(shù)據(jù)使用中的安全要求。禁止擅自向開發(fā)測(cè)試環(huán)境導(dǎo)入真實(shí)網(wǎng)絡(luò)數(shù)據(jù)。如因工作需要必須進(jìn)行導(dǎo)入操作時(shí)，必須經(jīng)過審批后方可實(shí)施，并對(duì)不必要的真實(shí)數(shù)據(jù)與信息進(jìn)行模糊化脫敏處理。嚴(yán)禁第三方人員擅自接觸生產(chǎn)系統(tǒng)所承載的數(shù)據(jù)，如工作需要必須通過審批后方可實(shí)施，操作過程中有局方陪同進(jìn)行。相關(guān)設(shè)備及系統(tǒng)應(yīng)對(duì)數(shù)據(jù)的使用操作進(jìn)行日志記錄，記錄內(nèi)容至少包括訪問人員、訪問對(duì)象、訪問時(shí)間、訪問操作等。數(shù)據(jù)銷毀過程安全要求公司內(nèi)部數(shù)據(jù)使用者有義務(wù)根據(jù)服務(wù)協(xié)議的約定，定期銷毀數(shù)據(jù)和相關(guān)載體，并接受相關(guān)部門的檢查。對(duì)外數(shù)據(jù)合作方有義務(wù)配合XX聯(lián)通數(shù)據(jù)安全管理工作，對(duì)約定到期的數(shù)據(jù)和相關(guān)載體進(jìn)行銷毀，對(duì)違反約定的行為XX聯(lián)通有權(quán)進(jìn)行追責(zé)并采取相關(guān)措施。數(shù)據(jù)刪除和銷毀的操作，必須經(jīng)過審批后方可實(shí)施，并進(jìn)行記錄。下線報(bào)廢設(shè)備，必須經(jīng)過消磁、粉碎等不可逆技術(shù)手段對(duì)承載的數(shù)據(jù)及敏感數(shù)據(jù)進(jìn)行銷毀。下線再利用設(shè)備，必須通過技術(shù)手段對(duì)其承載的數(shù)據(jù)進(jìn)行脫敏處理，消除信息識(shí)別性內(nèi)容，確保處理后的數(shù)據(jù)不可還原。對(duì)于系統(tǒng)所更換下來的數(shù)據(jù)存儲(chǔ)介質(zhì)，必須采用有效的手段由維護(hù)人員負(fù)責(zé)徹底刪除涉及客戶信息等敏感數(shù)據(jù)，才可離開其所在的安全區(qū)域。不再使用的數(shù)據(jù)存儲(chǔ)介質(zhì)，應(yīng)通過消磁、粉碎等技術(shù)手段由維護(hù)人員負(fù)責(zé)及時(shí)銷毀。需要銷毀的電子信息存儲(chǔ)介質(zhì)類型包括：硬盤、軟盤、光盤、U盤以及各種存儲(chǔ)芯片等。數(shù)據(jù)共享合作安全管理數(shù)據(jù)共享合作前應(yīng)簽訂數(shù)據(jù)安全協(xié)議，明確規(guī)定合作各方數(shù)據(jù)使用權(quán)限、安全保護(hù)責(zé)任、必要的安全保護(hù)措施以及違約責(zé)任和處罰條款。原則上，各單位不對(duì)非中國(guó)聯(lián)通集團(tuán)所屬單位提供較重要級(jí)（含）以上數(shù)據(jù)。特殊情況，需對(duì)外提供較重要級(jí)（含）以上數(shù)據(jù)的，必須經(jīng)過公司相應(yīng)業(yè)務(wù)主管部門和網(wǎng)絡(luò)信息安全管理部門審批。較重要級(jí)（含）以上數(shù)據(jù)共享合作前，必須對(duì)數(shù)據(jù)共享需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定能夠有效控制風(fēng)險(xiǎn)的數(shù)據(jù)共享方案，并通過OA正式公文或電子工單經(jīng)過本單位領(lǐng)導(dǎo)審批通過后方可實(shí)施。數(shù)據(jù)提供部門要建立業(yè)務(wù)合作方風(fēng)險(xiǎn)監(jiān)督管理機(jī)制，加強(qiáng)對(duì)業(yè)務(wù)合作方數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)督管理，嚴(yán)禁業(yè)務(wù)合作方超出合同約定目的和范圍使用分析數(shù)據(jù)。相關(guān)系統(tǒng)數(shù)據(jù)共享接口要遵循最小化原則，不得在無實(shí)際需求的情況下，提供數(shù)據(jù)。各單位應(yīng)加強(qiáng)第三方人員安全管理，嚴(yán)格第三方人員賬號(hào)和權(quán)限管理，加強(qiáng)對(duì)第三方人員操作的安全審計(jì)，明確規(guī)定第三方人員的數(shù)據(jù)安全責(zé)任及安全責(zé)任的懲處規(guī)定。數(shù)據(jù)安全評(píng)估參照公司新技術(shù)新業(yè)務(wù)信息安全評(píng)估管理辦法，執(zhí)行“業(yè)務(wù)部門自評(píng)+信安部門復(fù)評(píng)”二級(jí)數(shù)據(jù)安全評(píng)估制度。涉及較重要級(jí)（含）以上數(shù)據(jù)數(shù)據(jù)采集/生成、傳輸、存儲(chǔ)、使用、銷毀的業(yè)務(wù)，在上線前必須經(jīng)過評(píng)估。評(píng)估內(nèi)容包括但不限于數(shù)據(jù)安全風(fēng)險(xiǎn)情況、數(shù)據(jù)合規(guī)使用提供情況、數(shù)據(jù)安全保障措施合規(guī)與完善程度、合作方數(shù)據(jù)安全保護(hù)水平。對(duì)于評(píng)估結(jié)論為“風(fēng)險(xiǎn)較大”的業(yè)務(wù)，業(yè)務(wù)部門需立即下線整改，直至重新通過評(píng)估后方可上線。數(shù)據(jù)安全應(yīng)急響應(yīng)各級(jí)數(shù)據(jù)安全管理部門應(yīng)建立應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案和流程，定期開展應(yīng)急演練。當(dāng)數(shù)據(jù)發(fā)生或者可能發(fā)生泄漏、毀損、丟失的，應(yīng)立即采取補(bǔ)救措施；造成或者可能造成嚴(yán)重后果的，應(yīng)當(dāng)立即向上級(jí)主管部門報(bào)告，并配合調(diào)查處理。數(shù)據(jù)安全應(yīng)急工作堅(jiān)持“統(tǒng)一指揮、分級(jí)分工負(fù)責(zé)、及時(shí)預(yù)警、密切協(xié)同、快速處置、確?；謴?fù)”的原則。對(duì)于上級(jí)主管部門通知或社會(huì)披露的與本單位相關(guān)的數(shù)據(jù)安全風(fēng)險(xiǎn)信息，如系統(tǒng)漏洞、業(yè)務(wù)漏洞、數(shù)據(jù)泄露等，應(yīng)立即