公司數(shù)據(jù)安全與保密制度

公司數(shù)據(jù)安全與保密制度第一章總則第一條為規(guī)范我公司的數(shù)據(jù)管理和保密工作，保障公司數(shù)據(jù)安全，提升企業(yè)競(jìng)爭(zhēng)力，特訂立本《公司數(shù)據(jù)安全與保密制度》（以下簡(jiǎn)稱(chēng)本制度）。第二條本制度適用于我公司及其全體員工，包含全職員工、兼職員工、臨時(shí)工和外包人員等。第三條公司數(shù)據(jù)包含但不限于公司內(nèi)部信息、財(cái)務(wù)數(shù)據(jù)、客戶信息、員工信息、業(yè)務(wù)數(shù)據(jù)等。保密范圍包含全部與公司利益相關(guān)的信息，無(wú)論形式和載體如何。第四條公司數(shù)據(jù)應(yīng)當(dāng)依據(jù)數(shù)據(jù)的緊要性和敏感程度進(jìn)行分類(lèi)、標(biāo)記和保護(hù)，確保數(shù)據(jù)的完整性、可用性和可靠性，防止數(shù)據(jù)泄露、丟失和非法使用。第五條全體員工應(yīng)當(dāng)緊密搭配公司的數(shù)據(jù)保密工作，自發(fā)遵守本制度的各項(xiàng)規(guī)定，保護(hù)公司的數(shù)據(jù)安全。第二章數(shù)據(jù)分類(lèi)與標(biāo)記第六條公司數(shù)據(jù)依據(jù)緊要性和敏感程度劃分為三個(gè)等級(jí)，分別為機(jī)密級(jí)、秘密級(jí)和普通級(jí)。第七條機(jī)密級(jí)數(shù)據(jù)是指對(duì)公司利益具有重點(diǎn)影響，一旦泄露可能對(duì)公司造成重點(diǎn)損失的數(shù)據(jù)，包含但不限于商業(yè)計(jì)劃、專(zhuān)利技術(shù)、緊要合同等。第八條秘密級(jí)數(shù)據(jù)是指對(duì)公司利益有肯定影響，一旦泄露可能對(duì)公司造成肯定損失的數(shù)據(jù)，包含但不限于客戶信息、員工合同等。第九條普通級(jí)數(shù)據(jù)是指對(duì)公司利益影響較小，泄露對(duì)公司造成的損失較小的數(shù)據(jù)，包含但不限于內(nèi)部文件、公共信息等。第十條公司數(shù)據(jù)應(yīng)當(dāng)依據(jù)其等級(jí)進(jìn)行明確標(biāo)記，標(biāo)記方式包含文字標(biāo)識(shí)、電子標(biāo)識(shí)等，并在存儲(chǔ)、傳輸和處理過(guò)程中進(jìn)行有效的安全掌控。第十一條公司數(shù)據(jù)的標(biāo)記和保護(hù)應(yīng)當(dāng)遵從以下原則：依據(jù)數(shù)據(jù)等級(jí)進(jìn)行明確的標(biāo)記；在數(shù)據(jù)傳輸和處理過(guò)程中使用加密技術(shù)保護(hù)數(shù)據(jù)的安全；對(duì)傳輸和備份的數(shù)據(jù)進(jìn)行完整性校驗(yàn)，確保數(shù)據(jù)的可靠性；限制員工對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，確保數(shù)據(jù)的可控性；對(duì)員工進(jìn)行數(shù)據(jù)保密教育和培訓(xùn)，提高員工的保密意識(shí)和技能。第三章數(shù)據(jù)存儲(chǔ)與傳輸?shù)谑l公司數(shù)據(jù)的存儲(chǔ)應(yīng)當(dāng)遵從以下原則：緊要的機(jī)密級(jí)和秘密級(jí)數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在位于公司內(nèi)部的專(zhuān)用服務(wù)器或安全存儲(chǔ)設(shè)備中；數(shù)據(jù)存儲(chǔ)設(shè)備應(yīng)當(dāng)定期進(jìn)行備份，并將備份數(shù)據(jù)存放在安全可靠的地方；禁止將公司數(shù)據(jù)存儲(chǔ)于個(gè)人電腦、移動(dòng)存儲(chǔ)設(shè)備等非安全設(shè)備上；禁止使用未經(jīng)授權(quán)的外部云存儲(chǔ)服務(wù)存儲(chǔ)公司數(shù)據(jù)。第十三條公司數(shù)據(jù)的傳輸應(yīng)當(dāng)遵從以下原則：數(shù)據(jù)傳輸應(yīng)當(dāng)使用安全加密通道，禁止在公共網(wǎng)絡(luò)傳輸機(jī)密級(jí)和秘密級(jí)數(shù)據(jù)；在數(shù)據(jù)傳輸過(guò)程中禁止使用非安全的傳輸工具和設(shè)備，如無(wú)線網(wǎng)絡(luò)、傳統(tǒng)郵件等；數(shù)據(jù)傳輸?shù)碾p方應(yīng)當(dāng)進(jìn)行身份認(rèn)證和安全驗(yàn)證，確保數(shù)據(jù)傳輸?shù)陌踩?；?shù)據(jù)傳輸完成后，應(yīng)當(dāng)及時(shí)刪除傳輸過(guò)程中產(chǎn)生的臨時(shí)文件和記錄。第四章數(shù)據(jù)處理與訪問(wèn)掌控第十四條公司數(shù)據(jù)的處理應(yīng)當(dāng)遵從以下原則：數(shù)據(jù)處理應(yīng)當(dāng)依照數(shù)據(jù)的等級(jí)和保密要求進(jìn)行，禁止在非安全環(huán)境下處理機(jī)密級(jí)和秘密級(jí)數(shù)據(jù)；數(shù)據(jù)處理應(yīng)當(dāng)記錄操作日志和審計(jì)信息，確保數(shù)據(jù)處理過(guò)程的可追溯性；數(shù)據(jù)處理過(guò)程中的臨時(shí)文件和副本應(yīng)當(dāng)妥當(dāng)管理，確保數(shù)據(jù)的安全。第十五條公司數(shù)據(jù)的訪問(wèn)掌控應(yīng)當(dāng)遵從以下原則：對(duì)不同等級(jí)的數(shù)據(jù)設(shè)定不同的訪問(wèn)權(quán)限，實(shí)行最小權(quán)限原則；員工的數(shù)據(jù)訪問(wèn)權(quán)限應(yīng)當(dāng)與其工作職責(zé)相匹配，定期進(jìn)行權(quán)限審查；禁止將個(gè)人的訪問(wèn)權(quán)限轉(zhuǎn)授他人，嚴(yán)禁共享賬號(hào)和密碼；禁止未經(jīng)授權(quán)的人員訪問(wèn)機(jī)密級(jí)和秘密級(jí)數(shù)據(jù)；對(duì)特定的敏感數(shù)據(jù)設(shè)定特殊的權(quán)限掌控和審計(jì)監(jiān)控。第五章數(shù)據(jù)安全事件處理第十六條公司數(shù)據(jù)安全事件包含但不限于數(shù)據(jù)泄露、數(shù)據(jù)丟失、非法訪問(wèn)等。第十七條公司對(duì)數(shù)據(jù)安全事件的處理應(yīng)當(dāng)遵從以下原則：及時(shí)發(fā)現(xiàn)、報(bào)告和處理數(shù)據(jù)安全事件，確保事件得到妥當(dāng)處理；對(duì)數(shù)據(jù)安全事件進(jìn)行調(diào)查和分析，確定事件的原因和影響；對(duì)數(shù)據(jù)安全事件的影響進(jìn)行評(píng)估和掌控，采取必需的挽救措施；對(duì)數(shù)據(jù)安全事件的責(zé)任人進(jìn)行追責(zé)和懲罰，確保仿佛事件不再發(fā)生；整理和總結(jié)數(shù)據(jù)安全事件的處理經(jīng)驗(yàn)，改進(jìn)和完善數(shù)據(jù)安全措施。第十八條公司應(yīng)當(dāng)建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制，進(jìn)行數(shù)據(jù)安全演練和培訓(xùn)，提高應(yīng)對(duì)突發(fā)事件的本領(lǐng)和響應(yīng)效率。第六章附則第十九條公司將對(duì)員工的數(shù)據(jù)保密行為進(jìn)行監(jiān)督和檢查，發(fā)現(xiàn)違反本制度的行為將依據(jù)公司相關(guān)規(guī)定進(jìn)行處理。第二十條本制