安全制度-數(shù)據(jù)安全管理辦法

本資料由安全熊公眾號出品，僅作為學習交流目的，供參考。數(shù)據(jù)安全管理辦法2022年1月訂定權責單位：組第一章總則為了規(guī)范公司的數(shù)據(jù)資產管理，進一步完善數(shù)據(jù)安全管理體系，保證公司數(shù)據(jù)資產及其支撐系統(tǒng)的完整性、機密性和可用性，避免數(shù)據(jù)泄密，根據(jù)國家有關法律法規(guī)，特制定本辦法。本辦法所稱的數(shù)據(jù)是指：公司業(yè)務系統(tǒng)、數(shù)據(jù)倉庫以及數(shù)據(jù)產品中生成的數(shù)據(jù)，適用于數(shù)據(jù)的產生、傳輸、使用、存儲、共享、歸檔/銷毀全鏈路的數(shù)據(jù)安全管理環(huán)節(jié)。本辦法內容包括：總則、數(shù)據(jù)資產范圍、數(shù)據(jù)安全管理角色及崗位職責、數(shù)據(jù)分級分類規(guī)范、數(shù)據(jù)安全規(guī)范細則、數(shù)據(jù)輸出管理細則、附則七章。本辦法適用于總公司及各分支機構。第二章數(shù)據(jù)資產范圍公司數(shù)據(jù)安全管理涉及的范圍包括：（一）數(shù)據(jù)資產：所有存儲在線上數(shù)據(jù)庫和數(shù)據(jù)倉庫中的數(shù)據(jù)，包括但不限于：1、公司擁有的數(shù)據(jù)；2、第三方委托公司存儲處理的受合同約束的數(shù)據(jù)。（二）支撐系統(tǒng)：所有的支撐設施，例如直接或間接參與確保上述數(shù)據(jù)完整性、機密性以及可用性相關的人或系統(tǒng)，包括但不限于：1、場所，如：辦公室、云服務器、公司機房；2、硬件，如：服務器、網(wǎng)絡設備、筆記本電腦、臺式電腦、存儲設備、移動設備；3、軟件，如：操作系統(tǒng)、商業(yè)軟件、自行開發(fā)的軟件；4、人員，如：員工、外包、除員工和外包人員外的第三方人員（以下簡稱第三方人員）。（三）文檔和記錄：所有與管理、使用及控制上述數(shù)據(jù)資產及其支持系統(tǒng)相關的策略、流程及操作手冊和記錄。第三章數(shù)據(jù)安全管理角色設置及崗位職責數(shù)據(jù)安全管理角色設置及崗位職責：（一）****組****組是數(shù)據(jù)安全的主管部門，承擔以下職責:1、引導數(shù)據(jù)使用部門，對數(shù)據(jù)進行分級分類，制定數(shù)據(jù)安全管理體系；2、定期安排及開展數(shù)據(jù)安全管理審計；3、定期對數(shù)據(jù)資產支持系統(tǒng)進行審計；4、推動相關方對數(shù)據(jù)安全問題進行改進；5、推動數(shù)據(jù)安全識別和建立數(shù)據(jù)安全管理關鍵控制點。（二）部門數(shù)據(jù)安全負責人部門數(shù)據(jù)安全負責人由各部門負責人擔任，負責部門內的數(shù)據(jù)安全管理，主要承擔以下職責：1、確保各自團隊的業(yè)務開展與公司數(shù)據(jù)安全策略、流程及操作指引的要求一致，并確保部門員工（包括外包人員）得到適當?shù)臄?shù)據(jù)安全培訓；2、在各自負責的職責范圍內開展數(shù)據(jù)安全管理和復核工作；3、在各自負責的職責范圍內配合公司的數(shù)據(jù)安全管理和風險評估工作。（三）數(shù)據(jù)資產責任人數(shù)據(jù)資產責任人由部門負責人指定，基于業(yè)務或職能分工，對與其業(yè)務相關的數(shù)據(jù)資產的完整性、機密性及可用性負責，主要承擔以下職責：1、評估各自負責的數(shù)據(jù)資產對公司的重要性，協(xié)助****組進行數(shù)據(jù)分級工作；2、承擔風險評估的細節(jié)工作，如：識別控制、協(xié)助評估控制的有效性；3、協(xié)助對數(shù)據(jù)資產訪問權限進行定期復核；4、協(xié)助數(shù)據(jù)安全事件的調查和處理；5、協(xié)助數(shù)據(jù)安全管理審計工作；6、引導使用方合理使用各自負責的數(shù)據(jù)資產；7、協(xié)助****組完善數(shù)據(jù)安全管理體系。第四章數(shù)據(jù)分級分類規(guī)范數(shù)據(jù)分級定義根據(jù)數(shù)據(jù)價值、敏感性、數(shù)據(jù)風險及法律法規(guī)要求，將數(shù)據(jù)分為四個級別：絕密、機密、保密、公開。級別定義核心商密（L4）非授權的公開、泄露將直接對公司、客戶或者員工造成嚴重不利影響（例如：造成重大經濟損失、嚴重破壞公司聲譽、造成監(jiān)管問責，以及發(fā)生重大法律責任等）的數(shù)據(jù)。指一旦泄露、披露或濫用可能危害人身和財產安全、損害個人名譽和身心健康、導致歧視性待遇等的個人信息。一般商密(L3)非授權的公開、泄露將直接對公司、客戶或者員工造成不利影響（例如：造成經濟損失、破壞公司聲譽、可能發(fā)生法律責任等）的數(shù)據(jù)。指能夠單獨識別自然人身份或者反映特定自然人活動情況的信息。公司內部(L2)非授權的公開、泄露將直接對公司、客戶或者員工造成較小不利影響的數(shù)據(jù)。外部公開(L1)允許被公共訪問和對外發(fā)布的信息，并且公開信息可以自由散布而不會產生任何安全和法律問題。數(shù)據(jù)分級示例：級別典型示例核心商密（L4）公司級未公開的財務預算報告及各類財務報表、統(tǒng)計報表公司級尚未付諸實施的經營戰(zhàn)略、經營規(guī)劃公司級業(yè)務相關的核心數(shù)據(jù)公司人事檔案公司業(yè)務系統(tǒng)源代碼公司關鍵業(yè)務系統(tǒng)的賬號密碼一般商密(L3)關鍵項目的計劃、方案等個人身份標識數(shù)據(jù)公司業(yè)務系統(tǒng)的賬號密碼公司內部安全管理策略公司內部項目開發(fā)文檔公司內部(L2)公司內部全員公告、通知公司通訊錄公司內部規(guī)章管理制度外部公開(L1)公司對外公布的經營數(shù)據(jù)數(shù)據(jù)分級標注要求：級別標注要求核心商密（L4）在文件顯著位置標注密級、保密期限、知悉范圍。在文件首頁標注份號，份號應與知悉范圍相對應。一般商密(L3)在文件顯著位置標注密級、保密期限、知悉范圍。公司內部(L2)可在文件顯著位置標注密級，無密級標注的文件默認為內部資料級別。外部公開(L1)無標注要求。定義為公開的信息須經相關部門授權。數(shù)據(jù)分級授權要求：級別授權要求核心商密（L4）需得到公司領導批準。一般商密(L3)需得到密級確定部門主要負責人批準。公司內部(L2)需得到所有者批準。外部公開(L1)無限制。數(shù)據(jù)分級存儲要求：級別存儲要求核心商密（L4）電子類的應妥善保存在設有安全控制的計算機系統(tǒng)內。介質由知悉部門保密執(zhí)行人專人專柜保存。一般商密(L3)電子類的應妥善保存在設有安全控制的計算機系統(tǒng)內。介質由知悉部門保密執(zhí)行人專人專柜保存。公司內部(L2)應妥善保管。外部公開(L1)無限制。數(shù)據(jù)分級復制要求：級別復制要求核心商密（L4）禁止復制。一般商密(L3)由定密部門保密執(zhí)行人進行，復制件上應加蓋復制部門公章，并在顯著位置注明“復制件”字樣和復制日期。公司內部(L2)根據(jù)工作需求執(zhí)行。外部公開(L1)無限制。數(shù)據(jù)分級郵件要求：級別郵件要求核心商密（L4）禁止郵件直接發(fā)送，經授權后做電子簽名或加密控制，經安全的途徑發(fā)送，不得發(fā)送到公眾或私人電子郵件賬戶，并保留發(fā)送記錄。一般商密(L3)須經密級確定部門負責人許可，郵件發(fā)送應做加密控制，不得發(fā)送到公眾或私人電子郵件賬戶，并保留發(fā)送記錄。公司內部(L2)根據(jù)工作需求執(zhí)行。外部公開(L1)無限制。數(shù)據(jù)分級銷毀要求：級別銷毀要求核心商密（L4）碎紙機或集中銷毀；徹底銷毀介質；一般商密(L3)碎紙機或集中銷毀；徹底銷毀介質；公司內部(L2)碎紙機或集中銷毀；刪除數(shù)據(jù)；外部公開(L1)無限制。數(shù)據(jù)分類定義按照類別，將數(shù)據(jù)分為如下基本的三類數(shù)據(jù)：用戶類數(shù)據(jù)(用“U”表示)：用戶的基本信息和用戶提供給公司使用的數(shù)據(jù)，以及自身相關的行為數(shù)據(jù)、交易數(shù)據(jù)等。這些信息屬于用戶或者和用戶直接相關。業(yè)務類數(shù)據(jù)(用“B”表示)：公司業(yè)務開展所需要的數(shù)據(jù)，包括：公司各個業(yè)務系統(tǒng)的費率、重要合作伙伴名單、合作授權價格信息等。公司類數(shù)據(jù)（用“C”表示），包括：公司的財務數(shù)據(jù)、管理數(shù)據(jù)及運營數(shù)據(jù)（尚未公布的公司經營規(guī)劃和財務報告、法律文件等）；公司的服務、內部系統(tǒng)、軟件等產生的數(shù)據(jù)，各種系統(tǒng)的賬戶和密碼；員工在工作中產生的所有數(shù)據(jù)，如源代碼、操作記錄、項目文檔等。數(shù)據(jù)分類分級矩陣關系如下：外部公開（L1）公司內部（L2）一般商密（L3）核心商密（L4）用戶數(shù)據(jù)(U)客戶公開數(shù)據(jù)(U1)客戶內部數(shù)據(jù)(U2)客戶保密數(shù)據(jù)(U3)客戶機密數(shù)據(jù)(U4)業(yè)務數(shù)據(jù)(B)業(yè)務公開數(shù)據(jù)(B1)業(yè)務內部數(shù)據(jù)(B2)業(yè)務保密數(shù)據(jù)(B3)業(yè)務機密數(shù)據(jù)(B4)公司數(shù)據(jù)(C)公司公開數(shù)據(jù)(C1)公司內部數(shù)據(jù)(C2)公司保密數(shù)據(jù)(C3)公司機密數(shù)據(jù)(C4)數(shù)據(jù)使用過程中的升級原則（一）客戶個人數(shù)據(jù)：當個人間接識別信息（U2）與個人直接識別信息（U3）結合或者多個個人間接識別信息（U2）關聯(lián)后，能識別特定自然人身份或自然人行為軌跡的參照個人直接識別信息（U3）保護要求進行的對應安全管理；擁有可將個人間接識別信息（U2）關聯(lián)到某一特定數(shù)據(jù)主體的附加信息，則有關個人間接識別信息（U2），應按照個人直接識別信息（U3）保護。個人間接識別信息（U2）與個人直接識別信息（U3）結合或者多個個人間接識別信息（U2）關聯(lián)后，符合個人敏感信息（U4）定義，參照個人敏感信息（U4）保護要求的對應安全管理。與個人敏感信息（U4）結合使用的個人間接識別信息（U2）或個人直接識別信息（U3），參照個人敏感信息（U4）保護要求的對應安全管理。將個人間接識別信息（U2）或個人直接識別信息（U3）關聯(lián)到某一特定數(shù)據(jù)主體的附加信息，信息組合后符合個人敏感信息（U4）定義的，應按照個人敏感信息（U4）保護。用戶個人數(shù)據(jù)默認分級特別說明：具有特定指向性的個人信息，級別應認定為U3及以上。（二）同一次申請數(shù)據(jù)量超過一定的閥值（建議值是1萬條記錄）,數(shù)據(jù)自動升級到更高一個級別；（三）在某個特定業(yè)務背景或特殊階段要求下，可以根據(jù)具體情況進行數(shù)據(jù)升級。第五章數(shù)據(jù)安全規(guī)范細則數(shù)據(jù)資產清單每個數(shù)據(jù)資產應有其相應的責任人，數(shù)據(jù)資產責任人應理解并執(zhí)行本規(guī)范中定義的職責。部門數(shù)據(jù)安全負責人負責定義和維護上述適用范圍內的數(shù)據(jù)資產清單。數(shù)據(jù)分類和處理部門數(shù)據(jù)安全負責人應確保所有的數(shù)據(jù)資產都被適當?shù)姆旨?，并根?jù)不同的級別，推動相關方建立和實施相應的保護措施，保護措施應考慮到數(shù)據(jù)的存儲、訪問、傳輸及分發(fā)等環(huán)節(jié)。數(shù)據(jù)安全基本準則所有的員工、外包及第三方人員需遵守公司的數(shù)據(jù)安全基本準則，包括但不限于：（一）所有對數(shù)據(jù)庫及數(shù)據(jù)倉庫數(shù)據(jù)的分析、加工、處理等操作，必須在數(shù)據(jù)安全網(wǎng)絡中進行；（二）數(shù)據(jù)分析人員需要將上述數(shù)據(jù)傳遞給業(yè)務需求方時，必須先通過內部數(shù)據(jù)流程審批，審批通過之后，才能進行數(shù)據(jù)分發(fā)；（三）禁止使用個人或非公司提供的設備來接收或處理數(shù)據(jù)安全網(wǎng)絡和數(shù)據(jù)分發(fā)平臺的數(shù)據(jù)；（四）嚴禁在沒有得到適當授權的情況下，將上述范圍中的數(shù)據(jù)傳遞給第三方。任何違反上述要求的員工，將進行通報批評、情節(jié)嚴重的依據(jù)公司規(guī)定進行處罰。數(shù)據(jù)資產訪問控制數(shù)據(jù)資產及其處理設施的訪問控制應能保證數(shù)據(jù)的完整性、機密性及可用性；訪問授權應遵循最小授權以及除非特別授予否則默認禁止的原則；禁止將上述范圍中的數(shù)據(jù)存儲在非公司擁有的系統(tǒng)或信息處理設備上；各數(shù)據(jù)支撐系統(tǒng)所屬和管理部門應定期審查具有遠程訪問權限的人員，對于不再需要遠程訪問權限的賬號應立即禁用。風險評估****組定期對數(shù)據(jù)資產及其支撐處理設施進行風險評估，識別數(shù)據(jù)安全風險并建立和實施風險處置措施；****組及質量中心定期對評估結果及風險處置措施進行復核，以確保采取了適當?shù)目刂拼胧﹣肀ＷC數(shù)據(jù)的安全性。數(shù)據(jù)安全事件監(jiān)控****組及運維部應保證數(shù)據(jù)資產支撐系統(tǒng)建立數(shù)據(jù)異常訪問監(jiān)控機制，能夠及時識別非授權的訪問；部門數(shù)據(jù)安全負責人和****組應建立數(shù)據(jù)安全風險反饋流程，以及時收集數(shù)據(jù)安全風險，并采取適當?shù)娘L險處置措施。數(shù)據(jù)安全管理的監(jiān)督各部門負責人應定期復核所在部門具有數(shù)據(jù)資產及其支撐系統(tǒng)訪問權限的人員清單；****組將定期對公司內部各部門的數(shù)據(jù)安全管理執(zhí)行情況進行審計，并推動相關部