文档介绍:公司数据安全管理办法
编制
版本
修订记录
目录
第一章总则4
第二章机构与人员6
第三章数据安全合规8
第四章数据分类分级11
第五章数据全生命周期管理15
第六章基础安全管理30
第七章问责限及职责;
(六)负责落实主管业务的合作伙伴数据安全管理,包括做好合作伙伴背景调查和安全资质审查、综合评估业务合作伙伴的数据安全保障能力、签订数据安全保密协议、明确数据安全违规的处罚措施和违约责任、加强数据操作管理等;第八条其他相关部门的职责
(一)人力资源部门:组织员工签订保密承诺书,及时发布人员岗位变动、入离职的信息同步给帐号管理部门,协同组织数据安全教育培训工作,参与对数据泄密人员的查处;
(二)采购、合规管理部门应在采购、合同管理阶段,审
核数据安全保护的要求,在合同中纳入数据安全保密条款;
第三章数据安全合规
第九条数据安全“三同步”
为保障公司生产运营中数据安全,落实业务安全“三同步”的要求,应在公司数据生产运营流程的关键环节,采取必要的安全控制措施,实现公司敏感数据可管可控。
(一)数据系统规划设计阶段
在数据系统规划设计阶段应全面梳理数据运营平台及系统安全需求,明确相关资源,对敏感数据泄露、身份认证缺陷等安全风险进行分析、评估,设计整体数据运营平台系统安全保障方案,做好系统安全方案设计和方案评审两个环节的安全控制。
(二)数据系统建设开发阶段
在数据系统建设开发阶段在设备采购、系统开发、测试验收、上线试运行四个环节做好安全控制,落实整体安全保障方案。
(三)数据系统运行维护阶段
在数据运营运行维护阶段应做好数据运营系统和平台的监测、访问控制、账号管理、补丁更新等安全管理工作;落实日常安全监测与保障,建立应急处置机制,保证数据业务的连续运行;建立退出服务机制,确保不符合生产环境的应用系统安全退出服务。
第十条数据泄露应急处理
(一)公司内部部门工作人员发生数据泄漏,应停止账号使用并回收操作权限,报告分管部门领导和数据安全归口管理专员,并保留相关日志记录,配合归口管理专员开展调查和责任追究。事件严重的要按照相关的管理要求,上报公司网络安全工作办公室进行处置。
(二)第三方人员发生数据泄漏,应立即停止其操作权限,再向泄漏人员追讨数据,并报告分管部门领导和数据安全归口管理专员,根据实际需要采取向第三方厂商通报、追责等处理措施。事件严重的要按照相关的管理要求,上报公司网络安全工作办公室进行处置。
(三)由于非人员因素,例如,黑客攻击等原因造成的数据泄露,涉及的业务系统应立即采取包括网络封堵、关停服务等措施避免数据的进一步泄露,报告数据安全管理专员和部门领导,保留相关日志记录,配合数据安全管理专员开展问题调查。问题严重的要按照公司安全管理制度要求,上报公司网络安全办公室或网络安全领导小组进行处置。
第十一条数据资产管理与报送
涉及数据安全的部门应明确各自部门数据安全归口管理人员,配合数据安全归口管理部门开展数据资产的清查和梳理工作,负责各自部门业务或系统的数据安全资产的清查和管理,并对清查和梳理的结果进行记录、管理,按照附录《公司数据安全保护清单》填写,确保资产管理的规范性、统一性。
第十二条数据安全审计
数据安全审计是通过管理和技术两种手段,检查公司的数据安全策略和数据安全风险控制措施的执行情况以及发现安全风险,保障业务连续运转的过程。安全审计的范围应包括与公司数据安全相关的所有范畴,包括各类数据资产、业务流程、支撑生产经营活动正常运转的各类网络设备操作日志、部门以及人员(管理层、员工、用户、第三方等)等,同时还包括保障正常生产经营活动连续运转的应急响应及恢复机制。
涉及数据安全的部门应根据各自部门的实际情况配合数据安全归口管理部门定期或按监管要求开展数据安全风险评估、数据安全合规性评估等监督检查工作,按照《公司数据安全自评表》至少每年开展一次安全风险自评。
各相关部门负责数据安全审计的人员应对审计情况进行汇总,梳理存在问题,通报结果,对发现的重大安全隐患或违规行为,应向部门管理层汇报。
公司各部门的安全审计活动和后续整改工作应被正式记录并保存。
第四章数据分类分级
为了能够更好的保护数据安全,公司应对敏感数据进行分类分级,从而可以针对不同种类和敏感级别的数据制定差异化的安全控制策略。
各部门要结合各自部门业务的实际情况,梳理各自部门涉及的数据并明确具体数据的分级。针对较敏感级(含)以上的数据必须分析其存在的风险并制定落实具体的安全管控措施,避免数据泄露、被窃取、篡改和滥用事件发生。第十三条数据分类详细信息
根据公司数据运营和开放服务的特点,结合有关部门规
范的规定和要求,将公司数据运营涉及的敏感数据分为四类
类别
子类