文档介绍:公司数据安全管理办法
编制
版本
修订记录
版本
修打章节
修订内容概述
修订日期
修订人
(二)协助数据安全归口管理部门开展数据资产的清查及 管理工作;
(三)协助数据安全归口管理部门开展数据安全审计、数 据安全合规性评估等监督检查工作;
(四)负责主管的业务系统数据安全相关事件上报和处置, 协助数据安全归口管理部门进行数据安全事件的查处。
(五)按照数据安全管控原则,合理设置相关业务人员岗 位、角色、权限及职责;
(六)负责落实主管业务的合作伙伴数据安全管理,包括 做好合作伙伴背景调查和安全资质审查、综合评估业务合 作伙伴的数据安全保障能力、签订数据安全保密协议、明 确数据安全违规的处罚措施和违约责任、加强数据操作管 理等;
第八条其他相关部门的职责
(一)人力资源部门:组织员工签订保密承诺书,及时发 布人员岗位变动、入离职的信息同步给帐号管理部门,协同 组织数据安全教育培训工作,参与对数据泄密人员的查处;
(二)采购、合规管理部门应在采购、合同管理阶段,审 核数据安全保护的要求,在合同中纳入数据安全保密条款;
第三章数据安全合规
第九条数据安全“三同步”
为保障公司生产运营中数据安全,落实业务安全“三同 步”的要求,应在公司数据生产运营流程的关键环节,采取 必要的安全控制措施,实现公司敏感数据可管可控。
(一)数据系统规划设计阶段
在数据系统规划设计阶段应全面梳理数据运营平台及 系统安全需求,明确相关资源,对敏感数据泄露、身份认证 缺陷等安全风险进行分析、评估,设计整体数据运营平台系 统安全保障方案,做好系统安全方案设计和方案评审两个环 节的安全控制。
(二)数据系统建设开发阶段
在数据系统建设开发阶段在设备采购、系统开发、测试 验收、上线试运行四个环节做好安全控制,落实整体安全保 障方案。
(三)数据系统运行维护阶段
在数据运营运行维护阶段应做好数据运营系统和平台 的监测、访问控制、账号管理、补丁更新等安全管理工作; 落实日常安全监测与保障,建立应急处置机制,保证数据业 务的连续运行;建立退由服务机制,确保不符合生产环境的 应用系统安全退由服务。
第十条数据泄露应急处理
(一)公司内部部门工作人员发生数据泄漏,应停止账 号使用并回收操作权限,报告分管部门领导和数据安全归口 管理专员,并保留相关日志记录,配合归口管理专员开展调 查和责任追究。事件严重的要按照相关的管理要求,上报公 司网络安全工作办公室进行处置。
(二)第三方人员发生数据泄漏,应立即停止其操作权 限,再向泄漏人员追讨数据,并报告分管部门领导和数据安 全归口管理专员,根据实际需要采取向第三方厂商通报、追 责等处理措施。事件严重的要按照相关的管理要求,上报公 司网络安全工作办公室进行处置。
(三)由于非人员因素,例如,黑客攻击等原因造成的 数据泄露,涉及的业务系统应立即采取包括网络封堵、关停 服务等措施避免数据的进一步泄露,报告数据安全管理专员 和部门领导,保留相关日志记录,配合数据安全管理专员开 展问题调查。问题严重的要按照公司安全管理制度要求,上 报公司网络安全办公室或网络安全领导小组进行处置。
第十一条数据资产管理与报送
涉及数据安全的部门应明确各自部门数据安全归口管理 人员,配合数据安全归口管理部门开展数据资产的清查和梳 理工作,负责各自部门业务或系统的数据安全资产的清查和 管理,并对清查和梳理的结果进行记录、 管理,按照附录《公
司数据安全保护清单》填写,确保资产管理的规范性、统一 性。
第十二条数据安全审计
数据安全审计是通过管理和技术两种手段,检查公司的
数据安全策略和数据安全风险控制措施的执行情况以及发 现安全风险,保障业务连续运转的过程。安全审计的范围应 包括与公司数据安全相关的所有范畴,包括各类数据资产、 业务流程、支撑生产经营活动正常运转的各类网络设备操作 日志、部门以及人员(管理层、员工、用户、第三方等)等, 同时还包括保障正常生产经营活动连续运转的应急响应及
恢复机制。
涉及数据安全的部门应根据各自部门的实际情况配合 数据安全归口管理部门定期或按监管要求开展数据安全风 险评估、数据安全合规性评估等监督检查工作,按照《公司 数据安全自评表》至少每年开展一次安全风险自评。
各相关部门负责数据安全审计的人员应对审计情况进 行汇总,梳理存在问题,通报结果,对发现的重大安全隐患 或违规行为,应向部门管理层汇报。
公司各部门的安全审计活动和后续整改工作应被正式 记录并保存。
第四章数据分类分级
为了能够更好的保护数据安全,公司应对敏感