集团公司数据安全管理制度

数据安全管理制度（试行）
2022年8月
1数据安全管理制度概述
1.1编写目的
为加强数据信息的安全管理，保证公司数据的安全性、可靠性、完整性和有效性，特制定本管理制度,对数据进行有效保护，防止未经授权地修改、泄漏和破坏公司数据。

1.2适用范围
本制度适用于公司内所有员工及相关外部信息系统承建厂商、团队，所有人员应明确本制度,支持本制度,并强制遵守。

本制度也将作为员工遵守情况及复查的基本原则。

违反本制度者经查实将由公司管理部门进行处理,可视其轻重对其进行相应惩处。

数据管理部负责指导及协调本制度的实施，根据公司实际业务发展状况，数据管理部将在获得公司领导同意后酌情修正本制度，以使其符合公司的实际情况。

数据管理部负责本制度的解释及修正。

1.3规范性引用文件
下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 25069-2010 信息安全技术术语
GB/T 35273-2020 信息安全技术个人信息安全规范
GB/T 35274-2017 信息安全技术大数据服务安全能力要求
1.4术语和定义
下列术语和定义适用于本文件。

公司业务数据
公司在履行职责过程中产生、获取和使用的数据资源。

大数据
具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。

数据服务
提供数据采集、数据传输、数据存储、数据处理（包括计算、分析、可视化等）、数据交换、数据销毁等数据生存形态演变的一种网络信息服务。

数据共享
让不同的数据使用者能够访问平台整合的各种数据资源，并通过数据服务或数据交换技术对这些数据资源进行相关的计算、分析、可视化等处理。

重要数据
不涉及国家秘密，但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民生、公共利益的未公开数据。

个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

大数据平台
采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。

数据提供者
数据的提供者。

数据使用者
数据的获取者。

数据拥有者：
拥有数据的所有权；拥有对数据的处置权利；对数据进行分类与分级；指定数据资产的管理者/维护人；
数据管理者
被授权管理相关数据资产；负责数据的日常维护和管理；
数据访问者
在授权的范围内访问所需数据；确保访问对象的机密性、完整性、可用性等；
数据活动
组织机构针对数据开展的一组特定任务的集合，数据活动主要包括采集、存储、传输、治理、共享、销毁等。

2数据管理制度规定
2.1组织和人员管理
通过建立组织机构负责数据安全工作，防范组织和人员管理过程中存在的数据安全风险。

应符合以下内容：
（1）建立组织层面的数据安全领导小组，指定机构最高管理者或授权代表担任小组组长，并明确了组长的责任与权力；
（2）建立组织层面专职的数据安全职能部门和岗位，明确其工作职责，以及职能部门之间的协作关系和配合机制，并在职能岗位设计时考虑职责分离的原则；（3）确保人力资源部门与负责数据安全的部门能够进行有效配合；
（4）建立组织内部的监督管理职能部门，负责对组织内部的数据操作行为进行安全监督；
（5）明确在组织层面人力资源管理中承担数据安全要求制定和执行的人员或岗位，并与数据安全人员进行有效配合；
（6）明确组织层面承担人员数据安全培训管理职责的岗位和人员，负责对数据安全培训需求的分析及落地方案的制定和推进；
（7）明确数据安全追责机制，定期对责任部门和安全岗位组织安全检查，形成检查报告；
（8）明确数据服务人力资源安全策略，明确不同岗位人员在数据生存周期各阶段相关的工作范畴和安全管控措施；
（9）明确组织层面的数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度，将数据安全相关的要求固化到人力资源管理流程中；（10）在录用重要岗位人员前对其进行背景调查，符合相关的法律、法规、合同要求，对数据安全员工候选者的背景调查中也包含了对候选者的安全专业能力的调查；
（11）明确数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求；
（12）明确针对合作方的安全管理制度，对接触个人信息、重要数据等数据的人员进行审批和登记，并要求签署保密协议，定期对这些人员行为进行安全审查；（13）在重要岗位人员调离或终止劳动合同前，与其签订保密协议或竞业协议；（14）明确组织内部员工的数据安全培训计划，按计划定期对员工开展数据安全培训；
（15）明确重要岗位人员的数据安全培训计划，并在重要岗位转岗、岗位升级等环节对相关人员开展培训；
（16）按最少够用原则为入职员工分配初始权限；
（17）及时终止或变更离岗和转岗员工的数据操作权限，并及时将人员的变更通知到相关方；
（18）以公开信息且可查询的形式，面向组织全员公布数据安全职能部门的组织架构；
（19）确保负责组织和人员管理的人员充分理解人力资源管理流程中可对安全风险进行把控的环节；
（20）开展针对员工入职过程中的数据安全教育，通过培训、考试等手段提升其整体的数据安全意识水平；
（21）负责设置数据安全职能的人员，能够明确组织的数据安全工作目标。

2.2数据存储管理
2.2.1数据安全分级要求
2.2.2用户及密码安全管理
1.用户账号管理
各应用信息系统的账号申请一般由该部门的负责人审批，审批同意后提交该系统的系统管理员负责开通账号。

对有特别安全等级保护要求的应用信息系统以及各应用信息系统中的系统管理员，还需通过受理部门的主管领导审批。

原则上应用信息系统主管部门应在收到《用户账号申请单》后才能进行审批和开通账号。

特殊情况下，经部门负责人和受理部门主管领导书面同意后，可采取事后审查的方式，先开通账号，但自账号开通日起超过1个月仍未收到《用户账号申请单》的，系统管理员有权对该账号采取暂时停用措施。

凡需要使用应用信息系统的用户，每人均须按照“实名制”方式申请一个仅限本人使用的用户账号。

不同用户的用户账号彼此之间不得随意借用，因某用户账号的操作而造成应用信息系统中数据信息或任何系统功能等方面的改变或后果，均由拥有该用户账号的用户负责。

如果某用户因工作调动或其它原因而不允许继续使用某应用信息系统时,其隶属的原工作单位应督促和确保该用户离职前及时申请注销相关用户账号；不论原用户是否知晓或同意，均禁止将其原账号转交其他人员继续使用
2.密码管理
设置用户密码是用户登陆应用信息系统时身份合法性认证的重要手段，用户密码的设置应尽量复杂化，不易被他人推测，密码长度一般不少于6位，并做到定期更换新密码。

密码遗忘时可向系统管理员申请密码初始化修复。

若发现账号密码泄露,用户须立即报告系统管理员及时采取停用账号措施，并在
报告后的24小时内向该信息系统主管部门提交书面报告，说明详细情况，以便系统主管部门协助核查系统内数据和系统运行情况，采取有效补救措施将危害程度降至最低
2.2.3数据备份管理
数据信息备份应采用性能可靠、不宜损坏的介质，如磁带、光盘、硬盘等。

备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息，并置于安全环境保管。

◆一般情况下对服务器和网络安全设备的配置数据信息每月进行一次的备份，当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份；网络设备配置文件在进行版本升级前和配置修改后进行备份。

◆运维操作员应确保对核心业务数据每日进行增量备份，每周做一次包括数据信息的全备份。

业务系统将进行重大系统变更时，应对核心业务数据进行数据信息的全备份。

2.3数据流转流程管理
2.3.1管理范围
针对新接入系统以及要从数据底座流出的数据进行安全管理。

2.3.2数据流转流程管理
1.数据接入
a)数据接入申请
有需要新接入的系统数据时，需要数据接入需求方填写系统数据接入申请单，并填写清楚数据接入系统名称、接入原因、数据接入预估量、数据接入方式、数据接入后负责部门、负责人。

b)数据接入审批
填写数据接入申请后，将审批单由数据管理者提交对应负责部门领导进行审批，审批通过后，将审批单转至数据运维团队，进行数据接入对接工作
并开发数据接入脚本等。

2.数据流出
a)数据流出申请
当外部人员或机构、系统对我方数据有需求，希望申请我平台数据时，需要数据申请方填写系统数据流出申请单，并填写清楚数据申请人员、数据申请使用原因、申请流出数据系统、表、数据量、数据对接方式、数据负责部门、负责人。

b)数据流出审批
填写数据流出申请后，数据管理者需要首先评估数据流出申请的系统和表的数据安全等级，首先由数据管理团队评估数据安全性，通过后将审批单由数据管理者提交对应负责部门领导进行审批，审批通过后，将审批单转至数据运维团队，进行数据流出对接工作并开发数据流出服务脚本等。

3附件一：数据接入申请单
4附件二：数据流出申请单。