第一章 总则
第一条 目标
为了规范北京思度安全股份有限公司(以下简称“公司”)数据处理活动,促进数据资源有序开发利用,保护个人、公司的合法权益,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律、法规、规章制度的规定,结合本公司实际情况,制定本办法。
第二条 适用范围
在公司、分公司、子公司内开展的数据处理活动及其安全监管,适用本办法。
第三条 基本原则
数据安全管理应坚持安全与业务发展并重,遵循统筹规划、权责统一、综合防范的原则,保障数据依法开放、共享和开发利用。
第四条 术语
数据资产是指由公司合法拥有或控制的数据资源,以电子或其他方式记录、例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数据,能直接或间接带来经济效益和社会效益。
数据资产管理是指对数据资产进行规划、控制和提供的一组活动职能,包括开发、执行和监督有关数据的计划、政策、方案、项目、流程、方法和程序, 从而控制、保护、交付和提高数据资产的价值。数据资产管理须充分融合政策、管理、业务、技术和服务,确保数据资产保值增值。
数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第二章 组织与职责
第五条 信息与数据管理委员会
公司设立网络安全与信息化领导小组下的信息与数据管理委员会是公司数据安全管理工作的决策机构,由数据安全官及业务VP组成。
主要工作职责:
(一) 制定公司的数据安全目标和愿景;
(二) 发布数据安全策略、规划、制度和规范;
(三) 提供数据安全建设所需要的资源;
(四) 协调和决策公司重大数据安全事件;
第六条 流程管理部
流程管理部是公司数据安全的管理机构,基于公司信息与数据管理委员会给出的策略,对数据安全实际功能制定详细方案,做好业务发展与数据安全之间的平衡。
主要工作职责:
(一) 结合合规监管要求和业务发展需求,制订数据安全整体解决方案并组织实施;
(二) 制定数据安全管理策略和规划,统一数据安全管理规范体系;
(三) 建立监控审计机制,数据安全工作和监督审计机制,推动并协助执行组织的建立,监督工作有效开展;
(四) 对组织内人员能力开展数据安全技术培训和意识宣导,逐步提升数据安全工作人员的能力水平和组织内人员安全意识;
(五) 制定数据安全决策层、管理层、执行层、监督层等的运作机制,保障数据安全工作在内部保 持信息通畅、运作顺利;
(六) 保持外部组织的沟通,包括国家及行业监管、第三方咨询服务商(安全咨询、安全厂商)以及认证、测评机构(认证及认可、安全测评机构)等。
第七条 信息安全部
信息安全部、产品运营部、基础平台部、人力资源部、数据运营部、中台架构部、IT管理部等是数据安全的执行部门。在每个数据安全场景实现设定的流程。
主要工作职责:
(一) 负责数据安全风险的评估和改进;
(二) 负责数据安全运营工作,如:数据权限授权、数据共享、数据下载等审批;
(三) 负责数据安全事件的跟进和处理;
(四) 协助数据安全管理团队展开数据治理工作,如数据分类分级工作;
(五) 负责数据安全专案项目管理和实施。
第八条 公司内审部
公司审计部门是数据安全的监督审核管理部门。
主要工作职责
- 定期监督审核各部门对数据安全政策和管理要求的执行情况
- 定期向信息与数据管理委员会汇报
第三章 数据资产管理
第九条 数据资产地图
各业务部门应建立数据资产地图,清楚数据资产重要程度与分布、使用对象与场景、授权与责任等。数据资产地图需要提供检索服务,数据表责任到人。
第十条 数据资产管理
- 各部门要设立数据安全接口人,负责本部门数据资产的管理工作,及时登记、更新和定期维护本部门数据资源;
- 各部门建立数据资产变更管理审批流程,实时监控数据资产的上线、变更、转移、销毁等信息,并配置相适应的安全管控措施。
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
第四章 数据分类分级规范
第十一条 分类分级原则
数据分类分级是在对数据资产进行全面梳理并确定适当的数据安全类别和等级,是数据安全管理的必要前提和基础。遵循科学性、适用性、相互独立、完全穷尽原则。
第十二条 数据分类
公司将数据分为个人信息、业务数据、公司运营三个类别:
- 个人信息指以电子或者其他方式记录的公民的姓名、出生日期、身份证号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。
- 业务数据是指在业务开展过程中所产生的数据,如订单数据、商品详情数据、市场数据等。
- 公司数据主要包括人事数据、财务数据、日志代码等。
第十三条 数据分级
数据分级在充分考虑数据对国家安全、用户信息安全的重要程度基础上,将每类数据分为公开数据、内部数据、涉密数据。具体说明如下:
- 公开数据: 完全开放,无条件对外共享;
- 内部数据: 只能在公司内部适用,对外开放需要进行脱敏;
- 涉密数据: 按需开放相应权限,所有处理过程需要留存日志,定期进行审计。
第五章 数据生命周期安全管理
第十四条 数据安全红线
员工因工作需要获得的相关数据,禁止泄露、非法买卖获利。
第十五条 数据采集安全
数据采集要遵循合法、正当、必要原则,在明确征得信息所有者授权同意后,才能进行采集。
第十六条 数据存储安全
- 数据存储期限应为实现数据主体授权使用目的所必需的最短时间,超出上述数据存储期限后,应对数据进行删除或匿名化处理;
- 敏感数据存储需要进行加密,加密算法和密钥长度需要符合公司 密码管理规范。
第十七条 数据传输安全
- 传输敏感数据应使用安全通道,对数据进行加密后传输;
- 禁止使用个人邮箱、IM传输工作相关文档。
第十八条 数据使用安全
- 数据使用应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的数据;
- 数据重要操作如批量修改、拷贝、下载等,需要严格遵循审批流程;
- 敏感数据展示必须进行脱敏;
- 数据涉及出境,需报信息与数据管理委员会审批;
- 敏感数据需要制定备份策略和恢复验证策略。
第十九条 数据安全销毁
对于过期数据要采取安全删除方法对数据进行彻底销毁。
第二十条 数据安全评估
- 数据管理者应对数据安全状况进行风险评估,及时修复相关安全隐患。
- 每年最少进行一次数据安全风险评估工作,形成数据安全风险评估报告。
第二十一条 数据安全审计
数据审计员定期对数据进行审计,防止非授权访问、篡改或删除审计记录。
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
第六章 监督检查
员工违反本制度,致使公司保密数据泄露或存在泄露隐患的,视情节轻重,予以罚款、降薪、降职、取消期权、解除劳动合同等处分;致使公司绝密数据泄漏或存在泄漏隐患的,予以解除劳动合同;情节特别严重的,上报公安机关予以追究刑事责任。
员工协助公司发现核心数据存在泄露风险,或为排查提供线索的,视情况而给予奖励。
第七章 附则
本办法最终解释权归信息中心所有。
本办法自发布之日起施行。
参考文献
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
关键信息基础设施安全保护条例
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)