數(shù)據(jù)安全管理辦法V1.0

1、數(shù)據(jù)平安管理方法2022年1月訂定 權(quán)責(zé)單位：組第一章總那么第一條為了規(guī)范公司的數(shù)據(jù)資產(chǎn)管理，進(jìn)一步完善數(shù)據(jù)平安管理體系，保證公司數(shù)據(jù)資產(chǎn)及其支撐系統(tǒng)的完整性、機(jī)密性和可用性，防止數(shù)據(jù)泄密，根據(jù)國家有關(guān)法律 法規(guī)，特制定本方法。第二條本方法所稱的數(shù)據(jù)是指：公司業(yè)務(wù)系統(tǒng)、數(shù)據(jù)倉庫以及數(shù)據(jù)產(chǎn)品中生成的數(shù)據(jù)，適用于數(shù)據(jù)的產(chǎn)生、傳輸、使用、存儲(chǔ)、共享、歸檔/銷毀全鏈路的數(shù)據(jù)平安管 理環(huán)節(jié)。第三條本方法內(nèi)容包括：總那么、數(shù)據(jù)資產(chǎn)范圍、數(shù)據(jù)平安管理角色及崗位職責(zé)、數(shù)據(jù)分級(jí)分類規(guī)范、數(shù)據(jù)平安規(guī)范細(xì)那么、數(shù)據(jù)輸出管理細(xì)那么、附那么七章。第四條本方法適用于總公司及各分支機(jī)構(gòu)。第二章數(shù)據(jù)資產(chǎn)范圍第五條公司數(shù)據(jù)平安

2、管理涉及的范圍包括：（一）數(shù)據(jù)資產(chǎn)：所有存儲(chǔ)在線上數(shù)據(jù)庫和數(shù)據(jù)倉庫中的數(shù)據(jù)，包括但不限于：1、公司擁有的數(shù)據(jù)；2、第三方委托公司存儲(chǔ)處理的受合同約束的數(shù)據(jù)。（二）支撐系統(tǒng)：所有的支撐設(shè)施，例如直接或間接參與確保上述數(shù)據(jù)完整性、機(jī)密性以及可用性 相關(guān)的人或系統(tǒng)，包括但不限于：1、場(chǎng)所，如：辦公室、云服務(wù)器、公司機(jī)房；2、硬件，如：服務(wù)器、網(wǎng)絡(luò)設(shè)備、筆記本電腦、臺(tái)式電腦、存儲(chǔ)設(shè)備、移動(dòng)設(shè) 備；3、軟件，如：操作系統(tǒng)、商業(yè)軟件、自行開發(fā)的軟件；4、人員，如：員工、外包、除員工和外包人員外的第三方人員（以下簡稱第三 方人員）。（三）文檔和記錄：所有與管理、使用及控制上述數(shù)據(jù)資產(chǎn)及其支持系統(tǒng)相關(guān)的策略、

3、流程及操作手 冊(cè)和記錄。第三章 數(shù)據(jù)平安管理角色設(shè)置及崗位職責(zé)第六條數(shù)據(jù)平安管理角色設(shè)置及崗位職責(zé)：（一 ）*組*組是數(shù)據(jù)平安的主管部門，承當(dāng)以下職責(zé)：1、引導(dǎo)數(shù)據(jù)使用部門，對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類，制定數(shù)據(jù)平安管理體系；2、定期安排及開展數(shù)據(jù)平安管理審計(jì)；3、定期對(duì)數(shù)據(jù)資產(chǎn)支持系統(tǒng)進(jìn)行審計(jì)；4、推動(dòng)相關(guān)方對(duì)數(shù)據(jù)平安問題進(jìn)行改進(jìn)；5、推動(dòng)數(shù)據(jù)平安識(shí)別和建立數(shù)據(jù)平安管理關(guān)鍵控制點(diǎn)。（二）部門數(shù)據(jù)平安負(fù)責(zé)人部門數(shù)據(jù)平安負(fù)責(zé)人由各部門負(fù)責(zé)人擔(dān)任，負(fù)責(zé)部門內(nèi)的數(shù)據(jù)平安管理，主要承 擔(dān)以下職責(zé)：1、確保各自團(tuán)隊(duì)的業(yè)務(wù)開展與公司數(shù)據(jù)平安策略、流程及操作指引的要求一致, 并確保部門員工（包括外包人員）得到適當(dāng)?shù)臄?shù)

4、據(jù)平安培訓(xùn)；2、在各自負(fù)責(zé)的職責(zé)范圍內(nèi)開展數(shù)據(jù)平安管理和復(fù)核工作；3、在各自負(fù)責(zé)的職責(zé)范圍內(nèi)配合公司的數(shù)據(jù)平安管理和風(fēng)險(xiǎn)評(píng)估工作。（三）數(shù)據(jù)資產(chǎn)責(zé)任人數(shù)據(jù)資產(chǎn)責(zé)任人由部門負(fù)責(zé)人指定，基于業(yè)務(wù)或職能分工，對(duì)與其業(yè)務(wù)相關(guān)的數(shù) 據(jù)資產(chǎn)的完整性、機(jī)密性及可用性負(fù)責(zé)，主要承當(dāng)以下職責(zé)：1、評(píng)估各自負(fù)責(zé)的數(shù)據(jù)資產(chǎn)對(duì)公司的重要性，協(xié)助*組進(jìn)行數(shù)據(jù)分級(jí)工作；2、承當(dāng)風(fēng)險(xiǎn)評(píng)估的細(xì)節(jié)工作，如：識(shí)別控制、協(xié)助評(píng)估控制的有效性；3、協(xié)助對(duì)數(shù)據(jù)資產(chǎn)訪問權(quán)限進(jìn)行定期復(fù)核；4、協(xié)助數(shù)據(jù)平安事件的調(diào)查和處理；5、協(xié)助數(shù)據(jù)平安管理審計(jì)工作；6、引導(dǎo)使用方合理使用各自負(fù)責(zé)的數(shù)據(jù)資產(chǎn)；7、協(xié)助*組完善數(shù)據(jù)平安管理體系。第四章數(shù)據(jù)分

5、級(jí)分類規(guī)范第七條數(shù)據(jù)分級(jí)定義根據(jù)數(shù)據(jù)價(jià)值、敏感性、數(shù)據(jù)風(fēng)險(xiǎn)及法律法規(guī)要求，將數(shù)據(jù)分為四個(gè)級(jí)別：絕密、 機(jī)密、保密、公開。級(jí)別定義核心商密 (L4) 非授權(quán)的公開、泄露將直接對(duì)公司、客戶或者員工造成嚴(yán)重不利影響(例如： 造成重大經(jīng)濟(jì)損失、嚴(yán)重破壞公司聲譽(yù)、造成監(jiān)管問責(zé)，以及發(fā)生重大法律責(zé) 任等)的數(shù)據(jù)。 指一旦泄露、披露或?yàn)E用可能危害人身和財(cái)產(chǎn)平安、損害個(gè)人名譽(yù)和身心健康、 導(dǎo)致歧視性待遇等的個(gè)人信息。一般商密 (L3)非授權(quán)的公開、泄露將直接對(duì)公司、客戶或者員工造成不利影響(例如：造成 經(jīng)濟(jì)損失、破壞公司聲譽(yù)、可能發(fā)生法律責(zé)任等)的數(shù)據(jù)。指能夠單獨(dú)識(shí)別自然人身份或者反映特定自然人活動(dòng)情況的信息

6、。公司內(nèi)部 (L2) 非授權(quán)的公開、泄露將直接對(duì)公司、客戶或者員工造成較小不利影響的數(shù)據(jù)。外部公開(L1) 允許被公共訪問和對(duì)外發(fā)布的信息，并且公開信息可以自由散布而不會(huì)產(chǎn)生任 何平安和法律問題。數(shù)據(jù)分級(jí)例如:級(jí)別典型例如核心商密(L4)公司級(jí)未公開的財(cái)務(wù)預(yù)算報(bào)告及各類財(cái)務(wù)報(bào)表、統(tǒng)計(jì)報(bào)表公司級(jí)尚未付諸實(shí)施的經(jīng)營戰(zhàn)略、經(jīng)營規(guī)劃公司級(jí)業(yè)務(wù)相關(guān)的核心數(shù)據(jù)公司人事檔案公司業(yè)務(wù)系統(tǒng)源代碼公司關(guān)鍵業(yè)務(wù)系統(tǒng)的賬號(hào)密碼一般商密 (L3)關(guān)鍵工程的計(jì)劃、方案等個(gè)人身份標(biāo)識(shí)數(shù)據(jù)公司業(yè)務(wù)系統(tǒng)的賬號(hào)密碼公司內(nèi)部平安管理策略公司內(nèi)部工程開發(fā)文檔公司內(nèi)部 (L2)公司內(nèi)部全員公告、通知公司通訊錄公司內(nèi)部規(guī)章管理制度外部公

7、開(L1)公司對(duì)外公布的經(jīng)營數(shù)據(jù)數(shù)據(jù)分級(jí)標(biāo)注要求:級(jí)別標(biāo)注要求核心商密(L4) 在文件顯著位置標(biāo)注密級(jí)、保密期限、知悉范圍。 在文件首頁標(biāo)注份號(hào)，份號(hào)應(yīng)與知悉范圍相對(duì)應(yīng)。一般商密 (L3) 在文件顯著位置標(biāo)注密級(jí)、保密期限、知悉范圍。公司內(nèi)部 (L2) 可在文件顯著位置標(biāo)注密級(jí)，無密級(jí)標(biāo)注的文件默認(rèn)為內(nèi)部資料級(jí)別。外部公開 (L1) 無標(biāo)注要求。定義為公開的信息須經(jīng)相關(guān)部門授權(quán)。數(shù)據(jù)分級(jí)授權(quán)要求:級(jí)別授權(quán)要求核心商密(L4) 需得到公司領(lǐng)導(dǎo)批準(zhǔn)。一般商密 (L3) 需得到密級(jí)確定部門主要負(fù)責(zé)人批準(zhǔn)。公司內(nèi)部 (L2) 需得到所有者批準(zhǔn)。外部公開(L1) 無限制。數(shù)據(jù)分級(jí)存儲(chǔ)要求:級(jí)別存儲(chǔ)要求核

8、心商密(L4)電子類的應(yīng)妥善保存在設(shè)有平安控制的計(jì)算機(jī)系統(tǒng)內(nèi)。介質(zhì)由知悉部門保密執(zhí)行人專人專柜保存。一般商密 (L3)電子類的應(yīng)妥善保存在設(shè)有平安控制的計(jì)算機(jī)系統(tǒng)內(nèi)。介質(zhì)由知悉部門保密執(zhí)行人專人專柜保存。公司內(nèi)部 (L2)應(yīng)妥善保管。外部公開 (L1) 無限制。數(shù)據(jù)分級(jí)復(fù)制要求:級(jí)別復(fù)制要求核心商密(L4) 禁止復(fù)制。一般商密 由定密部門保密執(zhí)行人進(jìn)行，復(fù)制件上應(yīng)加蓋復(fù)制部門公章，并在顯著位置注(L3)明“復(fù)制件”字樣和復(fù)制日期。公司內(nèi)部 (L2) 根據(jù)工作需求執(zhí)行。外部公開 無限制。(L1)數(shù)據(jù)分級(jí)郵件要求:級(jí)別郵件要求核心商密 禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名或加密控制，經(jīng)平安的途徑發(fā)

9、送，不(L4)得發(fā)送到公眾或私人電子郵件賬戶，并保存發(fā)送記錄。一般商密 須經(jīng)密級(jí)確定部門負(fù)責(zé)人許可，郵件發(fā)送應(yīng)做加密控制，不得發(fā)送到公眾或私(L3)人電子郵件賬戶，并保存發(fā)送記錄。公司內(nèi)部 (L2)根據(jù)工作需求執(zhí)行。外部公開 (L1) 無限制。數(shù)據(jù)分級(jí)銷毀要求:級(jí)別銷毀要求核心商密(L4) 碎紙機(jī)或集中銷毀；徹底銷毀介質(zhì)；一般商密 (L3) 碎紙機(jī)或集中銷毀；徹底銷毀介質(zhì)；公司內(nèi)部 (L2) 碎紙機(jī)或集中銷毀；刪除數(shù)據(jù)；外部公開(L1) 無限制。第八條 數(shù)據(jù)分類定義按照類別，將數(shù)據(jù)分為如下基本的三類數(shù)據(jù)：用戶類數(shù)據(jù)(用“U”表示)：用戶的基本信息和用戶提供給公司使用的數(shù)據(jù)，以及自身 相關(guān)的行為

10、數(shù)據(jù)、交易數(shù)據(jù)等。這些信息屬于用戶或者和用戶直接相關(guān)。業(yè)務(wù)類數(shù)據(jù)(用“B”表示)：公司業(yè)務(wù)開展所需要的數(shù)據(jù)，包括：公司各個(gè)業(yè)務(wù)系統(tǒng)的 費(fèi)率、重要合作伙伴名單、合作授權(quán)價(jià)格信息等。公司類數(shù)據(jù)(用“C”表示)，包括：公司的財(cái)務(wù)數(shù)據(jù)、管理數(shù)據(jù)及運(yùn)營數(shù)據(jù)(尚未公 布的公司經(jīng)營規(guī)劃和財(cái)務(wù)報(bào)告、法律文件等)；公司的服務(wù)、內(nèi)部系統(tǒng)、軟件等產(chǎn)生的 數(shù)據(jù)，各種系統(tǒng)的賬戶和密碼；員工在工作中產(chǎn)生的所有數(shù)據(jù)，如源代碼、操作記錄、 工程文檔等。數(shù)據(jù)分類分級(jí)矩陣關(guān)系如下：外部公開(L1)公司內(nèi)部(L2)一般商密(L3)核心商密(L4)用戶數(shù)據(jù)（U）客戶公開數(shù)據(jù)（U1）客戶內(nèi)部數(shù)據(jù)（U2）客戶保密數(shù)據(jù)（U3）客戶機(jī)密數(shù)據(jù)

11、（U4）業(yè)務(wù)數(shù)據(jù)（B）業(yè)務(wù)公開數(shù)據(jù)（B1）業(yè)務(wù)內(nèi)部數(shù)據(jù)（B2）業(yè)務(wù)保密數(shù)據(jù)（B3）業(yè)務(wù)機(jī)密數(shù)據(jù)（B4）公司數(shù)據(jù)（C）公司公開數(shù)據(jù)（C1）公司內(nèi)部數(shù)據(jù)（C2）公司保密數(shù)據(jù)（C3）公司機(jī)密數(shù)據(jù)（C4）第九條數(shù)據(jù)使用過程中的升級(jí)原那么（一）客戶個(gè)人數(shù)據(jù)：當(dāng)個(gè)人間接識(shí)別信息（U2）與個(gè)人直接識(shí)別信息（U3）結(jié)合或者多個(gè)個(gè)人間接識(shí) 別信息（U2）關(guān)聯(lián)后，能識(shí)別特定自然人身份或自然人行為軌跡的參照個(gè)人直接 識(shí)別信息（U3）保護(hù)要求進(jìn)行的對(duì)應(yīng)平安管理；擁有可將個(gè)人間接識(shí)別信息（U2）關(guān)聯(lián)到某一特定數(shù)據(jù)主體的附加信息，那么有關(guān) 個(gè)人間接識(shí)別信息（U2）,應(yīng)按照個(gè)人直接識(shí)別信息（U3）保護(hù)。個(gè)人間接識(shí)別信息（U

12、2）與個(gè)人直接識(shí)別信息（U3）結(jié)合或者多個(gè)個(gè)人間接識(shí)別 信息（U2）關(guān)聯(lián)后，符合個(gè)人敏感信息（U4）定義，參照個(gè)人敏感信息（U4）保 護(hù)要求的對(duì)應(yīng)平安管理。與個(gè)人敏感信息（U4）結(jié)合使用的個(gè)人間接識(shí)別信息（U2）或個(gè)人直接識(shí)別信息 （U3）,參照個(gè)人敏感信息（U4）保護(hù)要求的對(duì)應(yīng)平安管理。將個(gè)人間接識(shí)別信息（U2）或個(gè)人直接識(shí)別信息（U3）關(guān)聯(lián)到某一特定數(shù)據(jù)主體 的附加信息，信息組合后符合個(gè)人敏感信息（U4）定義的，應(yīng)按照個(gè)人敏感信息（U4）保護(hù)。用戶個(gè)人數(shù)據(jù)默認(rèn)分級(jí)特別說明：具有特定指向性的個(gè)人信息，級(jí)別應(yīng)認(rèn)定為U3 及以上。（二）同一次申請(qǐng)數(shù)據(jù)量超過一定的閥值（建議值是1萬條記錄），數(shù)據(jù)自

13、動(dòng)升級(jí)到更高一 個(gè)級(jí)別；（三）在某個(gè)特定業(yè)務(wù)背景或特殊階段要求下，可以根據(jù)具體情況進(jìn)行數(shù)據(jù)升級(jí)。第五章數(shù)據(jù)平安規(guī)范細(xì)那么第十條數(shù)據(jù)資產(chǎn)清單每個(gè)數(shù)據(jù)資產(chǎn)應(yīng)有其相應(yīng)的責(zé)任人，數(shù)據(jù)資產(chǎn)責(zé)任人應(yīng)理解并執(zhí)行本規(guī)范中定義 的職責(zé)。部門數(shù)據(jù)平安負(fù)責(zé)人負(fù)責(zé)定義和維護(hù)上述適用范圍內(nèi)的數(shù)據(jù)資產(chǎn)清單。第十一條數(shù)據(jù)分類和處理部門數(shù)據(jù)平安負(fù)責(zé)人應(yīng)確保所有的數(shù)據(jù)資產(chǎn)都被適當(dāng)?shù)姆旨?jí)，并根據(jù)不同的級(jí) 另U,推動(dòng)相關(guān)方建立和實(shí)施相應(yīng)的保護(hù)措施，保護(hù)措施應(yīng)考慮到數(shù)據(jù)的存儲(chǔ)、訪 問、傳輸及分發(fā)等環(huán)節(jié)。第十二條數(shù)據(jù)平安基本準(zhǔn)那么所有的員工、外包及第三方人員需遵守公司的數(shù)據(jù)平安基本準(zhǔn)那么，包括但不限于:（-）所有對(duì)數(shù)據(jù)庫及數(shù)據(jù)倉庫數(shù)據(jù)

14、的分析、加工、處理等操作，必須在數(shù)據(jù)安 全網(wǎng)絡(luò)中進(jìn)行；（二）數(shù)據(jù)分析人員需要將上述數(shù)據(jù)傳遞給業(yè)務(wù)需求方時(shí)，必須先通過內(nèi)部數(shù)據(jù) 流程審批，審批通過之后，才能進(jìn)行數(shù)據(jù)分發(fā)；（三）禁止使用個(gè)人或非公司提供的設(shè)備來接收或處理數(shù)據(jù)平安網(wǎng)絡(luò)和數(shù)據(jù)分發(fā) 平臺(tái)的數(shù)據(jù)；（四）嚴(yán)禁在沒有得到適當(dāng)授權(quán)的情況下，將上述范圍中的數(shù)據(jù)傳遞給第三方。任何違反上述要求的員工，將進(jìn)行通報(bào)批評(píng)、情節(jié)嚴(yán)重的依據(jù)公司規(guī)定進(jìn)行處分。第十三條數(shù)據(jù)資產(chǎn)訪問控制數(shù)據(jù)資產(chǎn)及其處理設(shè)施的訪問控制應(yīng)能保證數(shù)據(jù)的完整性、機(jī)密性及可用性；訪 問授權(quán)應(yīng)遵循最小授權(quán)以及除非特別授予否那么默認(rèn)禁止的原那么；禁止將上述范圍中的數(shù)據(jù)存儲(chǔ)在非公司擁有的系統(tǒng)或信息

15、處理設(shè)備上；各數(shù)據(jù)支撐系統(tǒng)所屬和管理部門應(yīng)定期審查具有遠(yuǎn)程訪問權(quán)限的人員，對(duì)于不再 需要遠(yuǎn)程訪問權(quán)限的賬號(hào)應(yīng)立即禁用。第十四條風(fēng)險(xiǎn)評(píng)估*組定期對(duì)數(shù)據(jù)資產(chǎn)及其支撐處理設(shè)施進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別數(shù)據(jù)平安風(fēng)險(xiǎn)并建 立和實(shí)施風(fēng)險(xiǎn)處置措施；*組及質(zhì)量中心定期對(duì)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置措施進(jìn)行復(fù)核，以確保采取了適當(dāng) 的控制措施來保證數(shù)據(jù)的平安性。第十五條數(shù)據(jù)平安事件監(jiān)控*組及運(yùn)維部應(yīng)保證數(shù)據(jù)資產(chǎn)支撐系統(tǒng)建立數(shù)據(jù)異常訪問監(jiān)控機(jī)制，能夠及時(shí) 識(shí)別非授權(quán)的訪問；部門數(shù)據(jù)平安負(fù)責(zé)人和*組應(yīng)建立數(shù)據(jù)平安風(fēng)險(xiǎn)反應(yīng)流程，以及時(shí)收集數(shù)據(jù)安 全風(fēng)險(xiǎn)，并采取適當(dāng)?shù)娘L(fēng)險(xiǎn)處置措施。第十六條數(shù)據(jù)平安管理的監(jiān)督各部門負(fù)責(zé)人應(yīng)定期復(fù)核所在部門具有數(shù)據(jù)資產(chǎn)及其支撐系統(tǒng)訪問權(quán)限的人員 清單；*組將定期對(duì)公司內(nèi)部各部門的數(shù)據(jù)平安管理執(zhí)行情況進(jìn)行審