數(shù)據(jù)安全合規(guī)性評估制度

數(shù)據(jù)安全合規(guī)性評估制度第一章數(shù)據(jù)源合規(guī)第一條對數(shù)據(jù)采取合理的分類分級管理制度，并根據(jù)管理制度留存數(shù)據(jù)處理記錄。第二條遵循合法、正當(dāng)、必要的原則，使用個人信息的目的、方式和范圍不得超出個人信息主體授權(quán)同意的范圍。第三條對于需要進(jìn)行數(shù)據(jù)融合的需求，融合后的使用目的不應(yīng)超出原有授權(quán)范圍，否則應(yīng)重新獲得用戶或數(shù)據(jù)上游合作企業(yè)的授權(quán)同意，以避免被認(rèn)定為超授權(quán)范圍違法使用個人信息，或者引發(fā)潛在的違約責(zé)任。第四條對于要將個人信息用于推送或營銷的情況，應(yīng)獲得接收方的明示同意，避免采取“一攬子授權(quán)”的概括授權(quán)獲取方式，同時提供退訂渠道。第二章數(shù)據(jù)共享合規(guī)第一條對于共享信息的業(yè)務(wù)場景，未經(jīng)個人信息主體同意，不得向他人提供用戶個人信息，如姓名、住址、聯(lián)系方式、身份證件等；未經(jīng)個人及其家屬同意，不得向他人提供個人信息主體及其家屬信息數(shù)據(jù)；未經(jīng)同意，不得向他人告知組織機(jī)構(gòu)相關(guān)信息數(shù)據(jù)。第二條對照《信息安全技術(shù)個人信息安全規(guī)范》等行業(yè)規(guī)范，在共享個人信息之前事先開展個人信息安全影響評估工作，并向個人信息主體告知共享個人信息的目的、數(shù)據(jù)接收方的類型，在征得個人信息主體的授權(quán)同意后，可以準(zhǔn)確記錄和保存?zhèn)€人信息的共享情況，幫助個人信息主體了解數(shù)據(jù)接收方對個人信息的保存和使用等情況，以及個人信息主體的權(quán)利。第三條在共享除個人信息之外的其他數(shù)據(jù)，應(yīng)當(dāng)提前識別該共享行為所產(chǎn)生的風(fēng)險，并在識別篩選后再進(jìn)行共享，對于數(shù)據(jù)下游合作商家及企業(yè)的數(shù)據(jù)安全能力采取一定的審核措施。第三章第三方委托處理合規(guī)第一條委托第三方進(jìn)行個人信息處理的，應(yīng)遵守《中華人民共和國網(wǎng)絡(luò)安全法》第四十一條規(guī)定的基本原則，確保第三方委托處理行為未超過個人信息主體授權(quán)同意的范圍。第二條對照《信息安全技術(shù)個人信息安全規(guī)范》開展個人信息安全影響評估，確保處理者具備足夠的數(shù)據(jù)安全處理能力。第三條在指定數(shù)據(jù)處理者時，應(yīng)提前與處理者訂立數(shù)據(jù)處理協(xié)議，明確數(shù)據(jù)處理方案和流程，確保各類數(shù)據(jù)信息順利處理，以理清雙方在數(shù)據(jù)保護(hù)及合規(guī)處理方面的責(zé)任和義務(wù)。第四條針對重點(diǎn)業(yè)務(wù)，需要對第三方采取一定的管控措施，落實(shí)合作前需要做數(shù)據(jù)安全能力調(diào)研和安全風(fēng)險評估工作，合作中進(jìn)行定期核查，合作中妥善處理數(shù)據(jù)，進(jìn)行刪除銷毀工作確保數(shù)據(jù)安全，或匿名化后續(xù)工作。第四章組織機(jī)構(gòu)合規(guī)第一條查驗文件通報或數(shù)據(jù)安全管理辦法，需明確數(shù)據(jù)安全管理責(zé)任部門，需明確部門名稱及負(fù)責(zé)人，相關(guān)文件已面向組織機(jī)構(gòu)內(nèi)部發(fā)文通報,內(nèi)部進(jìn)行流轉(zhuǎn)傳達(dá)。第二條查驗文件通報或數(shù)據(jù)安全管理辦法，需明確數(shù)據(jù)安全管理責(zé)任部門職責(zé)，部門職責(zé)需包括但不限于制定數(shù)據(jù)安全管理整體方針策略，協(xié)調(diào)建立數(shù)據(jù)安全技術(shù)保障措施，做好數(shù)據(jù)安全合規(guī)性評估、安全審計管理、數(shù)據(jù)安全事件應(yīng)急處置、教育培訓(xùn)等工作。第三條查驗文件通報或數(shù)據(jù)安全管理辦法，需明確劃分?jǐn)?shù)據(jù)安全管理責(zé)任部門與各項工作執(zhí)行落實(shí)部門分工界面，工作執(zhí)行落實(shí)部門需完整包含數(shù)據(jù)協(xié)同管理部門、數(shù)據(jù)使用部門、運(yùn)維支撐部門等。第四條查驗數(shù)據(jù)安全監(jiān)督檢查制度,需明確由責(zé)任部門定期對執(zhí)行部門數(shù)據(jù)安全管理制度執(zhí)行落實(shí)情況和落實(shí)效果進(jìn)行監(jiān)督檢查，能夠通過監(jiān)督檢查及時發(fā)現(xiàn)問題并督促整改，需將數(shù)據(jù)安全工作執(zhí)行部門落實(shí)情況和效果納入內(nèi)部績效考核體系。第五章人員合規(guī)第一條查驗數(shù)據(jù)安全崗位職責(zé)說明文件或人員任命書，需通過正式文件明確企業(yè)數(shù)據(jù)安全管理責(zé)任人，需明確其職責(zé)范圍，包括但不限于負(fù)責(zé)牽頭制定數(shù)據(jù)安全管理制度，指導(dǎo)數(shù)據(jù)安全管理責(zé)任部門、協(xié)調(diào)各相關(guān)部門開展數(shù)據(jù)保護(hù)工作，提出數(shù)據(jù)安全保護(hù)的對策建議，監(jiān)督管理制度和措施的執(zhí)行落實(shí)情況等。第二條查驗數(shù)據(jù)安全崗位人員名單，需梳理各部門數(shù)據(jù)安全崗位人員配備情況，包括部門名稱、姓名、聯(lián)系方式和工作職責(zé)等，需在數(shù)據(jù)安全管理責(zé)任部門至少配備一名數(shù)據(jù)安全專職人員，相關(guān)工作執(zhí)行落實(shí)部門至少配備一名數(shù)據(jù)安全責(zé)任人，組織開展部門內(nèi)數(shù)據(jù)安全相關(guān)工作，相關(guān)人員工作職責(zé)需包括但不限于權(quán)限管理、安全審計、應(yīng)急響應(yīng)、合規(guī)性評估、數(shù)據(jù)安全事件處置和信息報送等。第六章數(shù)據(jù)資產(chǎn)梳理合規(guī)第一條查驗數(shù)據(jù)資產(chǎn)梳理相關(guān)制度文件，需明確數(shù)據(jù)資產(chǎn)的安全管理目標(biāo)和原則，明確數(shù)據(jù)資產(chǎn)的維護(hù)和使用責(zé)任，明確定期系統(tǒng)梳理各數(shù)據(jù)存儲平臺系統(tǒng)情況要求，明確數(shù)據(jù)存儲系統(tǒng)情況梳理原則和梳理周期。第二條查驗數(shù)據(jù)梳理記錄，需定期梳理各數(shù)據(jù)存儲系統(tǒng)情況，形成平臺系統(tǒng)清單，并留存梳理記錄；需覆蓋全范圍，從收集處理用戶個人信息的核心系統(tǒng)擴(kuò)展到各數(shù)據(jù)處理活動相關(guān)系統(tǒng)，全面掌握數(shù)據(jù)資產(chǎn)規(guī)模和情況；需對安全域內(nèi)外系統(tǒng)或設(shè)備接入情況進(jìn)行全面區(qū)分，并留存相關(guān)文檔記錄備查。第三條查驗數(shù)據(jù)資產(chǎn)清單，需根據(jù)規(guī)范要求，在完成組織機(jī)構(gòu)平臺系統(tǒng)梳理的基礎(chǔ)上，針對各系統(tǒng)數(shù)據(jù)庫中存儲的數(shù)據(jù)字段進(jìn)行關(guān)聯(lián)指向；需對已形成的數(shù)據(jù)資產(chǎn)清單進(jìn)行定期更新，建議更新周期頻率不超過一年。第四條查驗數(shù)據(jù)資產(chǎn)變更記錄，對數(shù)據(jù)資產(chǎn)使用、留存及報廢等狀態(tài)進(jìn)行登記，并針對已形成的數(shù)據(jù)資產(chǎn)清單定期更新數(shù)據(jù)資產(chǎn)變更記錄。第七章制度策略合規(guī)第一條查驗數(shù)據(jù)分類分級管理制度，需明確數(shù)據(jù)分類分級管理數(shù)據(jù)范圍、管控技術(shù)措施、數(shù)據(jù)分類分級原則、分類分級策略標(biāo)準(zhǔn)變更流程和要求等內(nèi)容；驗證數(shù)據(jù)分類分級管理原則、定義、方法能夠真實(shí)反應(yīng)數(shù)據(jù)本身的屬性；驗證數(shù)據(jù)分類分級制度適用范圍、管控系統(tǒng)類型需覆蓋企業(yè)相關(guān)數(shù)據(jù)處理活動涉及的平臺系統(tǒng)。第二條查驗數(shù)據(jù)分類分級管理制度，需按照法律法規(guī)和相關(guān)標(biāo)準(zhǔn)要求，綜合考慮數(shù)據(jù)的類別屬性、使用目的等，明確數(shù)據(jù)分類策略；需在數(shù)據(jù)分類的基礎(chǔ)上，對每一類數(shù)據(jù)類型，結(jié)合數(shù)據(jù)重要及敏感程度、安全保護(hù)需求以及一旦泄露、丟失、破壞造成的危害程度等，制定數(shù)據(jù)分級標(biāo)準(zhǔn)，明確各級數(shù)據(jù)界限，包括具體類別、子類、范圍、對應(yīng)的數(shù)據(jù)舉例。第八章數(shù)據(jù)標(biāo)識合規(guī)第一條查驗數(shù)據(jù)分類分級清單，需依據(jù)數(shù)據(jù)分類分級制度策略，結(jié)合數(shù)據(jù)分類分級管控系統(tǒng)對象，完成各數(shù)庫表字段映射，梳理形成包含數(shù)據(jù)類別、數(shù)據(jù)定位、數(shù)據(jù)范圍、對應(yīng)系統(tǒng)數(shù)據(jù)等內(nèi)容的數(shù)據(jù)分類分級清單，并根據(jù)數(shù)據(jù)分類分級變更情況進(jìn)行動態(tài)更新并留存更新記錄。第二條演示業(yè)務(wù)和業(yè)務(wù)支撐系統(tǒng)，需根據(jù)分類分級制度策略，實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的分類分級標(biāo)識。第三條查驗數(shù)據(jù)分類分級管理制度，需充分考慮業(yè)務(wù)或系統(tǒng)平臺場景需求，在數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等數(shù)據(jù)全生命周期各個環(huán)節(jié)中針對不同類別級別的數(shù)據(jù)明確相應(yīng)的安全保障措施，包括不限于數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)變更、數(shù)據(jù)銷毀、操作權(quán)限管理、數(shù)據(jù)流動記錄、人員操作日志記錄、數(shù)據(jù)備份與恢復(fù)等技術(shù)能力和措施。第九章策略變更合規(guī)第一條查驗數(shù)據(jù)分類分級管理制度，需明確關(guān)于數(shù)據(jù)分類分級策略制定、變更的流程規(guī)范。第二條細(xì)化關(guān)于策略修訂、發(fā)布、實(shí)施等具體管理要求，并對策略變更情況進(jìn)行記錄。第十章權(quán)限管理合規(guī)第一條查驗數(shù)據(jù)訪問權(quán)限管理制度，需明確數(shù)據(jù)處理活動平臺系統(tǒng)賬號權(quán)限分配、開通、使用、銷毀等安全保障原則和審批流程要求；明確數(shù)據(jù)處理賬號操作的審批要求和操作流程；建立并定期更新數(shù)據(jù)處理活動平臺系統(tǒng)權(quán)限分配表，對能夠處理用戶個人信息的業(yè)務(wù)系統(tǒng)賬號進(jìn)行定期梳理，并對崗位角色的權(quán)限進(jìn)行規(guī)范。第二條通過技術(shù)驗