本資料由安全熊公眾號出品，僅作為學習交流目的，供參考。數(shù)據(jù)安全管理辦法2022年1月訂定權(quán)責單位：組第一章總則為了規(guī)范公司的數(shù)據(jù)資產(chǎn)管理，進一步完善數(shù)據(jù)安全管理體系，保證公司數(shù)據(jù)資產(chǎn)及其支撐系統(tǒng)的完整性、機密性和可用性，避免數(shù)據(jù)泄密，根據(jù)國家有關(guān)法律法規(guī)，特制定本辦法。本辦法所稱的數(shù)據(jù)是指：公司業(yè)務(wù)系統(tǒng)、數(shù)據(jù)倉庫以及數(shù)據(jù)產(chǎn)品中生成的數(shù)據(jù)，適用于數(shù)據(jù)的產(chǎn)生、傳輸、使用、存儲、共享、歸檔/銷毀全鏈路的數(shù)據(jù)安全管理環(huán)節(jié)。本辦法內(nèi)容包括：總則、數(shù)據(jù)資產(chǎn)范圍、數(shù)據(jù)安全管理角色及崗位職責、數(shù)據(jù)分級分類規(guī)范、數(shù)據(jù)安全規(guī)范細則、數(shù)據(jù)輸出管理細則、附則七章。本辦法適用于總公司及各分支機構(gòu)。第二章數(shù)據(jù)資產(chǎn)范圍公司數(shù)據(jù)安全管理涉及的范圍包括：（一）數(shù)據(jù)資產(chǎn)：所有存儲在線上數(shù)據(jù)庫和數(shù)據(jù)倉庫中的數(shù)據(jù)，包括但不限于：1、公司擁有的數(shù)據(jù)；2、第三方委托公司存儲處理的受合同約束的數(shù)據(jù)。（二）支撐系統(tǒng)：所有的支撐設(shè)施，例如直接或間接參與確保上述數(shù)據(jù)完整性、機密性以及可用性相關(guān)的人或系統(tǒng)，包括但不限于：1、場所，如：辦公室、云服務(wù)器、公司機房；2、硬件，如：服務(wù)器、網(wǎng)絡(luò)設(shè)備、筆記本電腦、臺式電腦、存儲設(shè)備、移動設(shè)備；3、軟件，如：操作系統(tǒng)、商業(yè)軟件、自行開發(fā)的軟件；4、人員，如：員工、外包、除員工和外包人員外的第三方人員（以下簡稱第三方人員）。（三）文檔和記錄：所有與管理、使用及控制上述數(shù)據(jù)資產(chǎn)及其支持系統(tǒng)相關(guān)的策略、流程及操作手冊和記錄。第三章數(shù)據(jù)安全管理角色設(shè)置及崗位職責數(shù)據(jù)安全管理角色設(shè)置及崗位職責：（一）****組****組是數(shù)據(jù)安全的主管部門，承擔以下職責:1、引導(dǎo)數(shù)據(jù)使用部門，對數(shù)據(jù)進行分級分類，制定數(shù)據(jù)安全管理體系；2、定期安排及開展數(shù)據(jù)安全管理審計；3、定期對數(shù)據(jù)資產(chǎn)支持系統(tǒng)進行審計；4、推動相關(guān)方對數(shù)據(jù)安全問題進行改進；5、推動數(shù)據(jù)安全識別和建立數(shù)據(jù)安全管理關(guān)鍵控制點。（二）部門數(shù)據(jù)安全負責人部門數(shù)據(jù)安全負責人由各部門負責人擔任，負責部門內(nèi)的數(shù)據(jù)安全管理，主要承擔以下職責：1、確保各自團隊的業(yè)務(wù)開展與公司數(shù)據(jù)安全策略、流程及操作指引的要求一致，并確保部門員工（包括外包人員）得到適當?shù)臄?shù)據(jù)安全培訓(xùn)；2、在各自負責的職責范圍內(nèi)開展數(shù)據(jù)安全管理和復(fù)核工作；3、在各自負責的職責范圍內(nèi)配合公司的數(shù)據(jù)安全管理和風險評估工作。（三）數(shù)據(jù)資產(chǎn)責任人數(shù)據(jù)資產(chǎn)責任人由部門負責人指定，基于業(yè)務(wù)或職能分工，對與其業(yè)務(wù)相關(guān)的數(shù)據(jù)資產(chǎn)的完整性、機密性及可用性負責，主要承擔以下職責：1、評估各自負責的數(shù)據(jù)資產(chǎn)對公司的重要性，協(xié)助****組進行數(shù)據(jù)分級工作；2、承擔風險評估的細節(jié)工作，如：識別控制、協(xié)助評估控制的有效性；3、協(xié)助對數(shù)據(jù)資產(chǎn)訪問權(quán)限進行定期復(fù)核；4、協(xié)助數(shù)據(jù)安全事件的調(diào)查和處理；5、協(xié)助數(shù)據(jù)安全管理審計工作；6、引導(dǎo)使用方合理使用各自負責的數(shù)據(jù)資產(chǎn)；7、協(xié)助****組完善數(shù)據(jù)安全管理體系。第四章數(shù)據(jù)分級分類規(guī)范數(shù)據(jù)分級定義根據(jù)數(shù)據(jù)價值、敏感性、數(shù)據(jù)風險及法律法規(guī)要求，將數(shù)據(jù)分為四個級別：絕密、機密、保密、公開。級別定義核心商密（L4）非授權(quán)的公開、泄露將直接對公司、客戶或者員工造成嚴重不利影響（例如：造成重大經(jīng)濟損失、嚴重破壞公司聲譽、造成監(jiān)管問責，以及發(fā)生重大法律責任等）的數(shù)據(jù)。指一旦泄露、披露或濫用可能危害人身和財產(chǎn)安全、損害個人名譽和身心健康、導(dǎo)致歧視性待遇等的個人信息。一般商密(L3)非授權(quán)的公開、泄露將直接對公司、客戶或者員工造成不利影響（例如：造成經(jīng)濟損失、破壞公司聲譽、可能發(fā)生法律責任等）的數(shù)據(jù)。指能夠單獨識別自然人身份或者反映特定自然人活動情況的信息。公司內(nèi)部(L2)非授權(quán)的公開、泄露將直接對公司、客戶或者員工造成較小不利影響的數(shù)據(jù)。外部公開(L1)允許被公共訪問和對外發(fā)布的信息，并且公開信息可以自由散布而不會產(chǎn)生任何安全和法律問題。數(shù)據(jù)分級示例：級別典型示例核心商密（L4）公司級未公開的財務(wù)預(yù)算報告及各類財務(wù)報表、統(tǒng)計報表公司級尚未付諸實施的經(jīng)營戰(zhàn)略、經(jīng)營規(guī)劃公司級業(yè)務(wù)相關(guān)的核心數(shù)據(jù)公司人事檔案公司業(yè)務(wù)系統(tǒng)源代碼公司關(guān)鍵業(yè)務(wù)系統(tǒng)的賬號密碼一般商密(L3)關(guān)鍵項目的計劃、方案等個人身份標識數(shù)據(jù)公司業(yè)務(wù)系統(tǒng)的賬號密碼公司內(nèi)部安全管理策略公司內(nèi)部項目開發(fā)文檔公司內(nèi)部(L2)公司內(nèi)部全員公告、通知公司通訊錄公司內(nèi)部規(guī)章管理制度外部公開(L1)公司對外公布的經(jīng)營數(shù)據(jù)數(shù)據(jù)分級標注要求：級別標注要求核心商密（L4）在文件顯著位置標注密級、保密期限、知悉范圍。在文件首頁標注份號，份號應(yīng)與知悉范圍相對應(yīng)。一般商密(L3)在文件顯著位置標注密級、保密期限、知悉范圍。公司內(nèi)部(L2)可在文件顯著位置標注密級，無密級標注的文件默認為內(nèi)部資料級別。外部公開(L1)無標注要求。定義為公開的信息須經(jīng)相關(guān)部門授權(quán)。數(shù)據(jù)分級授權(quán)要求：級別授權(quán)要求核心商密（L4）需得到公司領(lǐng)導(dǎo)批準。一般商密(L3)需得到密級確定部門主要負責人批準。公司內(nèi)部(L2)需得到所有者批準。外部公開(L1)無限制。數(shù)據(jù)分級存儲要求：級別存儲要求核心商密（L4）電子類的應(yīng)妥善保存在設(shè)有安全控制的計算機系統(tǒng)內(nèi)。介質(zhì)由知悉部門保密執(zhí)行人專人專柜保存。一般商密(L3)電子類的應(yīng)妥善保存在設(shè)有安全控制的計算機系統(tǒng)內(nèi)。介質(zhì)由知悉部門保密執(zhí)行人專人專柜保存。公司內(nèi)部(L2)應(yīng)妥善保管。外部公開(L1)無限制。數(shù)據(jù)分級復(fù)制要求：級別復(fù)制要求核心商密（L4）禁止復(fù)制。一般商密(L3)由定密部門保密執(zhí)行人進行，復(fù)制件上應(yīng)加蓋復(fù)制部門公章，并在顯著位置注明“復(fù)制件”字樣和復(fù)制日期。公司內(nèi)部(L2)根據(jù)工作需求執(zhí)行。外部公開(L1)無限制。數(shù)據(jù)分級郵件要求：級別郵件要求核心商密（L4）禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名或加密控制，經(jīng)安全的途徑發(fā)送，不得發(fā)送到公眾或私人電子郵件賬戶，并保留發(fā)送記錄。一般商密(L3)須經(jīng)密級確定部門負責人許可，郵件發(fā)送應(yīng)做加密控制，不得發(fā)送到公眾或私人電子郵件賬戶，并保留發(fā)送記錄。公司內(nèi)部(L2)根據(jù)工作需求執(zhí)行。外部公開(L1)無限制。數(shù)據(jù)分級銷毀要求：級別銷毀要求核心商密（L4）碎紙機或集中銷毀；徹底銷毀介質(zhì)；一般商密(L3)碎紙機或集中銷毀；徹底銷毀介質(zhì)；公司內(nèi)部(L2)碎紙機或集中銷毀；刪除數(shù)據(jù)；外部公開(L1)無限制。數(shù)據(jù)分類定義按照類別，將數(shù)據(jù)分為如下基本的三類數(shù)據(jù)：用戶類數(shù)據(jù)(用“U”表示)：用戶的基本信息和用戶提供給公司使用的數(shù)據(jù)，以及自身相關(guān)的行為數(shù)據(jù)、交易數(shù)據(jù)等。這些信息屬于用戶或者和用戶直接相關(guān)。業(yè)務(wù)類數(shù)據(jù)(用“B”表示)：公司業(yè)務(wù)開展所需要的數(shù)據(jù)，包括：公司各個業(yè)務(wù)系統(tǒng)的費率、重要合作伙伴名單、合作授權(quán)價格信息等。公司類數(shù)據(jù)（用“C”表示），包括：公司的財務(wù)數(shù)據(jù)、管理數(shù)據(jù)及運營數(shù)據(jù)（尚未公布的公司經(jīng)營規(guī)劃和財務(wù)報告、法律文件等）；公司的服務(wù)、內(nèi)部系統(tǒng)、軟件等產(chǎn)生的數(shù)據(jù)，各種系統(tǒng)的賬戶和密碼；員工在工作中產(chǎn)生的所有數(shù)據(jù)，如源代碼、操作記錄、項目文檔等。數(shù)據(jù)分類分級矩陣關(guān)系如下：外部公開（L1）公司內(nèi)部（L2）一般商密（L3）核心商密（L4）用戶數(shù)據(jù)(U)客戶公開數(shù)據(jù)(U1)客戶內(nèi)部數(shù)據(jù)(U2)客戶保密數(shù)據(jù)(U3)客戶機密數(shù)據(jù)(U4)業(yè)務(wù)數(shù)據(jù)(B)業(yè)務(wù)公開數(shù)據(jù)(B1)業(yè)務(wù)內(nèi)部數(shù)據(jù)(B2)業(yè)務(wù)保密數(shù)據(jù)(B3)業(yè)務(wù)機密數(shù)據(jù)(B4)公司數(shù)據(jù)(C)公司公開數(shù)據(jù)(C1)公司內(nèi)部數(shù)據(jù)(C2)公司保密數(shù)據(jù)(C3)公司機密數(shù)據(jù)(C4)數(shù)據(jù)使用過程中的升級原則（一）客戶個人數(shù)據(jù)：當個人間接識別信息（U2）與個人直接識別信息（U3）結(jié)合或者多個個人間接識別信息（U2）關(guān)聯(lián)后，能識別特定自然人身份或自然人行為軌跡的參照個人直接識別信息（U3）保護要求進行的對應(yīng)安全管理；擁有可將個人間接識別信息（U2）關(guān)聯(lián)到某一特定數(shù)據(jù)主體的附加信息，則有關(guān)個人間接識別信息（U2），應(yīng)按照個人直接識別信息（U3）保護。個人間接識別信息（U2）與個人直接識別信息（U3）結(jié)合或者多個個人間接識別信息（U2）關(guān)聯(lián)后，符合個人敏感信息（U4）定義，參照個人敏感信息（U4）保護要求的對應(yīng)安全管理。與個人敏感信息（U4）結(jié)合使用的個人間接識別信息（U2）或個人直接識別信息（U3），參照個人敏感信息（U4）保護要求的對應(yīng)安全管理。將個人間接識別信息（U2）或個人直接識別信息（U3）關(guān)聯(lián)到某一特定數(shù)據(jù)主體的附加信息，信息組合后符合個人敏感信息（U4）定義的，應(yīng)按照個人敏感信息（U4）保護。用戶個人數(shù)據(jù)默認分級特別說明：具有特定指向性的個人信息，級別應(yīng)認定為U3及以上。（二）同一次申請數(shù)據(jù)量超過一定的閥值（建議值是1萬條記錄）,數(shù)據(jù)自動升級到更高一個級別；（三）在某個特定業(yè)務(wù)背景或特殊階段要求下，可以根據(jù)具體情況進行數(shù)據(jù)升級。第五章數(shù)據(jù)安全規(guī)范細則數(shù)據(jù)資產(chǎn)清單每個數(shù)據(jù)資產(chǎn)應(yīng)有其相應(yīng)的責任人，數(shù)據(jù)資產(chǎn)責任人應(yīng)理解并執(zhí)行本規(guī)范中定義的職責。部門數(shù)據(jù)安全負責人負責定義和維護上述適用范圍內(nèi)的數(shù)據(jù)資產(chǎn)清單。數(shù)據(jù)分類和處理部門數(shù)據(jù)安全負責人應(yīng)確保所有的數(shù)據(jù)資產(chǎn)都被適當?shù)姆旨墸⒏鶕?jù)不同的級別，推動相關(guān)方建立和實施相應(yīng)的保護措施，保護措施應(yīng)考慮到數(shù)據(jù)的存儲、訪問、傳輸及分發(fā)等環(huán)節(jié)。數(shù)據(jù)安全基本準則所有的員工、外包及第三方人員需遵守公司的數(shù)據(jù)安全基本準則，包括但不限于：（一）所有對數(shù)據(jù)庫及數(shù)據(jù)倉庫數(shù)據(jù)的分析、加工、處理等操作，必須在數(shù)據(jù)安全網(wǎng)絡(luò)中進行；（二）數(shù)據(jù)分析人員需要將上述數(shù)據(jù)傳遞給業(yè)務(wù)需求方時，必須先通過內(nèi)部數(shù)據(jù)流程審批，審批通過之后，才能進行數(shù)據(jù)分發(fā)；（三）禁止使用個人或非公司提供的設(shè)備來接收或處理數(shù)據(jù)安全網(wǎng)絡(luò)和數(shù)據(jù)分發(fā)平臺的數(shù)據(jù)；（四）嚴禁在沒有得到適當授權(quán)的情況下，將上述范圍中的數(shù)據(jù)傳遞給第三方。任何違反上述要求的員工，將進行通報批評、情節(jié)嚴重的依據(jù)公司規(guī)定進行處罰。數(shù)據(jù)資產(chǎn)訪問控制數(shù)據(jù)資產(chǎn)及其處理設(shè)施的訪問控制應(yīng)能保證數(shù)據(jù)的完整性、機密性及可用性；訪問授權(quán)應(yīng)遵循最小授權(quán)以及除非特別授予否則默認禁止的原則；禁止將上述范圍中的數(shù)據(jù)存儲在非公司擁有的系統(tǒng)或信息處理設(shè)備上；各數(shù)據(jù)支撐系統(tǒng)所屬和管理部門應(yīng)定期審查具有遠程訪問權(quán)限的人員，對于不再需要遠程訪問權(quán)限的賬號應(yīng)立即禁用。風險評估****組定期對數(shù)據(jù)資產(chǎn)及其支撐處理設(shè)施進行風險評估，識別數(shù)據(jù)安全風險并建立和實施風險處置措施；****組及質(zhì)量中心定期對評估結(jié)果及風險處置措施進行復(fù)核，以確保采取了適當?shù)目刂拼胧﹣肀ＷC數(shù)據(jù)的安全性。數(shù)據(jù)安全事件監(jiān)控****組及運維部應(yīng)保證數(shù)據(jù)資產(chǎn)支撐系統(tǒng)建立數(shù)據(jù)異常訪問監(jiān)控機制，能夠及時識別非授權(quán)的訪問；部門數(shù)據(jù)安全負責人和****組應(yīng)建立數(shù)據(jù)安全風險反饋流程，以及時收集數(shù)據(jù)安全風險，并采取適當?shù)娘L險處置措施。數(shù)據(jù)安全管理的監(jiān)督各部門負責人應(yīng)定期復(fù)核所在部門具有數(shù)據(jù)資產(chǎn)及其支撐系統(tǒng)訪問權(quán)限的人員清單；****組將定期對公司內(nèi)部各部門的數(shù)據(jù)安全管理執(zhí)行情況進行審計，并推動相關(guān)部