电信运营商行业-中国联通数据安全管理办法

XX联通数据安全管理办法V1总则为提升中国联合网络通信集团有限公司XX省分公司（以下简称“XX联通”）数据安全管理水平，明确数据安全管理责任，防范和处置数据安全隐患及问题，降低网络数据被违规使用和传播的风险，根据《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规，以及《电信和互联网用户个人信息保护规定》（工信部24号令）等行业规定，制定本办法。本办法适用范围为XX联通省公司各部门、各地市分公司和各子公司在数据采集、生成、传输、存储、使用、交互、销毁等数据全生命周期活动中涉及的数据安全相关事项。本办法为XX联通数据安全总体管理办法，IT系统、基础网络、对外合作数据安全管理要求还需遵循《联通IT系统数据安全管理办法》、《XX联通基础网络数据安全保护管理办法（试行）》、《XX联通大数据对外合作支撑管理办法》中的相关规定。数据安全责任体系省公司信息安全部负责牵头全省数据安全管理工作，具体安全职责如下：1、负责按照相关法律法规要求，制定公司数据安全管理整体方针策略。2、负责规划数据安全技术保障措施，督促相关部门建设数据加密存储、数据防攻击、防窃取、防泄漏、数据备份和恢复等安全技术保障措施。3、负责牵头做好数据安全事件应急处置，组织开展应急演练。4、负责组织开展数据安全评估，按照上级评估工作要求及评估要点，针对重点业务类型和场景，组织相关单位完成数据安全合规性自评估。5、负责组织开展各类数据安全专项治理工作。6、负责公司内部数据安全监督检查，定期对相关单位数据安全管理情况和落实效果进行监督检查，及时督促问题整改。7、配合电信主管部门、集团公司开展数据安全监督检查。8、负责组织教育培训等工作。省公司信息化专业是公司IT系统数据安全的管理责任部门，负责本省IT系统数据全生命周期管理；制定本省IT系统安全制度；负责建设本省IT系统安全保障平台；负责本省大数据平台数据采集、数据服务的业务评估以及安全合规性审核；其他本省范围IT系统数据安全管理相关工作。省公司网络运营部是公司基础网络数据安全理责任部门，负责本单位网络数据安全管理情况的具体落实；建立完善本单位网络数据安全管理体系；组织开展本单位网络数据监督检查工作；结合本省实际情况制定本单位网络数据安全保护实施细则，并贯彻落实各项网络数据管理要求。省公司市场部负责用户授权相关政策落实，通过用户协议和隐私政策明示收集目的、方式和范围。省公司政企客户事业部总体牵头大数据业务数据安全管理，负责统筹大数据对外业务发展规划、产品引入评审管理、产品化管理、资费管理、营销管理、培训管理、考核评价管理等工作。省公司客户服务部负责建立健全数据安全投诉处理机制，受理用户投诉。各数据运营、使用单位具体安全职责如下：1、遵守执行公司各数据安全管理办法，负责本单位建设的系统全生命周期数据安全。2、负责制定本单位数据安全技术保障要求，搭建本单位数据安全保障平台。3、负责本单位的数据使用管理和安全审核，明确数据使用时间、用途和使用范围，对接收到的数据在约定的范围内使用。4、负责本单位数据使用的人员管理，遵守公司数据安全相关规定。5、负责本单位与外部合作伙伴的数据合作安全保障，遵守国家法律法规及联通对外合作的相关管理规定，按照合作关系签订数据合作协议，明确相关数据保密责任。省公司各部门、子公司和地市分公司应至少配备一名数据安全管理员，负责本单位数据安全相关工作。数据分级分类根据数据在生产、经营和管理中的重要性，结合有关保密规定，按照内网IT系统数据、基础网络数据分别制定分级分类管理标准。内网IT系统数据由省公司信息化专业管理；基础网络数据由省公司网络运营部管理。按照数据的重要程度和一旦发生相关数据安全事件对公司所带来的危害程度，对数据实行分级管理。数据原则上分为关键级、重要级、较重要级、一般级4个级别，省公司信息化专业、网络运营部要根据实际情况予以细分，具体分级如下：1、关键级：具有最高安全等级的数据。此类数据或涉及用户的个人隐私、核心业务数据、组合信息，不正当使用会对用户或公司造成极为严重的影响。2、重要级：具有较高安全等级的数据。此类数据或涉及用户的特征信息和日常业务数据，不正当使用会对用户或公司造成较为严重的影响。3、较重要级：具有较低数据安全等级的数据。此类数据不正当使用会对用户或公司造成一定的影响4、一般级：是指不具安全敏感度，可以公共访问和对外发布的数据，并且不会产生任何安全问题按照数据的重要程度和一旦发生相关数据安全事件对公司所带来的危害程度，对数据实行分级管理。数据原则上分为关键级、重要级、较重要级、一般级4个级别，省公司信息化专业、网络运营部要根据实际情况予以细分，具体分级如下：省公司信息化专业、网络运营部要根据数据内容涉及的主体（个人客户、公司客户等）、颗粒度（明细、汇总等）、完整性（全量、样本等）、真实性、数据量、数据位置等属性进行分类管理。针对较重要级以上的数据和用户信息数据，相关部门要制定加密、脱敏等具体的安全管控措施，避免数据泄露、被窃取、篡改和滥用等事件发生。数据安全基础管理按照“谁生成谁负责，谁使用谁负责，谁存储谁负责，谁运营谁负责、谁受益谁负责，谁审批谁监管”的原则，各单位应承担相关数据全生命周期的数据安全责任，防止数据的丢失、泄露。各单位应遵循操作权限最小化原则，建立数据访问权限控制体系，应限制批量查询、复制、转移数据的操作权限。记录数据访问权限审批日志、数据访问操作行为日志，并定期审计。数据应避免手工离线操作，数据生命周期活动应在系统上实现，最大限度避免手工或离线方式进行数据生命周期活动。数据系统化保障原则，各级数据系统必须建立数据安全保障系统架构，建立涵盖网络数据全生命周期的各个环节的数据安全保障平台，具备系统化的数据安全保护能力。各单位应定期开展数据安全风险监测巡查，对操作日志开展安全审计，发现和处置非授权访问、批量复制或转移等异常情况，及时消除安全隐患。涉及较重要级（含）以上数据的系统应按照网络安全防护工作要求，定期开展风险评估工作，对其中发现的安全风险事项及时进行整改；定期进行漏洞扫描，及时发现所使用的操作系统、中间件、数据库以及程序本身的高危安全漏洞，及时修补发现的安全漏洞以及配置不符合项。涉及较重要级（含）以上数据的系统应实现网络安全域划分，不同安全域之间使用防火墙进行隔离和访问控制，并具备入侵检测系统等防护手段。防火墙设备的访问策略应设置为默认拒绝，只对特定的业务所必须的系统或维护终端开放访问权限。涉及较重要级（含）以上数据的用户权限申请、密码初始化申请等，必须严格按照相关管理要求，经相关流程审核批复后方可予以配置。对于能处理较重要级（含）以上数据的操作维护终端，应统一安装防病毒软件，定期进行安全扫描和加固，限制无线网络的使用，应有统一的接入控制，执行统一的安全策略。各单位应强化数据安全风险防控意识，积极推动对员工和第三方合作单位的数据安全风险意识教育、培训。数据生命周期各环节安全要求各单位应围绕数据生命周期五个环节，持续提升整体的数据安全保障能力。数据采集/生成：指新的数据产生或现有数据内容发生显著改变或更新的环节。数据传输：指数据通过网络在系统之间进行流动的环节。数据存储：指非动态数据以任何数据格式进行物理存储的环节。数据使用：指动态数据在系统自身内部进行的一系列活动的环节。数据销毁：指利用物理或者技术手段使数据永久或临时性的不可用的环节。数据采集/生成过程安全要求各单位要在收集信息时明确告知用户收集和使用规则，包括信息共享机制，并取得用户授权同意，原则上统一使用集团公司《中国联通用户隐私政策》模板。当收集的信息超出授权范围时，需要二次授权。数据采集/生成遵循“按需收集”的原则，数据采集前应进行业务评估。收集/生成的数据必须在上级主管部门和业务主管部门要求范围之内，严禁擅自扩大数据收集/生成的范围。原则上不允许通过分光镜像方式进行数据收集。如果确有需要，必须经过省公司网络信息安全管理部门审批。对外合作中采集的非本单位数据应合法获得，无接收系统的冗余数据应在采集环节及时删除。相关设备及系统要对收集/生成数据的操作进行日志记录，并对日志记录中的身份信息和鉴权信息进行模糊化处理。数据传输过程安全要求不得随意向其他单位或部门转移各类相关数据信息。数据转移须在业务主管部门要求范围之内，严禁擅自扩大网络数据转移范围，或转移与业务无直接关系的内容。数据传输过程中，应建立完善的数据传输保护机制，包括数据加密、完整性校验等手段。对于跨越互联网或不同等级安全域之间的数据传输，必须进行加密，以实现数据传输的安全。转移数据时，数据接收单位应具备信息保护技术能力，达到信息保护相关标准要求。要强化传输接口安全管控，采取系统间接口的设备鉴权、通过MAC地址、IP地址或端口号绑定、访问控制策略等方式限制违规设备接入。数据接收单位应在访问和使用完成后，及时通知数据输出单位收回相关权限。相关设备及系统应对数据的转移操作进行日志记录，并对日志记录中的敏感信息进行模糊化处理。数据存储过程安全要求要采取加密、鉴权、数字签名等安全措施保障数据存储安全，防止对数据传输介质的未授权访问、损害和干扰。原则上，关键级数据要加密存储，并按照有关规定选择适当的数据加密算法；较重要级（含）以上数据在存储时是否需要采取加密措施，在风险评估时予以明确。对于较重要级（含）以上数据，按照实际系统需要，在存储时要充分利用模糊化等脱敏措施。对于数据备份，要按照各专业相关管理规定执行，每年制定数据备份计划，并按照备份计划严格执行。数据必须存储在本地，并具备容灾备份，如需采用云端存储作为异址备份，则应选用联通自有云端存储。数据使用过程安全要求对于较重要级（含）以上数据，要通过数据需求单位申请、数据输出单位及各专业线数据安全责任单位审批后方能使用。数据需求单位必须明确具体的数据内容和用途，并保证相关数据不泄露和被滥用。数据输出单位应建立数据使用审核机制，明确数据使用中的安全要求。禁止擅自向开发测试环境导入真实网络数据。如因工作需要必须进行导入操作时，必须经过审批后方可实施，并对不必要的真实数据与信息进行模糊化脱敏处理。严禁第三方人员擅自接触生产系统所承载的数据，如工作需要必须通过审批后方可实施，操作过程中有局方陪同进行。相关设备及系统应对数据的使用操作进行日志记录，记录内容至少包括访问人员、访问对象、访问时间、访问操作等。数据销毁过程安全要求公司内部数据使用者有义务根据服务协议的约定，定期销毁数据和相关载体，并接受相关部门的检查。对外数据合作方有义务配合XX联通数据安全管理工作，对约定到期的数据和相关载体进行销毁，对违反约定的行为XX联通有权进行追责并采取相关措施。数据删除和销毁的操作，必须经过审批后方可实施，并进行记录。下线报废设备，必须经过消磁、粉碎等不可逆技术手段对承载的数据及敏感数据进行销毁。下线再利用设备，必须通过技术手段对其承载的数据进行脱敏处理，消除信息识别性内容，确保处理后的数据不可还原。对于系统所更换下来的数据存储介质，必须采用有效的手段由维护人员负责彻底删除涉及客户信息等敏感数据，才可离开其所在的安全区域。不再使用的数据存储介质，应通过消磁、粉碎等技术手段由维护人员负责及时销毁。需要销毁的电子信息存储介质类型包括：硬盘、软盘、光盘、U盘以及各种存储芯片等。数据共享合作安全管理数据共享合作前应签订数据安全协议，明确规定合作各方数据使用权限、安全保护责任、必要的安全保护措施以及违约责任和处罚条款。原则上，各单位不对非中国联通集团所属单位提供较重要级（含）以上数据。特殊情况，需对外提供较重要级（含）以上数据的，必须经过公司相应业务主管部门和网络信息安全管理部门审批。较重要级（含）以上数据共享合作前，必须对数据共享需求进行风险评估，制定能够有效控制风险的数据共享方案，并通过OA正式公文或电子工单经过本单位领导审批通过后方可实施。数据提供部门要建立业务合作方风险监督管理机制，加强对业务合作方数据安全风险的监督管理，严禁业务合作方超出合同约定目的和范围使用分析数据。相关系统数据共享接口要遵循最小化原则，不得在无实际需求的情况下，提供数据。各单位应加强第三方人员安全管理，严格第三方人员账号和权限管理，加强对第三方人员操作的安全审计，明确规定第三方人员的数据安全责任及安全责任的惩处规定。数据安全评估参照公司新技术新业务信息安全评估管理办法，执行“业务部门自评+信安部门复评”二级数据安全评估制度。涉及较重要级（含）以上数据数据采集/生成、传输、存储、使用、销毁的业务，在上线前必须经过评估。评估内容包括但不限于数据安全风险情况、数据合规使用提供情况、数据安全保障措施合规与完善程度、合作方数据安全保护水平。对于评估结论为“风险较大”的业务，业务部门需立即下线整改，直至重新通过评估后方可上线。数据安全应急响应各级数据安全管理部门应建立应急响应机制，制定应急预案和流程，定期开展应急演练。当数据发生或者可能发生泄漏、毁损、丢失的，应立即采取补救措施；造成或者可能造成严重后果的，应当立即向上级主管部门报告，并配合调查处理。数据安全应急工作坚持“统一指挥、分级分工负责、及时预警、密切协同、快速处置、确保恢复”的原则。对于上级主管部门通知或社会披露的与本单位相关的数据安全风险信息，如系统漏洞、业务漏洞、数据泄露等，应立即