公司数据安全管理办法

公司数据安全管理办法

编制

版本

修订记录

版本修订章节修订内容概述修订日期修订人

目录

第一章总则........................................................................4

第二章机构与人员.................................................................6

第三章数据安全合规...............................................................9

第四章数据分类分级..............................................................12

第五章数据全生命周期管理........................................................17

第六章基础安全管理..............................................................36

第七章问责与处罚................................................................39

第八章附则.......................................................................40

附录.............................................................................40

附录一公司数据安全保护清单.....................................

附录二公司数据安全自评表.......................................

附录三《关键系统数据安全责任承诺书》模板.......................................41

附录四安全事件违规行为及对应的违规事件级别....................................44

第一章总则

第一条目的及依据

为加强公司数据安全管理，构建强有力的数据安全保障体

系，维护国家安全、社会公共利益，保护用户合法权益，

保障公司数据资产安全及业务健康发展，根据《中华人民

共和国网络安全法》，以及国家相关法规及制度要求，参

照《信息安全技术个人信息安全规范》等国家标准，制定

本办法。作为本公司各相关部门实施数据安全管理工作的

依据。

第二条管控对象

本规范的管控对象为公司运营过程中通过网络收集、存

储、传输、处理和产生的各种电子数据（以下简称“数据”）

包括公司源数据、客户隐私数据、生产过程数据、测试数据、

产品数据以及保证生产经营活动正常运转的支撑数据、业务

平台数据、数据分析平台系统、数据业务服务及相关人员组

织等。

第三条基本原则

今保障公司数据安全，总体来说应遵循以下基本原则：

令主体责任明确原则：明确责任分工，落实公司业务和

平台的数据安全主体责任。

令协同治理原则：保障数据安全是公司的目标，安全职

责应体现在所有相关部门，对于出现的安全问题，所

有相关部门均应履行相应的安全职责并承担相应的责

任。

令服务最小化原则：在向公司内部、平台、第三方合作

伙伴共享开放数据时，应仅提供业务开展明确需要的

数据属性、标签属性及规模。

分类分级管控原则：对公司数据进行分类分级，根据敏感

程度不同，采取适当的、与安全风险相适应的管控措施和

技术手段，保障数据安全。

用户知情同意原则：收集、使用客户信息时，应当遵循合

法、正当、必要的原则，公开收集、使用规则，明示收

集、使用信息的目的、方式和范围，并经客户信息主体同

意O

安全三同步原则：在承载数据的相关平台系统的设计、建

设和运行过程中，应做到数据安全保护措施的同步规划、

同步建设、同步运行。

第四条适用范围

本规范适用范围为公司各部门。

本规范中所述第三方合作伙伴是指除公司外的第三方。

本规范中所述的网络和内网均指生产网环境非办公网环境。

办公网环境数据安全遵照公司的办公数据安全相关管理办

法执行。

本规范的解释权属于公司。

第二章机构与人员

第五条网络安全领导小组的职责

公司网络安全领导小组在控股公司网络安全领导小组的

统一领导下，负责开展本单位的数据安全管理工作。

网络安全领导小组的主要职责包括：

（一）负责数据安全保护工作的全面统筹指导；

（二）审核和批准数据安全保护相关管理规定；

（三）对数据安全保护工作的支持，提供必要资源（人、

财、物）等；

（四）负责监督数据安全泄密事件的查处；

（五）负责统一对上级单位或部门报告数据安全突发事

件情况等工作。

第六条运维中心的职责

运维中心是数据安全归口管理部门，负责整体数据安

全的统筹管理，其相关职责如下：

（一）负责数据安全资产清单管理，统一维护公司数据

安全资产清单库，牵头各部门开展数据资产的清查及管

理工作；

（二）负责牵头各部门开展数据安全审计、数据安全合规

性评估等监督检查工作；

（三）负责督促协调各相关部门建立数据安全技术保障

措施。如督促协调严格落实操作权限管理、日志记录和安全

审计、数据加密、数据脱敏、访问控制、数据容灾备份等数

据安全保护措施；

（四）负责所运维的涉及数据的系统和平台技术层面的

数据安全保障和稽查工作；

（五）负责规范后台运行维护人员、开发测试人员、生

产运行支撑人员的角色和职责；

（六）负责系统层面数据安全的日常管理和审核工作；

（七）负责开展数据安全教育培训，培训内容包括但不

限于数据安全管理与用户个人信息保护相关法律法规、标准

制度、安全责任、知识技能等；

（A）协助数据安全泄密事件的查处；

（九）协助对与公司合作的第三方管理，包括协助开展第三

方安全资质审查，综合评估第三方的数据安全保障能力等。

第七条涉及数据安全的业务部门的职责

（一）明确数据安全主体责任，建立落实数据安全保护的

管理、技术、组织保障措施；

（二）协助数据安全归口管理部门开展数据资产的清查及

管理工作；

（三）协助数据安全归口管理部门开展数据安全审计、数据

安全合规性评估等监督检查工作；

（四）负责主管的业务系统数据安全相关事件上报和处置,

协助数据安全归口管理部门进行数据安全事件的查处。

（五）按照数据安全管控原则，合理设置相关业务人员岗

位、角色、权限及职责；

（六）负责落实主管业务的合作伙伴数据安全管理，包括

做好合作伙伴背景调查和安全资质审查、综合评估业务合作

伙伴的数据安全保障能力、签订数据安全保密协议、明确数

据安全违规的处罚措施和违约责任、加强数据操作管理等;

第八条其他相关部门的职责

（-）人力资源部门：组织员工签订保密承诺书，及时发

布人员岗位变动、入离职的信息同步给帐号管理部门，协

同组织数据安全教育培训工作，参与对数据泄密人员的查

处；

（二）采购、合规管理部门应在采购、合同管理阶段，审

核数据安全保护的要求，在合同中纳入数据安全保密条

款；

第三章数据安全合规

第九条数据安全“三同步”

为保障公司生产运营中数据安全，落实业务安全“三同

步”的要求，应在公司数据生产运营流程的关键环节，采取

必要的安全控制措施，实现公司敏感数据可管可控。

（一）数据系统规划设计阶段

在数据系统规划设计阶段应全面梳理数据运营平台及

系统安全需求，明确相关资源，对敏感数据泄露、身份认证

缺陷等安全风险进行分析、评估，设计整体数据运营平台系

统安全保障方案，做好系统安全方案设计和方案评审两个

环节的安全控制。

（二）数据系统建设开发阶段

在数据系统建设开发阶段在设备采购、系统开发、测试

验收、上线试运行四个环节做好安全控制，落实整体安全保

障方案。

（三）数据系统运行维护阶段

在数据运营运行维护阶段应做好数据运营系统和平台的监

测、访问控制、账号管理、补丁更新等安全管理工作；落

实日常安全监测与保障，建立应急处置机制，保证数据业

务的连续运行；建立退出服务机制，确保不符合生产环境

的应用系统安全退出服务。

第十条数据泄露应急处理

（一）公司内部部门工作人员发生数据泄漏，应停止账

号使用并回收操作权限，报告分管部门领导和数据安全归

口管理专员，并保留相关日志记录，配合归口管理专员开

展调查和责任追究。事件严重的要按照相关的管理要求，上

报公司网络安全工作办公室进行处置。

（二）第三方人员发生数据泄漏，应立即停止其操作权限，

再向泄漏人员追讨数据，并报告分管部门领导和数据安全

归口管理专员，根据实际需要采取向第三方厂商通报、追

责等处理措施。事件严重的要按照相关的管理要求，上报

公司网络安全工作办公室进行处置。

（三）由于非人员因素，例如，黑客攻击等原因造成的数

据泄露，涉及的业务系统应立即采取包括网络封堵、关停

服务等措施避免数据的进一步泄露，报告数据安全管理专

员和部门领导，保留相关日志记录，配合数据安全管理专

员开展问题调查。问题严重的要按照公司安全管理制度要

求，上报公司网络安全办公室或网络安全领导小组进行处

置。

第十一条数据资产管理与报送

涉及数据安全的部门应明确各自部门数据安全归口管理人

员，配合数据安全归口管理部门开展数据资产的清查和梳

理工作，负责各自部门业务或系统的数据安全资产的清查

和管理，并对清查和梳理的结果进行记录、管理，按照附

录《公司数据安全保护清单》填写，确保资产管理的规范

性、统一性。

第十二条数据安全审计

数据安全审计是通过管理和技术两种手段，检查公司

的数据安全策略和数据安全风险控制措施的执行情况以及

发现安全风险，保障业务连续运转的过程。安全审计的范围

应包括与公司数据安全相关的所有范畴，包括各类数据资

产、业务流程、支撑生产经营活动正常运转的各类网络设备

操作日志、部门以及人员（管理层、员工、用户、第三方等）

等，同时还包括保障正常生产经营活动连续运转的应急响

应及恢复机制。

涉及数据安全的部门应根据各自部门的实际情况配合

数据安全归口管理部门定期或按监管要求开展数据安全风

险评估、数据安全合规性评估等监督检查工作，按照《公司

数据安全自评表》至少每年开展一次安全风险自评。

各相关部门负责数据安全审计的人员应对审计情况进

行汇总，梳理存在问题，通报结果，对发现的重大安全隐

患或违规行为，应向部门管理层汇报。

公司各部门的安全审计活动和后续整改工作应被正式

记录并保存。

第四章数据分类分级

为了能够更好的保护数据安全，公司应对敏感数据进行分

类分级，从而可以针对不同种类和敏感级别的数据制定差

异化的安全控制策略。

各部门要结合各自部门业务的实际情况，梳理各自部门涉

及的数据并明确具体数据的分级。针对较敏感级（含）以

上的数据必须分析其存在的风险并制定落实具体的安全管

控措施，避免数据泄露、被窃取、篡改和滥用事件发生。

第十三条数据分类详细信息

根据公子类范图对应数据

司数据

运营和

开放服

务的特

点，结

合有关

部门规

范的规

定和要

求，将

公司数

据运营

涉及的

敏感数

据分为

四类。

类别

A.用户A1.用户身A1-1：自然客户姓名、证作类型及号码、驾照编号、银行账户、

身份和鉴份和标识信人身份标识客户实体编号、客户名称、客户负责人'联系人信息

权信息息等可以精确标识定位具体实体客户的信息

A1-2：网络联系电话、邮箱地址、网络客户编号、即时通信账号、

身份标识网络社交用户账号等可以精确标识网络用户或通信

用户的信息

A1-3：用户客户职业、工作单位、年龄、性别、籍贯、兴趣爱好

基本资料等；客户所在省市、所在行业、签约时间及协议到期

时间、单位成员个人基本资料等

A1-4：实体身份证、护照、驾照、营业执照等证件影印件等：指

身份证明纹、声纹、虹膜等

A1-5：用户揭示个人种族、家属信息、居住地址、宗教信仰、基

因、个人健康、私人生活等有关的用户私密信息

私密资料

《征信业管理条例》等法律、行政法规规定禁止公开

的用户其他信息

A2：用户网A2-1：用户用户网络身份密码及关联信息

络身份鉴权密码及关联

信息信息

B.用户数B1：服务内B1-1：服务服务内容数据；

互联网服务内容信息：包括：移动互联网服务所涉

据及服务内容和资料数内容数据

容信息据及通话内容、及时通信内容、群内发布内容、数据文

件、邮件内容、用户上网访问内容等；用户云存储、

IDC等存储或缓存的非公开的私有文字、多媒体等资

料数据信息

互联网服务内容信息：包括：移动互联网服务所涉及

通话内容、及时通信内容、群内发布内容、数据文件、

邮件内容、用户上网访问内容等；用户云存储、TDC等

存储或缓存的非公开的私有文字、多媒体等资料数据

信息

B1-2：联系

人信息

C.用户服

务相关信息

(D类)企D1：企业管理(D1-1)：企业内部核心管理数据、(D1-2)：企业内部重要管理数据、

业运营数据(D1-3)：企业内部一般管理数据、(D1-4)：市场核心经营类数据、

管理数据(D1-5)：市场重要经营类数据、(D1-6)：市场一般经营类数据、

(D1-7)：企业公开披露信息、(D1-8)企业上报信息

D2：业务运营(D2-1)：重要业务运营服务数据、(D2-2)：一般业务运营服务数

数据据、(D2-3)：公开业务运营服务数据(D2-4)：数字内容叱务运营数

据

D3：网络运维(D3-1)：网络设备及TT系统密码及关联信息、(D3-2)：核心网络

数据设备及IT系统资源数据、(D3-3)：重要网络设备及IT系统资源数

据、(D3-4)：一般网络设备及IT系统资源数据、(D3-5)：公开网

络设备及1T系统资源数据、⑴3-6)：公开网络设备及IT系统支撑

据

[)4：合作伙伴

数据

第十四条数据分级及管控原则

根据数据敏感程度，遵循原则，即，同一批数据中各属

性或字段的分级不同，需要按照定级最高的属性或字段的

级别一并实施安全管控，将数据划为四个敏感级别，敏感

级别从高到底依次为极敏感级(4级)、敏感级(3级)、

较敏感级(2级)和低敏感级(1级)。

类别定位子类及范围管控原则

应实施严格的技术和管理措施，保护数

(A1-4)实体身份证明、

据的机密性和完整性，确保数据访问控

极敏感(A1-5)用户私密资料、

第4级制安全，建立严格的数据安全管理规范

级(A2-1)用户密码及关联

以及数据实时监控机制。

信息

(A1T)自然人身份标识、

(A1-2)网络身份标识、应实施较严格的技术和管理措施，保护

(A1-3)用户基本资料、数据的机密性和完整性，确保数据访问

第3级敏感级(B1-1)服务内容数据、控制安全，建立数据安全管理规范以及

(BI-2)联系人信息、数据准实时监控机制。

(C1-2)服务记录和日志、

(C1-4)数据、

应实施必要的技术和管理措施，确保数

(C1-3)信息和账单、

较敏感据生命周期安全，建立数据安全管理规

第2级(C2-1)设备标识、

级范。

(C2-2)设备资料、

应实施基本的技术和管理措施，确保数

低敏感(C1-1)关系

第1级据生命周期安全。

级(C1-5)记录数据

表2数据分级及管控原则

第五章数据全生命周期管理

数据全生命周期分为采集、存储、传输、使用、共享和销

毁六个环节。各数据的责任部门要根据所管数据的分级和

所处的环节以及面临的具体安全风险，制定并落实有针对性

的数据安全管控措施。

第十五条数据采集安全

（-）各部门应加强线上、线下等数据收集环节管控，

通过配备技术手段、签署保密协议等措施，加强对数据收集

人员、设备的管控，保障收集数据安全。通过第三方等其他

途径获得的敏感数据，与直接收集的敏感数据负有同等的

保护责任和义务。

（二）各部门通过线上渠道等方式收集使用客户信息时,

应当制定并公开收集使用规则，收集使用规则应明确具体、

简单通俗、易于访问。且仅当用户知悉收集使用规则并明确

同意后，方可收集客户信息，同时向用户提供查询、更正、

删除等多种参与用户信息处理的渠道，并予以公告。

（三）各部门不得收集其提供服务所必需以外的客户信

息或者将信息用于提供服务之外的目的，不得以欺骗、误导

或者强迫等方式或者违反法律、行政法规以及双方的约定收

集、使用信息。

（四）在用户终止使用服务后，应当停止对客户信息的

收集和使用，并为用户提供注销号码或者账号的服务。针对

违反双方约定收集、使用客户信息的，或收集、存储客户信

息有错误的情况，用户提出删除或更正要求的，各单位应

采取措施予以满足。

（五）各部门在用户同意收集保证业务系统核心业务

功能运行的客户信息后，应当向用户提供核心业务功能服

务，不得因用户拒绝或者撤销同意收集上述信息以外的其

他信息，而拒绝提供核心业务功能服务。

（六）App收集使用客户信息前，应发布独立性、易读

性的隐私政策文本。隐私政策应至少包括以下内容：

1.隐私政策应向客户信息主体明示收集客户信息的目

的、方式、范围，并显著标注所收集客户信息类型；

2.明确运营者基本情况、客户信息存储地域、保存期限、

超期处理方式以及收集客户信息、使用客户信息的规则；

3.明示客户信息保护措施和能力，用户查询、更正、删

除客户信息的途径和方法，用户投诉渠道和反馈机制；

4.隐私政策发布、生效或更新时间；

5.对外共享、转让、公开披露客户信息规则；

6.第三方SDK、Cookies技术等。

7.App所申请的客户信息相关权限不应超出隐私政策

中说明的范围。在收集权限时需征得用户自主选择明示同意。

当用户同意App收集某服务类型的最少信息时，App不得因

用户拒绝提供最少信息之外的客户信息而拒绝提供该类型

服务。

App不得收集与所提供的服务无关的客户信息，不得

通过捆绑多项业务功能方式要求用户一次性接受并捆绑授

权。

8.采集环节分级管控要求如下

类别第1级第2级第3级第4级

针对数据采集重要区域，部署全天候视频监控记录手

物理监

段。

控

对重要系统实施机柜上锁等物理防护手段，必要时可

物理防

实施机房内分区隔离措施。

护

针对机房内实施或第三方参与的操作，安排内部人员现场监督，做好

人员访

操作步辍记录和事后审计。

问管理

待采集

数据保待采集数据采取数据加密保护。

护

待采集

数据留待采集数据不得私自留存。

存

采集账依据权限最小化原则分配采集账号权限，并通过内网管控实现账号认

号权限证和权限分配，不得采集提供服务所必需以外数据。

管理

采集设对采集设备IP地址，Console.USB端口访问进行限制，对采集设备接

备接入入进行认证鉴权。

管埋

记录采集日志，对重复采集、采集异常、传输量超过设定阀值情况进

采集监

行告警。

控告警

表3采集环节分级管控要求

第十六条数据传输安全

根据数据业务流程和职责界面等情况，采取信道加

密、数据完整性校验、接入鉴权、建立专线等管理和技术

手段，保障数据传输安全。

（一）强化传输接口安全管控，应采取系统间接口的

设备鉴权、通过MAC地址、IP地址或端口号绑定、访问控制

策略等方式限制违规设备接入。

（二）数据传输双方均应保留日志记录，以备审计，

对于非法访问应进行告警并保存完整的日志记录；

（三）建立包括数据加密、通道加密、完整性校验等

手段的数据传输保护机制。对于跨越互联网或不同等级安

全域之间的数据传输，必须进行加密，保障数据传输安

全；

（四）对于敏感级及极敏感级数据应禁止未经授权通

过生产主机以任何方式在生产内网或向互联网传输或开

放；严禁使用非工作邮箱、微信、QQ等社交产品进行传

输；禁止采用U盘等移动介质方式传输。

（五

）传

第1级第2级第3级第4级

输环

节分

级管

控要

求如

下：

类别

数据线加强数据线下交互的过程管控，对数据线下交互建立审批机制及操作

下交互流程，要求对线下交互数据采取加密脱敏、物理封装等防护手段，防

过程管止数据被违规复制、传播、破坏等。

控

网络边

界全防在网络边界上针对数据流向做好隔离封堵的限制。

护

除满足第1级数据传输保

对传输通道采取

护要求外，需要符合如下除满足第2级数据传输保

合理的加密技术

要求：护要求外，需要符合如下

手段，对数据报

1、对于跨安全域的数据传要求：

文实施来源正确

输，应采用加密或其他有1、在检测到传输过程中

数据传性的鉴别处理，

效措施实现传输保密性；数据完整性错误时采取必

输保护能够检测重要数

2、提供关键网络设备、通要的恢复措施；

据在传输过程中

信线路和数据处理系统的2、应采用加密或其他有

完整性是否受到

硬件冗余，保证系统高可效措施实现传输保密性。

破坏。

用性。

表4传输环节分级管控要求

第十七条数据存储安全

数据存储是数据内部处理过程，应采取合理的管理和技术

措施，保障数据的完整性和可用性，避免敏感数据内部泄露

风险。具体来说应包括但不限于以下措施：

（一）对于较敏感级（含）以上数据，按照实际系统需要,

在存储时充分利用模糊化等脱敏措施。

（二）依据相关要求，原则上，极敏感级数据要加密存

储，并按照有关规定选择适当的数据加密算法。业务系统要

进行风险评估以文档化的方式明确较敏感级（含）以上数据

在存储时是否需要采取加密措施。

（三）敏感数据仅可存储在指定设备，并提供数据完整性

校验机制，保障数据的可用性和完整性，严禁使用私人存

储介质；

（四）对存储用户个人信息的信息系统实行接入审查,

并采取防入侵、防病毒等措施。

（五）应建立数据容灾备份和恢复机制，在发生数据丢

失或破坏时，可及时检测和恢复数据，保障数据的可用性

和连续性；

（六）应对存储设备及基础设施做好安全防护，建立数

据存储设备操作终端的接入鉴权机制，设置平台侧访问控

制策略，配置安全基线、部署必要的安全存储技术手段等,

定期实施安全风险评估及整改；；

（七）针对多租户数据的共享存储需求，应建立安全管

控策略，保证多租户数据共享存储安全；

（A）存储环节分级管控要求如下

类别第1级笫2级第3级笫4级

对不同安全等级的数据进行隔离存储，并在各自存储区域之间做好严

数据存

格的访问控制限制。

储隔离

1、不同来源数据在融合过程中，要选择能够对接的数据项，融合完成

后要保持数据的一致性；

数据封

2、系统应具有数据封装等功能，对数据的访问和操作要按照一定的粒

装管理

度封装为独立的服务实体，内外部系统都不能直接访问源数据库，底

层数据结构需要严格保密。

除满足第2级要

求外，需符合如

下要求：

1、应能够检测重

要数据在存储过

程中完整性是否

受到破坏，并在

检测到完整性错

误时采取必要的

恢复措施；除满足第3级数据

2、应采用加密或传输保护要求外，

其他保护措施实需符合如下要求：

数据可

硬件冗余，保证现数据存储保密应进行异地灾难备

用性和

系统高可用性性；份、异地实时备

完整性

3、应提供本地数份，提供业务

保护

据备份与恢复功应用的实时无缝切

能，完全数据备换。

份至少每天一次，

备份介质场外存

放；

4、应提供异地数

据备份功能，利

用通信网络将关

键数据定时批量

传送至备用场

地。

表5存储环节分级管控要求

第十八条数据使用安全

（一）数据使用通用安全管理要求

•使用数据时，应遵循原则，使用方必须明确具体的数据

需要，并保证相关数据不泄露和被滥用。

•数据提供方应建立数据使用审核机制，明确数据使用中

的安全要求。对较敏感级（含）以上数据应进行信息模

糊化及脱敏处理。

•依据权限最小分配原则做好账号权限管理，对数据平台

及业务系统的数据使用操作应纳入生产内网管控，通过

生产内网管控实现集中账号授权管理和登录访问控制，

关键系统高风险操作应纳入金库模式管控。确保操作有

审批，有记录。第三方人员不得直接使用敏感数据。

•应保留大数据使用者及其所部署应用程序登录、访问及

对数据进行的各种处理操作的日志记录，支持追溯具体

操作时间、对象及内容。同时，应定期开展安全审计；

•系统开发测试环境与生产运营环境分离，开发测试过程

使用模拟或者样本数据，不包含敏感级（含）以上的真

实数据。

•数据操作应尽量避免手工离线操作，而采用线上方式实

现，并对批量读取和下载的功能进行授权控制。

应对涉及用户敏感信息的访问和操作进行监测，并对大批

量导出等异常操作进行实时告警；

除非获得用户明确授权，所有离开公司网络与计算环境的

敏感数据均需要进行脱敏处理，且应采用安全的算法及流

程实施脱敏操作，避免敏感数据被违规还原；且采用不同批

次不同参数等方法，避免敏感数据被沉淀积累。

（二）数据使用安全原则

数据使用应遵循“数据服务针对具体业务，由需求方和提供

方协商明确业务开展需要的数据属性、标签属性及规模，减

少其它无关数据、标签、属性的开放共享，降低多余数据外

泄风险。

（三）数据使用审计管理

信息安全管理组定期或不定期牵头组织数据使用安全审计,

包括合规性审计和操作日忐审计，着重审查敏感数据使用

范围和场景与审批结果是否一致，数据分析挖掘过程是否

符合安全要求，以及是否满足数据服务最小化、用户知情同

意、脱敏开放等原则，及时发现存在的安全隐患，提出有针

对性的整改建议，跟踪整改情况。

（四）

数据使

用环节

第级第级第级

分级管第1级234

控要求

如下：

类别

依据权限最小化原则分配账号权限，通过4A管控等技术手段统一实

现账号认证和权限分配；应使用系统或应用权限分配功能对不同等级

账号权限

的数据设置不同的访问权限，不同用户只能访问与自己职责对应的数

管理

据。

1、在数据导入（到第三方租户环境）、用户授权、访问控制、模型

训练、数据服务接口、数据导出、操作审计等方面制定相应的第三方

数据分析安全管控措施；

挖掘要求2、防止数据被恶意删除、随意篡改、无约束的滥用，需要对源数据

和挖掘结果进行签识。

数据查询对用户敏感信息进行对外查询、展现、统计等操作时，必须经过模糊

展现要求化处理。

对获取用户敏感信息和本地下载等的敏感操作行为，应采用金库模

数据下载

式，进行二次操作审批。

导出要求

对于系统间和后台数据的转移/导出行为，应通过管理和技术手段予

数据转移

以严格控制C

要求

1、针对上层大数据

应用的访问，应进

行应用认证和授权

处理；

2、对个人敏感数据

访问应进行模糊化除满足第3级要求

或脱敏处理；外，要需要满足如

3、不同应用之间需下要求：高风险操作

要进行数据关联性应遵循金库模式，

特定要求隔离，防止因数据多人操作管理，确

关联分析产生数据保单人无法拥有重

泄露；要数据的完整操作

4、供开发人员使用权限。

的测试数据必须经

过模糊化处理；

5、移动介质中的数

据必须进行加密保

护。

表7使用环节分级管控要求

第十九条数据共享安全

公司数据共享包括对内数据共享和对外数据共享。对内

数据共享是指公司内部部门或业务系统间的生产数据在生

产环境共享；对外数据共享是指向第三方合作伙伴提供数据

服务的过程。

（一）数据开放形式

数据提供的形式分别为：原始数据、脱敏数据、标签数据和群

体数据。

1.原始数据

原始数据是指数据的原本形式和内容，未作任何加工处

理。

2.脱敏数据

脱敏数据是对各类数据所包含的自然人身份或网络身份标

识、用户基本资料等隐私属性进行模糊化、加扰、加密或转

换后（如：对身份证号码进行不可逆置换，但仍保持相应格

式）形成的无法识别、推算演绎（含逆向推算、枚举推算等）、

关联分析不出原始用户身份标识等的新数据。

3.标签数据

标签数据是对用户个人敏感属性等数据进行区间化、分级化

（如：消费类信息仅区分高、中、低三级等）、统计分析后

形成的非精确的模糊化标签数据。模糊处理达标基线是：仅

根据模糊化标签属性，无法推理计算匹配到具体个人；且标

签数据无法精确描述具体个人实体的任何敏感特征。

对外提供的数据，原则上应尽量输出标签数据。对于标签数

据确实不能满足应用场景需求的情况，可以按照相关要求

提供脱敏数据。

4.群体数据

群体数据即群体性综合性数据，是由多个用户个人或实体

对象的数据进行统计或分析后形成的数据。如：群体用户位

置轨迹统计信息、交易统计数据、统计分析报表、分析报告

方案等。根据群体数据，应无法推演、无法与其它数据关联

间接分析出个体数据。群体数据中不应包括任何用户身份标

识等敏感信息。

（二）对内数据共享服务安全流程（对内数据共享是指公司

内部部门或业务系统间的生产数据在生产环境共享）

1.数据需求提出

•第3级、第4级数据的应用由数据的应用由需求部

门、数据源部门与数据处理部门领导共同决策，并

报送数据安全归口管理部门审核存档

第2级数据及以下应由需求部门、数据源部门与数据处

理部门领导审批，并报送数据安全归口管理部门审核存档

2.数据开发

•数据维护人员应按照保密协议及安全开发操作手册

进行数据开发。

3.数据提供

（三）开发人员开发生产数据共享接口供生产数据在生产

环境共享；数据维护人员将生产数据提取结果文件

上传至生产环境数据共享区域，供数据需求方查看,

生产数据不可导出或下载到个人终端电脑；

（四）对外数据共享服务安全流程

1.对外数据服务形式：

公司提供的数据包括提供标签数据、脱敏数据和群体

数据;

2.对外数据服务流程

•第4级标签数据、脱敏数据、群体数据严禁对外开放；

•第3级标签数据、脱敏数据需要获得用户授权，经过

公司网络安全工作办公室审核后（公司办公会或公司

呈批均可）方可向业务合作方提供；

•第2级标签数据、脱敏数据需要获得用户授权，经过

公司网络安全工作办公室审核后（公司办公会、公司呈

批或跨部门评审会均可）方可向业务合作方提供；

•第1级标签数据、脱敏数据、以及群体数据（包含第3

级、第2级、第1级）需要经过公司网络安全工作办

公室审核后（公司办公会、公司呈批、跨部门评审会或

订单审核均可）方可向业务合作方提供。

严禁输出满足条件开放可以开放

对外数

3.数据验真数据开放

据服务分

级管控：

原则上各

个级别按

照自身级

别的管控

要求处理

输出。若

对外提供

的数据中

有敏感级

别不同的

数据，且

又能分别

处理输出

的，则按

照高敏感

级别数据

的管控要

求处理输

出。数据

对外开放

安全管控

可依据原

则实施管

理。

数据级别

所有原始数据.

第4级脱敏数据、标签

数据、群体数据

Al-LA1-2.B1-2群体

Al-1.Al-2、Bl-2标签

数据

数据（仅提供数据比

第3级所有原始数据A1-3.B1-1.C1-2X1-

对结果）

4脱敏数据、标签数

据、群体数据

A1-3.B1-1,C1-2.C1-

4脱敏数据、标签数

据、群体数据

Al-3.B1-1.C1-2,C1-

4脱敏数据、标签数

据、群体数据

A1-3.B1-UC1-2.C1-

4脱敏数据、标签数

据、群体数据

C1-3群体数据

Cl-3,Dl-3.D1-C1-3标签数据、脱

C2-LC2-2脱敏数据、

6、D2-2.D3-4.C1-3标签数据、脱敏敏数据

第2级标签数据、群体数据

1)3-6原始数捱数据C2-LC2-2原始数据

C2T、C2-2脱敏数据、

C2-UC2-2原始数据

标签数据、群体数据

C1-LC1-5脱敏数据、

C1T.C1-5原始

第1级标签数据、群体数据

数据

表6用户数据开放情况总览表

严禁输出：指禁止以任何形式将数据提供给业务合作

方。数据验真：指在获得用户授权、通过业务管理部门和信

息安全管理组审核的情况下，为业务合作方提供用户身份

信息比对服务，输出校验结果。

数据开放：指在获得授权（包括第三方授权）、通过业

务管理部门和信息安全管理组审核的情况下，为业务合作

方提供相关用户数据和企业运营数据。

可以开放：指在符合脱敏要求的情况下将相关数据提供

给业务合作方，

遵守原则，并严格控制开放数据数量。

＞在数据对外开放中需要注意，各级数据输出应满足以下

要求：

>法律法规中明确要求提供的，在出示相应证明后方可

提供。

>法律法规中明确要求取得用户授权的，在用户授权后

方可提供。

>企业运营管理类数据对外提供应遵循公司商业秘密管

理要求

•4.对外数据服务闭环流程：

•合作前，针对合作伙伴的注册资金、股权结构、境内

外合作关系、既往合作情况、运营历史背景、信息安全

管理制度等进行严格审查

•并要求提供相应的证明文件

•合作中，严格遵从规范的合作流程，对接客户需求,

进行商务洽谈，配合客户注册成为公司的正式合作伙

伴，双方签署数据合作协议和保密协议，明确数据的

使用范围和用途，明确双方数据管理责任

合作后，建立回访和稽核机制，做好数据访问信息对账,

识别问题和风险

第二十条数据销毁安全

对业务下线、用户退出服务、节点失效、过多备份、数据

试用结束、超出数据保存期限等情况下的数据销毁操作，应

采取合理的技术手段和安全管控措施防止数据泄露。

1、存

放敏感

级

（含）

以上数

据的存

储服务

器、磁

阵需要

第1级第2级第3级第4级

替换

时，应

建立硬

盘数据

销毁流

程，确

保数据

彻底清

除。

2.对涉

及敏感

级

（含）

以上数

据的业

务系统

下线方

式使

用，必

须建立

处理流

程对使

用期结

束后保

存线下

数据副

本的介

质进行

处理，

应采用

可靠技

术手段

删除该

数据，

确保信

息不可

还原。

3、数

据销毁

环节分

级管控

要求如

下：

类别

对存储介质进行物理销毁的监督管理措施，确保对销毁的存储介质有

存储介质

登记、审批、交接等环节的记录。

管理

1、数据删除后应保证系统内的文件、目录和数据库记录等资源所在

的存储空间被释放或重新分配给其他用户前得到完全清除。

资源回收

2、对于逻辑销毁，需要为不同数据的存储方式制定不同的逻辑销毁

管理

方法，并确保当数据存在多个副本时，所有副本均被安全地删除。

1、涉及用户敏感信息的业务系统下线或敏感信息的授权使用到期时

用户数据或者在天平台上在资源重新分配给新的租户之前，应采用可靠技术手

销毁段删除敏感信息，确保信息不可还原。

用户退出服务、用户请求删除数据、超出数据保存期限时对数据进行

销毁日志及时销毁，对操作过程进行日志记录，建立完善的审计机制并严格执

记录要求行。

数据销毁

特定要求

表8销毁环节分级管控要求

第六章基础安全管理

加强数据所在系统的基础安全管理，是确保数据安全的重

要前提。各业务必须依据有关规定开展资源接入公司生产

内网、端口服务、安全补丁、账号口令、安全审计等基础

管理工作。数据系统设备必须通过安全验收，并接入公司

生产内网进行集中维护，严禁未纳入公司生产内网的数据

系统设备入网。各级数据系统应建立审计检查工作机制和

合规检查机制，并细化制定可落地的工作流程和实施细

则。

第二十一条人员安全

人员安全包括公司全部员工和第三方合作伙伴人员安全。

公司全部员工安全主要包括签订保密协议、劳动合同中明确

数据安全事项、入职安全培训以及定期或不定期组织员工数

据安全培训。第三方合作伙伴人员安全应针对不同的访问风

险，采取相应的安全管控措施。另外公司全部员工、第三方

合作伙伴人员进场时应组织签订《关键系统数据安全责任承

诺书》，承诺书模版参见附录三。未完成承诺书签署的人员

不得开展相关工作。

第二十二条账号权限管理

L各级数据系统应完善本账号权限管理办法，明确核

心权限账号的申请、授权、使用、审计、注销等全生命周期

安全管理流程。通过加强账号权限管控，避免权限滥用、误

用等造成的数据泄露风险。

2.严格控制能够直接接触生产系统的人员范围和数量,

并定期分析回收长期未用账号。

3.细分操作场景，梳理敏感指令，明确审核标准，完善权

限管控。

4.各级数据系统应将极敏感级数据相关的核心权限账号纳

入“金库模式”管控，并定期进行账号权限审计。

第二十三条第三方管理

1.在签订合作协议前对第三方进行背景调查和安全资

质审查，综合评估第三方的数据安全保障能力；

2.应与产品和服务提供者签订保密协议，明确数据安

全与保密责任及安全责任的惩处规定。未签订保密协议之前,

不得接受第三方提供的产品和服务。

3.严格第三方人员账号和权限管理，账号权限满足”最

小化”要求；加强对第三方人员操作的安全审计，杜绝第三

方成为泄露数据的中间人。

原则上禁止对第三方人员分配系统管理员账号及其他涉敏

权限账号，如因系统割接、故障抢修、应急处置等活动确

需第三方人员操作敏感数据的，应临时授权并严格监控，

留存授权审批记录，工作完成后及时收回权限，并且在事

后应对第三方人员操作全量记录进行审计。

4•各级数据系统应强化数据安全风险防控意识，积极推动

对员工和第三方合作伙伴的数据安全风险意识教育、培

训。

第二十四条纸张和电子介质管理

数据存储介质包括：纸质文档、语音或其录音、复写纸、

输出报告、一次性打印机色带、软盘、硬盘、磁带、可以移

动的磁盘或卡带、光存储介质（所有形式的媒介，包括制造

商的软件发布媒介）。存储介质管理必须遵从以下规定：

1.包含重要、敏感或关键数据的移动式存储介质不得无

人值守，以免被盗。例如：物理方式锁闭。

2.删除可重复使用的存储媒介中不再需要的数据。

3.删除可重复使用存储介质上的机密及绝密数据时，

为了避免在可移动介质上遗留信息，应该对介质进行消磁

或彻底的格式化，或者使用专用的工具在存储区域填入无

用的信息进行覆盖。

4.任何存储媒介接入终端进行拷贝行为应具备监控，

并保留相应记录，方便审计跟踪。

5.所有存储媒介都应遵照相关法律、法规以及监管要求

保存。

第七章问责与处罚

第二十五条本单位员工违规处理

本单位责任人员因数据安全工作存在落实不到位、疏于管

理、失职等违规行为，造成数据泄露，产生不良影响的，

公司将坚持原则，依照附录四违规事件定级和《公司网络

信息安全奖惩管理办法（试行）》进行严肃问责。

责任人员在受到问责的同时，涉嫌违法犯罪的，移送司法

机关依法处理。

第二十六条第三方违规处理

对与公司有合作关系的组织或个人，若违反相关的协议和

合同，导致发生数据安全事件，应依照合同相关条款进行

处罚，其中违反国家的法律、法规，涉嫌犯罪的，依法移交

司法机关处理。

第八章附则

第二十七条所有权及解释

本办法由公司网络安全工作办公室、运维中心负责解释与

修订。未经允许，任何部门或个人不得将本办法内容部分

或全部泄露给其他单位或个人。

第二十八条实施

本办法自颁布之日起执行并根据实际需求定期进行修订与

补充，在此之前制定的数据安全管理相关办法即行废止,

以本办法为准。

附录

注：由于填写维度和内容较多，一个系统或项目

填写一个《公司数据安全自评表》

附录三《关键系统数据安全责任承诺书》模板

关键系统数据安全责任承诺书

承诺人愿意承担公司（以下简称“公司”）所提供的岗

位职责，为保证该岗位工作的顺利进行，承诺人向公司做

出如下承诺：

保密信息：指公司以包括但不限于书面、口头、可视方

式向承诺人提供的，以及承诺人利用工作之便利以包括但

不限于书面、口头、可视方式所获悉的，公司认为应当予以

保密、不欲公开并且适当采取了相应保密措施的，有关公司

的客户，以及有关公司及其关联公司（包括公司的母公司、

子公司、参股公司、分公司）的所有信息及其有关载体。

保密信息包括但不限于：任何公司及其关联公司不欲公

开的观点、发现、发明、公式、程序、计划、图表、模型、

参数、数据、标准、专有技术秘密和合同/协议条款，和/或

其中的任何知识产权。

保密信息具体包括但不限于：

1.有关公司客户的保密信息，包括但不限于客户身份

信息、客户位置信息、客户通话记录、客户话单信息、客户

短信和彩信内容、客户订购关系等。以上保密信息分别存储

于以下系统中：包括但不限于公司各类业务及网管应用平

台系统。

2.有关公司及其关联公司可能与公司的客户产生关联

的保密信息，包括但不限于有关公司或其关联公司的经营

状况、财务状况、人力资源状况、重大决策与行动计划、科

研成果和技术秘密等知识产权成果、市场策划、招标投标、

合同、网络与系统的保密信息及其有关载体，以及承诺人在

任职期间编制、使用或持有的与公司或其关联公司有关的任

何保密信息及其有关载体。

承诺人完全理解并且同意，承诺人对上述保密信息只

有基于岗位级别和职权范围内的有限的使用权，并没有包

括所有权、知识产权及解释权等在内的其它任何权利。承诺

人承认公司及其关联公司对于上述保密信息的一切权利和/

或利益。承诺人应根据保护公司利益与保护公司的客户利益

的原则，对承载上述保密信息的有关文件、资料和物品予以

妥善保管，不得私自复制、泄漏或遗失。承诺人除应妥善保

存上述保密信息外，还应采取合理之必要保护措施，防止

他人从承诺人处获取上述保密信息。承诺人在离开公司时,

应向公司归还上述所有文件、资料和物品。无论公司的保密

制度有无规定或规定是否明确，承诺人均应