2026年工艺品制造公司HR系统数据安全管理制度

2026年工艺品制造公司HR系统数据安全管理制度第一章总则第一条为规范本公司HR系统数据安全管理工作，明确HR系统数据收集、存储、使用、传输、销毁全流程安全管控要求，防范数据泄露、篡改、丢失等安全风险，保障员工个人信息权益，维护公司经营管理秩序，结合工艺品制造行业人员管理特性（含生产岗、研发岗、管理岗等不同岗位人员数据管理特点），依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规及公司信息安全、行政管理体系要求，制定本制度。第二条本制度适用于公司HR系统所有数据的安全管理工作，覆盖员工基本信息、薪酬福利、考勤休假、绩效考核、培训档案、入职离职等所有数据类型，涉及HR部门、信息技术部、各业务部门开展HR系统数据操作相关工作均须遵守本制度。第三条HR系统数据安全管理遵循“保密性、完整性、可用性、合规性”的核心原则，确保数据在全生命周期内不被未授权访问、不被非法篡改、可正常调取使用，且所有数据处理行为符合法律法规和公司管理要求。第四条公司成立HR系统数据安全管理小组，由分管人力资源工作的公司领导任组长，HR部门负责人为副组长，信息技术部、法务部、行政管理部负责人为成员，统筹制定数据安全管理标准、审批权限调整方案、监督安全流程执行、处置数据安全事件。HR部门为HR系统数据管理归口部门，负责数据的日常维护和使用规范制定；信息技术部负责HR系统技术层面的安全防护和运维保障；法务部负责数据合规性审核。第二章管控范围与核心原则第五条HR系统数据安全管控范围：（一）数据类型范围：核心敏感数据（员工身份证号、银行卡号、薪酬明细、社保公积金信息）、重要数据（考勤记录、绩效考核结果、保密协议信息）、一般数据（员工姓名、岗位名称、入职时间等基础非敏感信息）；（二）操作环节范围：数据收集（入职登记、信息更新）、数据存储（系统数据库、备份介质）、数据使用（查询、统计、分析）、数据传输（系统内共享、跨部门传递）、数据销毁（员工离职后数据处理、系统下线数据清理）；（三）责任范围：HR部门数据管理员为数据安全第一责任人，信息技术部系统运维人员为系统技术安全责任人，各部门负责人为本部门员工HR数据使用安全责任人。第六条核心管控原则细化：（一）保密性原则：核心敏感数据仅对HR部门指定人员开放查询权限，薪酬明细数据仅限HR薪酬专员、分管领导查阅，严禁向无关人员泄露，严禁通过微信、邮箱等非加密渠道传输核心敏感数据；（二）完整性原则：建立数据录入校验机制，确保员工信息录入准确无误，定期开展数据核对工作（每月核对考勤数据、每季度核对薪酬数据），发现数据篡改、缺失及时修正，确保数据真实完整；（三）可用性原则：信息技术部保障HR系统7×24小时基础可用，非计划停机维护须提前3个工作日通知HR部门，数据备份须确保可快速恢复，恢复时长不超过4小时，满足公司人员管理日常使用需求；（四）合规性原则：收集员工数据前须明确告知收集目的和使用范围，取得员工明示同意，不得收集与工作无关的个人信息，不得超出授权范围使用数据，员工离职后按规定留存必要数据，其余数据按要求脱敏后处理。第三章数据安全管理标准第七条不同类型数据安全管理标准：（一）核心敏感数据：采用加密存储方式，查询时需双人复核授权，操作记录永久留存，传输时使用公司加密专线，严禁截图、拷贝至私人设备，薪酬明细数据仅可在HR部门专用电脑上查询；（二）重要数据：设置分级查询权限，部门负责人仅可查询本部门员工考勤、绩效数据，查询操作记录留存1年以上，数据修改须填写《HR数据修改申请表》，经HR部门负责人审批后方可执行；（三）一般数据：开放基础查询权限（各部门可查询本部门员工基础信息），但数据导出须经HR部门审核，导出后的数据文件标注使用用途，使用完毕后及时删除。第八条权限管理标准：（一）权限分配标准：遵循“最小权限、按需分配”原则，仅为实际工作需要的人员分配对应权限，研发岗、生产岗管理人员仅分配本部门员工基础信息查询权限，无薪酬数据查看权限；（二）权限调整标准：员工岗位变动或离职后，HR部门须在1个工作日内通知信息技术部调整或收回其HR系统权限，权限调整须填写《权限变更申请表》，经管理小组副组长审批；（三）密码管理标准：HR系统所有账号密码须包含字母、数字、特殊字符，长度不少于8位，每90天强制更换一次，严禁共用账号密码、使用弱密码。第四章数据安全管理流程第九条数据收集与录入要求：（一）HR部门收集员工数据须以书面形式告知员工收集内容、使用目的、保存期限，员工签署《个人信息收集授权书》后方可收集，严禁强制收集非必要信息；（二）数据录入须由HR部门指定人员完成，录入前核对原始材料（身份证、学历证明等）真实性，录入后进行二次校验，确保数据与原始材料一致；（三）员工信息更新须由员工本人提交书面申请及证明材料，HR部门审核通过后更新，更新记录留存备查。第十条数据存储与备份要求：（一）HR系统数据库部署在公司内网服务器，禁止直接接入互联网，服务器定期进行漏洞扫描和安全加固，每月不少于1次；（二）数据备份采用“本地+异地”双备份模式，核心敏感数据每日备份，重要数据每周备份，一般数据每月备份，备份介质加密存储，由信息技术部专人保管；（三）备份数据定期进行恢复测试，每季度不少于1次，确保备份数据可正常恢复使用。第十一条数据使用与销毁要求：（一）使用HR系统数据须在公司办公设备上操作，严禁在私人电脑、手机等设备上登录系统查询数据，查询数据时做好操作记录，记录包含操作人、操作时间、操作内容；（二）员工离职后，其核心敏感数据进行脱敏处理（隐藏身份证号、银行卡号等关键信息），重要数据留存至劳动合同终止后2年，一般数据按公司档案管理要求留存，超出留存期限的数据由HR部门和信息技术部共同监督销毁；（三）数据销毁采用不可逆方式，电子数据彻底删除并覆盖存储区域，纸质数据粉碎销毁，销毁过程记录留存，由两名以上工作人员见证。第五章专项数据安全管控第十二条重点数据安全专项管控要求：（一）薪酬数据管控：薪酬明细数据仅限HR薪酬专员、分管人力资源领导查阅，查阅时须在HR部门指定电脑操作，严禁打印、导出薪酬明细，确需导出的须经公司总经理审批，导出文件加密存储且使用后48小时内删除；（二）员工身份信息管控：身份证号、手机号等身份信息仅用于入职登记、社保缴纳等法定用途，严禁向外部机构或个人提供，因业务需要（如办理社保）提供时，须对信息进行脱敏处理（隐藏部分数字）；（三）离职员工数据管控：离职员工权限即时收回，其数据按留存期限分类管理，涉及竞业限制、保密协议的员工数据，额外增加访问审批环节，仅限HR部门和法务部指定人员查阅；（四）外部数据交互管控：因审计、合规检查等需要向外部提供HR数据时，须经法务部审核、管理小组审批，提供的数据进行脱敏处理，同时签订数据保密协议，明确对方使用范围和安全责任。第六章考核与结果应用第十三条HR系统数据安全考核标准：（一）满分100分，权限管理合规性占30分，数据操作规范性占30分，安全防护有效性占20分，事件处置及时性占20分；（二）权限未及时收回扣8分/次，违规查询/传输核心敏感数据扣10分/次，备份不及时扣5分/次，数据安全事件处置滞后超24小时扣10分/次；（三）全年无数据安全违规行为、无数据安全事件的，额外加10-20分；因违规操作导致数据泄露的，扣20分/次并追究责任人责任，情节严重的按公司规定给予纪律处分，涉及违法的移交司法机关。第十四条考核结果应用：（一）年度考核得分≥90分：相关责任人全额发放信息安全绩效奖金，得分≥95分额外发放专项奖励；（二）年度考核得分80-89分：发放80%信息安全绩效奖金，限期5个工作日提交整改方案，HR部门主管监督整改落实；（三）年度考核得分＜80分：不发放信息安全绩效奖金，责任人参加数据安全专项培训，考核合格后方可恢复HR系统操作权限。第七章监督与应急处置第十五条日常监督：（一）HR部门每月抽查系统操作日志，核查是否存在违规查询、导出数据行为，抽查比例不低于当月操作记录的20%，重点核查核心敏感数据操作记录；（二）信息技术部每季度开展HR系统安全漏洞扫描和渗透测试，及时修复安全漏洞，形成《安全检测报告》报管理小组；（三）每年开展一次全员HR数据安全培训，普及数据安全法规、操作规范、风险防范技巧，提升员工数据安全意识。第十六条应急处置：（一）发生数据泄露、篡改、丢失等安全事件后，发现人须在1小时内上报HR部门负责人，HR部门立即通知信息技术部采取应急措施（如暂停系统访问、锁定可疑账号）；（二）管理小组在24小时内启动事件调查，分析事件原因、影响范围，制定处置方案，涉及员工信息泄露的，及时告知受影响员工并采取补救措施；（三）事件处置完成后，形成《数据安全事件处置报告》，总结事件教训，优化数据安全管控措施，避免同类事件再次发生。第八章附则第十七条本制度由公