企业信息资源管理规定

企业信息资源管理规定一、总则

企业信息资源是企业运营和发展的重要基础，为规范信息资源的管理，确保信息安全、高效利用，特制定本规定。

（一）目的和适用范围

1.目的：明确信息资源的分类、管理流程、安全责任，提升信息资源利用效率，保障企业信息资产安全。

2.适用范围：本规定适用于企业所有部门及员工，涵盖企业内部各类信息资源的收集、存储、使用、共享、销毁等全生命周期管理。

（二）基本原则

1.统一管理：信息资源由指定部门集中管理，避免分散和重复建设。

2.安全可控：确保信息资源在采集、传输、存储等环节的安全性，防止泄露和滥用。

3.依法合规：信息资源管理应符合国家相关技术标准，遵守行业规范。

4.效率优先：优化信息资源流程，提升数据利用效率，支持业务决策。

二、信息资源分类与分级

企业信息资源根据其重要性和敏感性进行分类和分级，以实施差异化管理。

（一）分类标准

1.业务数据：包括生产、销售、财务等经营类数据。

2.人力资源：员工信息、组织架构等。

3.技术资料：研发、设计、专利等技术文档。

4.运营管理：行政管理、设备维护等非经营性数据。

（二）分级管理

1.根据信息敏感性分为三级：

(1)核心：涉及企业核心竞争力、重大决策的数据，如财务报表、核心技术参数。

(2)重要：日常业务数据，如销售记录、客户信息。

(3)一般：公开或非敏感数据，如行业报告、市场分析。

2.不同级别的信息资源访问权限不同，需严格审批。

三、信息资源管理流程

信息资源管理应遵循规范的流程，确保各环节可控、可追溯。

（一）信息采集与录入

1.明确信息采集来源，确保数据准确性。

2.建立标准化录入流程，避免数据冗余和错误。

3.采集敏感信息需经授权审批。

（二）信息存储与备份

1.核心信息存储在专用服务器，采用加密技术。

2.定期进行数据备份，备份周期不超过30天。

3.建立异地容灾机制，防止数据丢失。

（三）信息使用与共享

1.严格执行权限管理，按需分配访问权限。

2.跨部门共享需经信息安全部门审核。

3.个人信息使用必须符合隐私保护要求。

（四）信息销毁与归档

1.达到保存期限的信息应按规定销毁，核心信息需物理销毁。

2.重要信息需归档至电子或纸质档案库，确保长期可追溯。

四、安全责任与监督

明确各部门及员工在信息资源管理中的责任，确保制度有效执行。

（一）管理责任

1.信息安全部门负责整体管理，制定和监督执行本规定。

2.各业务部门负责本部门信息资源的日常管理。

（二）员工责任

1.员工需妥善保管涉及企业信息资源的账户和密码。

2.发现信息泄露或异常情况，及时上报。

（三）监督与审计

1.定期开展信息资源管理审计，评估制度执行情况。

2.对违规行为进行通报，并追究相应责任。

五、附则

本规定由企业信息安全部门负责解释，自发布之日起实施，每年修订一次。

**一、总则**

企业信息资源是企业运营和发展的重要基础，为规范信息资源的分类、管理、使用、共享、销毁等全生命周期过程，确保信息安全、高效利用，防止信息泄露、滥用或丢失，提升信息资源利用效率，保障企业信息资产安全，特制定本规定。

（一）目的和适用范围

1.目的：

（1）建立统一、规范的信息资源管理体系，实现信息资源的集中管理、分级保护和高效利用。

（2）明确信息资源管理中的职责分工、操作流程和权限控制，降低信息安全风险。

（3）通过规范化的管理，提升企业决策支持能力，促进业务创新和发展。

（4）确保信息资源管理符合国家相关技术标准和行业最佳实践，提升企业信息化水平。

2.适用范围：

（1）本规定适用于企业内部所有部门、全体员工以及经授权访问企业信息资源的第三方合作伙伴。

（2）涵盖企业拥有或控制的各类信息资源，包括但不限于业务数据、技术资料、人力资源信息、运营管理信息、客户信息、供应商信息等。

（3）涉及信息资源的采集、存储、传输、处理、使用、共享、备份、恢复、归档、销毁等所有环节。

（二）基本原则

1.统一管理：

（1）企业信息资源实行集中统一管理，由信息安全部门统筹规划、组织实施和监督评估。

（2）建立统一的信息资源管理平台或系统，实现信息资源的集中存储、管理和共享，避免信息孤岛和重复建设。

（3）制定统一的信息资源编码规范、命名规则、格式标准等，确保信息资源的标准化和一致性。

2.安全可控：

（1）实施严格的信息安全等级保护制度，根据信息资源的重要性和敏感性，采取相应的安全防护措施。

（2）建立完善的信息访问控制机制，包括身份认证、权限管理、审计跟踪等，确保只有授权用户才能访问授权信息。

（3）加强信息传输、存储、处理等环节的安全防护，采用加密、脱敏、防病毒等技术手段，防止信息泄露、篡改或丢失。

3.依法合规：

（1）信息资源的管理和使用必须遵守国家及行业相关的法律法规、技术标准和规范要求。

（2）尊重信息主体的隐私权，严格遵守个人信息保护相关规定，确保个人信息收集、使用、存储等行为的合法性。

（3）定期开展信息资源管理合规性评估，及时发现并整改不符合法律法规和标准的问题。

4.效率优先：

（1）优化信息资源的采集、处理、存储、共享等流程，提高信息资源的利用效率。

（2）建立信息资源服务机制，为业务部门提供便捷、高效的信息服务，支持业务决策和运营管理。

（3）推广应用先进的信息技术和管理方法，提升信息资源管理的智能化水平。

**二、信息资源分类与分级**

企业信息资源根据其重要性和敏感性进行分类和分级，以实施差异化管理，确保重点信息得到重点保护，同时满足业务发展对信息资源的需求。

（一）分类标准

1.业务数据：

（1）销售数据：包括客户信息、销售记录、订单信息、产品销售情况等。

（2）生产数据：包括生产计划、物料清单、生产过程数据、产品质量数据等。

（3）财务数据：包括成本数据、收入数据、利润数据、财务报表等。

（4）市场数据：包括市场调研报告、竞争对手信息、市场趋势分析等。

2.人力资源：

（1）员工基本信息：包括员工姓名、性别、出生日期、联系方式等。

（2）员工工作信息：包括员工岗位、部门、绩效考核、培训记录等。

（3）员工薪酬福利信息：包括员工薪资、奖金、福利待遇等。

3.技术资料：

（1）研发设计资料：包括产品设计图纸、研发报告、技术参数、实验数据等。

（2）知识产权资料：包括专利证书、商标注册证、著作权登记证书等。

（3）技术标准规范：包括企业内部技术标准、行业技术标准等。

4.运营管理：

（1）行政管理资料：包括公司规章制度、会议纪要、行政文件等。

（2）设备管理资料：包括设备台账、设备维护记录、设备故障报告等。

（3）安全管理资料：包括安全检查记录、安全隐患报告、应急预案等。

（二）分级管理

1.根据信息敏感性分为三级：

（1）核心级：

（1）定义：对企业核心竞争力、生存发展具有重大影响，一旦泄露或丢失将造成重大损失的信息。

（2）示例：核心技术参数、核心客户信息、核心财务数据、关键业务流程、重要知识产权等。

（3）管理要求：严格控制访问权限，仅授权少数核心人员访问；采取最高级别的安全防护措施，如加密存储、物理隔离、多因素认证等；定期进行安全评估和渗透测试。

（2）重要级：

（1）定义：对企业运营和管理具有较大影响，一旦泄露或丢失将造成一定损失的信息。

（2）示例：一般业务数据、部门工作数据、一般客户信息、财务报表等。

（3）管理要求：实施较严格的访问控制，根据业务需要进行授权；采取必要的安全防护措施，如访问控制、数据加密、备份等；定期进行安全审计和检查。

（3）一般级：

（1）定义：对企业运营和管理影响较小，泄露或丢失损失较低的信息。

（2）示例：公开信息、行业报告、市场分析、非敏感内部通知等。

（3）管理要求：实施基本的访问控制，允许大部分员工访问；采取基础的安全防护措施，如防病毒、访问控制等；定期进行清理和归档。

2.不同级别的信息资源访问权限不同，需严格审批：

（1）核心级信息：仅限于企业最高管理层和核心业务人员访问，访问需经信息安全部门审批，并记录访问日志。

（2）重要级信息：根据业务需求，授权给相关部门和人员访问，访问需经部门负责人审批，并记录访问日志。

（3）一般级信息：允许企业内部员工访问，但不得用于商业目的，访问无需审批，但需遵守信息使用规范。

**三、信息资源管理流程**

信息资源管理应遵循规范的流程，确保各环节可控、可追溯，实现信息资源的安全、高效管理。

（一）信息采集与录入

1.明确信息采集来源：

（1）业务系统：如CRM系统、ERP系统、OA系统等产生的业务数据。

（2）外部渠道：如市场调研、合作伙伴提供的行业数据、公开数据等。

（3）人工录入：如纸质文档扫描、手动输入等。

2.建立标准化录入流程：

（1）制定信息采集标准和规范，明确信息格式、内容要求、采集频率等。

（2）使用统一的采集工具或系统，确保采集数据的准确性和完整性。

（3）对采集人员进行培训，确保其了解采集标准和规范，并掌握采集工具的使用方法。

3.采集敏感信息需经授权审批：

（1）建立敏感信息采集审批制度，明确审批流程和审批人员。

（2）采集敏感信息前，需提交采集申请，经审批后方可进行采集。

（3）采集过程中，需严格控制数据访问权限，防止敏感信息泄露。

（二）信息存储与备份

1.核心信息存储在专用服务器：

（1）部署专用服务器或存储设备，用于存储核心信息资源。

（2）对存储设备进行安全配置，如设置访问控制、数据加密、安全审计等。

（3）定期对存储设备进行维护和升级，确保其稳定运行和数据安全。

2.定期进行数据备份：

（1）制定数据备份策略，明确备份频率、备份方式、备份存储位置等。

（2）采用自动备份工具或脚本，定期对数据进行备份。

（3）对备份数据进行验证，确保备份数据的完整性和可用性。

3.建立异地容灾机制：

（1）选择合适的异地容灾解决方案，如数据同步、数据复制、备份恢复等。

（2）定期进行容灾演练，确保异地容灾机制的有效性。

（3）在发生灾难时，能够快速恢复信息资源，保障业务连续性。

（三）信息使用与共享

1.严格执行权限管理：

（1）建立基于角色的访问控制模型，根据用户角色分配相应的访问权限。

（2）定期审查用户权限，及时撤销不再需要的访问权限。

（3）对用户进行权限管理培训，提高其安全意识。

2.跨部门共享需经信息安全部门审核：

（1）建立信息共享申请制度，明确申请流程和审核标准。

（2）共享信息前，需提交共享申请，经信息安全部门审核后方可进行共享。

（3）信息安全部门需对共享信息进行风险评估，并采取相应的安全措施。

3.个人信息使用必须符合隐私保护要求：

（1）严格遵守个人信息保护法律法规，不得非法收集、使用、传输、存储个人信息。

（2）在收集个人信息前，需告知信息主体收集目的、收集方式、存储期限等。

（3）对个人信息进行脱敏处理，防止个人信息泄露。

（四）信息销毁与归档

1.达到保存期限的信息应按规定销毁：

（1）制定信息保存期限规定，明确各类信息的保存期限。

（2）保存期限届满后，需按规定进行销毁。

（3）销毁信息时，需采用安全可靠的销毁方式，如物理销毁、软件销毁等。

（4）销毁过程需进行记录，并妥善保管销毁记录。

2.重要信息需归档至电子或纸质档案库：

（1）建立信息归档制度，明确归档范围、归档流程、归档方式等。

（2）将重要信息归档至电子或纸质档案库，确保信息的安全性和完整性。

（3）对归档信息进行分类、编目、索引，方便查阅和管理。

（4）定期对归档信息进行检查和维护，确保归档信息的可用性。

**四、安全责任与监督**

明确各部门及员工在信息资源管理中的责任，确保制度有效执行，构建全员参与的信息安全文化。

（一）管理责任

1.信息安全部门负责整体管理：

（1）负责信息资源管理制度的制定、修订和发布。

（2）负责信息资源管理平台的建设、维护和运营。

（3）负责信息资源的安全防护、安全审计和安全培训。

（4）负责协调各部门的信息资源管理工作，解决信息资源管理中的问题。

2.各业务部门负责本部门信息资源的日常管理：

（1）负责本部门信息资源的采集、存储、使用、共享、销毁等日常管理工作。

（2）负责本部门信息资源的分类分级，并落实相应的管理措施。

（3）负责本部门员工的信息安全意识培训，提高员工的信息安全保护能力。

（4）负责配合信息安全部门开展信息资源安全检查和安全审计。

（二）员工责任

1.员工需妥善保管涉及企业信息资源的账户和密码：

（1）不得将账户和密码告知他人，不得使用他人的账户和密码。

（2）定期修改账户和密码，并设置复杂的密码。

（3）离开电脑时，需及时退出系统，防止他人非法访问。

2.发现信息泄露或异常情况，及时上报：

（1）发现信息泄露、篡改、丢失等异常情况，需立即向部门负责人报告。

（2）部门负责人需及时向信息安全部门报告，并采取相应的应急措施。

（3）信息安全部门需对信息泄露事件进行调查和处理，并采取措施防止类似事件再次发生。

（三）监督与审计

1.定期开展信息资源管理审计，评估制度执行情况：

（1）信息安全部门每年至少开展一次信息资源管理审计。

（2）审计内容包括信息资源管理制度落实情况、信息资源安全防护情况、信息资源使用情况等。

（3）审计结果需向企业管理层报告，并采取相应的改进措施。

2.对违规行为进行通报，并追究相应责任：

（1）对违反信息资源管理规定的员工，需进行批评教育或纪律处分。

（2）对造成严重信息安全事故的员工，需追究其法律责任。

（3）通过通报违规行为，警示其他员工，提高员工的信息安全意识。

**五、附则**

本规定由企业信息安全部门负责解释，自发布之日起实施。企业根据实际情况，可对本规定进行修订和完善，每年至少修订一次，以确保本规定始终符合企业信息资源管理的实际需求。

一、总则

企业信息资源是企业运营和发展的重要基础，为规范信息资源的管理，确保信息安全、高效利用，特制定本规定。

（一）目的和适用范围

1.目的：明确信息资源的分类、管理流程、安全责任，提升信息资源利用效率，保障企业信息资产安全。

2.适用范围：本规定适用于企业所有部门及员工，涵盖企业内部各类信息资源的收集、存储、使用、共享、销毁等全生命周期管理。

（二）基本原则

1.统一管理：信息资源由指定部门集中管理，避免分散和重复建设。

2.安全可控：确保信息资源在采集、传输、存储等环节的安全性，防止泄露和滥用。

3.依法合规：信息资源管理应符合国家相关技术标准，遵守行业规范。

4.效率优先：优化信息资源流程，提升数据利用效率，支持业务决策。

二、信息资源分类与分级

企业信息资源根据其重要性和敏感性进行分类和分级，以实施差异化管理。

（一）分类标准

1.业务数据：包括生产、销售、财务等经营类数据。

2.人力资源：员工信息、组织架构等。

3.技术资料：研发、设计、专利等技术文档。

4.运营管理：行政管理、设备维护等非经营性数据。

（二）分级管理

1.根据信息敏感性分为三级：

(1)核心：涉及企业核心竞争力、重大决策的数据，如财务报表、核心技术参数。

(2)重要：日常业务数据，如销售记录、客户信息。

(3)一般：公开或非敏感数据，如行业报告、市场分析。

2.不同级别的信息资源访问权限不同，需严格审批。

三、信息资源管理流程

信息资源管理应遵循规范的流程，确保各环节可控、可追溯。

（一）信息采集与录入

1.明确信息采集来源，确保数据准确性。

2.建立标准化录入流程，避免数据冗余和错误。

3.采集敏感信息需经授权审批。

（二）信息存储与备份

1.核心信息存储在专用服务器，采用加密技术。

2.定期进行数据备份，备份周期不超过30天。

3.建立异地容灾机制，防止数据丢失。

（三）信息使用与共享

1.严格执行权限管理，按需分配访问权限。

2.跨部门共享需经信息安全部门审核。

3.个人信息使用必须符合隐私保护要求。

（四）信息销毁与归档

1.达到保存期限的信息应按规定销毁，核心信息需物理销毁。

2.重要信息需归档至电子或纸质档案库，确保长期可追溯。

四、安全责任与监督

明确各部门及员工在信息资源管理中的责任，确保制度有效执行。

（一）管理责任

1.信息安全部门负责整体管理，制定和监督执行本规定。

2.各业务部门负责本部门信息资源的日常管理。

（二）员工责任

1.员工需妥善保管涉及企业信息资源的账户和密码。

2.发现信息泄露或异常情况，及时上报。

（三）监督与审计

1.定期开展信息资源管理审计，评估制度执行情况。

2.对违规行为进行通报，并追究相应责任。

五、附则

本规定由企业信息安全部门负责解释，自发布之日起实施，每年修订一次。

**一、总则**

企业信息资源是企业运营和发展的重要基础，为规范信息资源的分类、管理、使用、共享、销毁等全生命周期过程，确保信息安全、高效利用，防止信息泄露、滥用或丢失，提升信息资源利用效率，保障企业信息资产安全，特制定本规定。

（一）目的和适用范围

1.目的：

（1）建立统一、规范的信息资源管理体系，实现信息资源的集中管理、分级保护和高效利用。

（2）明确信息资源管理中的职责分工、操作流程和权限控制，降低信息安全风险。

（3）通过规范化的管理，提升企业决策支持能力，促进业务创新和发展。

（4）确保信息资源管理符合国家相关技术标准和行业最佳实践，提升企业信息化水平。

2.适用范围：

（1）本规定适用于企业内部所有部门、全体员工以及经授权访问企业信息资源的第三方合作伙伴。

（2）涵盖企业拥有或控制的各类信息资源，包括但不限于业务数据、技术资料、人力资源信息、运营管理信息、客户信息、供应商信息等。

（3）涉及信息资源的采集、存储、传输、处理、使用、共享、备份、恢复、归档、销毁等所有环节。

（二）基本原则

1.统一管理：

（1）企业信息资源实行集中统一管理，由信息安全部门统筹规划、组织实施和监督评估。

（2）建立统一的信息资源管理平台或系统，实现信息资源的集中存储、管理和共享，避免信息孤岛和重复建设。

（3）制定统一的信息资源编码规范、命名规则、格式标准等，确保信息资源的标准化和一致性。

2.安全可控：

（1）实施严格的信息安全等级保护制度，根据信息资源的重要性和敏感性，采取相应的安全防护措施。

（2）建立完善的信息访问控制机制，包括身份认证、权限管理、审计跟踪等，确保只有授权用户才能访问授权信息。

（3）加强信息传输、存储、处理等环节的安全防护，采用加密、脱敏、防病毒等技术手段，防止信息泄露、篡改或丢失。

3.依法合规：

（1）信息资源的管理和使用必须遵守国家及行业相关的法律法规、技术标准和规范要求。

（2）尊重信息主体的隐私权，严格遵守个人信息保护相关规定，确保个人信息收集、使用、存储等行为的合法性。

（3）定期开展信息资源管理合规性评估，及时发现并整改不符合法律法规和标准的问题。

4.效率优先：

（1）优化信息资源的采集、处理、存储、共享等流程，提高信息资源的利用效率。

（2）建立信息资源服务机制，为业务部门提供便捷、高效的信息服务，支持业务决策和运营管理。

（3）推广应用先进的信息技术和管理方法，提升信息资源管理的智能化水平。

**二、信息资源分类与分级**

企业信息资源根据其重要性和敏感性进行分类和分级，以实施差异化管理，确保重点信息得到重点保护，同时满足业务发展对信息资源的需求。

（一）分类标准

1.业务数据：

（1）销售数据：包括客户信息、销售记录、订单信息、产品销售情况等。

（2）生产数据：包括生产计划、物料清单、生产过程数据、产品质量数据等。

（3）财务数据：包括成本数据、收入数据、利润数据、财务报表等。

（4）市场数据：包括市场调研报告、竞争对手信息、市场趋势分析等。

2.人力资源：

（1）员工基本信息：包括员工姓名、性别、出生日期、联系方式等。

（2）员工工作信息：包括员工岗位、部门、绩效考核、培训记录等。

（3）员工薪酬福利信息：包括员工薪资、奖金、福利待遇等。

3.技术资料：

（1）研发设计资料：包括产品设计图纸、研发报告、技术参数、实验数据等。

（2）知识产权资料：包括专利证书、商标注册证、著作权登记证书等。

（3）技术标准规范：包括企业内部技术标准、行业技术标准等。

4.运营管理：

（1）行政管理资料：包括公司规章制度、会议纪要、行政文件等。

（2）设备管理资料：包括设备台账、设备维护记录、设备故障报告等。

（3）安全管理资料：包括安全检查记录、安全隐患报告、应急预案等。

（二）分级管理

1.根据信息敏感性分为三级：

（1）核心级：

（1）定义：对企业核心竞争力、生存发展具有重大影响，一旦泄露或丢失将造成重大损失的信息。

（2）示例：核心技术参数、核心客户信息、核心财务数据、关键业务流程、重要知识产权等。

（3）管理要求：严格控制访问权限，仅授权少数核心人员访问；采取最高级别的安全防护措施，如加密存储、物理隔离、多因素认证等；定期进行安全评估和渗透测试。

（2）重要级：

（1）定义：对企业运营和管理具有较大影响，一旦泄露或丢失将造成一定损失的信息。

（2）示例：一般业务数据、部门工作数据、一般客户信息、财务报表等。

（3）管理要求：实施较严格的访问控制，根据业务需要进行授权；采取必要的安全防护措施，如访问控制、数据加密、备份等；定期进行安全审计和检查。

（3）一般级：

（1）定义：对企业运营和管理影响较小，泄露或丢失损失较低的信息。

（2）示例：公开信息、行业报告、市场分析、非敏感内部通知等。

（3）管理要求：实施基本的访问控制，允许大部分员工访问；采取基础的安全防护措施，如防病毒、访问控制等；定期进行清理和归档。

2.不同级别的信息资源访问权限不同，需严格审批：

（1）核心级信息：仅限于企业最高管理层和核心业务人员访问，访问需经信息安全部门审批，并记录访问日志。

（2）重要级信息：根据业务需求，授权给相关部门和人员访问，访问需经部门负责人审批，并记录访问日志。

（3）一般级信息：允许企业内部员工访问，但不得用于商业目的，访问无需审批，但需遵守信息使用规范。

**三、信息资源管理流程**

信息资源管理应遵循规范的流程，确保各环节可控、可追溯，实现信息资源的安全、高效管理。

（一）信息采集与录入

1.明确信息采集来源：

（1）业务系统：如CRM系统、ERP系统、OA系统等产生的业务数据。

（2）外部渠道：如市场调研、合作伙伴提供的行业数据、公开数据等。

（3）人工录入：如纸质文档扫描、手动输入等。

2.建立标准化录入流程：

（1）制定信息采集标准和规范，明确信息格式、内容要求、采集频率等。

（2）使用统一的采集工具或系统，确保采集数据的准确性和完整性。

（3）对采集人员进行培训，确保其了解采集标准和规范，并掌握采集工具的使用方法。

3.采集敏感信息需经授权审批：

（1）建立敏感信息采集审批制度，明确审批流程和审批人员。

（2）采集敏感信息前，需提交采集申请，经审批后方可进行采集。

（3）采集过程中，需严格控制数据访问权限，防止敏感信息泄露。

（二）信息存储与备份

1.核心信息存储在专用服务器：

（1）部署专用服务器或存储设备，用于存储核心信息资源。

（2）对存储设备进行安全配置，如设置访问控制、数据加密、安全审计等。

（3）定期对存储设备进行维护和升级，确保其稳定运行和数据安全。

2.定期进行数据备份：

（1）制定数据备份策略，明确备份频率、备份方式、备份存储位置等。

（2）采用自动备份工具或脚本，定期对数据进行备份。

（3）对备份数据进行验证，确保备份数据的完整性和可用性。

3.建立异地容灾机制：

（1）选择合适的异地容灾解决方案，如数据同步、数据复制、备份恢复等。

（2）定期进行容灾演练，确保异地容灾机制的有效性。

（3）在发生灾难时，能够快速恢复信息资源，保障业务连续性。

（三）信息使用与共享

1.严格执行权限管理：

（1）建立基于角色的访问控制模型，根据用户角色分配相应的访问权限。

（2）定期审查用户权限，及时撤销不再需要的访问权限。

（3）对用户进行权限管理培训，提高其安全意识。

2.跨部门共享需经信息安全部门审核：

（1）建立信息共享申请制度，明确申请流程和审核标准。

（2）共享信息前，需提交共享申请，经信息安全部门审核后方可进行共享。

（3）信息安全部门需对共享信息进行风险评估，并采取相应的安全措施。

3.个人信息使用必须符合隐私保护要求：

（1）严格遵守个人信息保护法律法规，不得非法收集、使用、传输、存储个人信息。

（2）在收集个人信息前，需告知信息主体收集目的、收集方式、存储期限等。

（3）对个人信息进行脱敏处理，防止个人信息泄露。

（四）信息销毁与归档

1.达到保存期限的信息应按规定销毁：

（1）制定信息保存期限规定，明确各类信息的保存期限。

（2）保存期限