2025年建筑施工企业数据安全管理制度

2025年建筑施工企业数据安全管理制度一、总则（一）为规范建筑施工企业数据处理活动，保障数据安全，促进数据合理利用，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及相关法律法规、技术标准，结合建筑行业特点与公司实际，制定本制度。（二）本制度适用于公司总部、各分支机构、项目部及全体员工在业务活动中涉及的数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期安全管理。（三）数据安全管理遵循合法正当、权责明确、目的明确、确保安全、分类分级、全程可控的原则。任何部门和个人不得利用数据从事危害国家安全、公共利益以及他人合法权益的活动。（四）本制度所称数据，是指任何以电子或其他方式对信息的记录，包括但不限于项目设计图纸、施工方案、预算报价、成本数据、进度计划、人员信息、设备信息、供应商信息、客户信息、财务信息、商业秘密等。二、组织与职责（一）公司成立数据安全管理委员会，由总经理担任主任，分管信息化、安全、法务的副总经理担任副主任，成员包括信息技术部、安全管理部、法务合规部、项目管理部、人力资源部、财务部等相关部门负责人。委员会负责审定数据安全战略、制度、重大方案，协调解决重大数据安全问题。（二）信息技术部是数据安全管理的归口部门，主要职责包括：1.负责制定和修订数据安全管理制度、技术规范与操作规程。2.负责公司核心数据基础设施的安全防护体系建设、运维与监控。3.组织实施数据分类分级，制定并落实相应安全保护措施。4.组织开展数据安全风险评估、应急演练与安全审计。5.负责数据安全事件的监测、预警、报告与处置协调。6.组织数据安全教育培训与意识提升。（三）各业务部门是本部门业务数据安全管理的责任主体，部门负责人为第一责任人，主要职责包括：1.负责本部门业务数据的日常安全管理，确保数据处理活动符合制度要求。2.明确本部门数据管理岗位及职责，指定数据安全员。3.依据数据分类分级要求，落实本部门数据的安全保护措施。4.配合完成数据安全风险评估、审计和事件处置工作。5.负责对本部门员工进行数据安全操作培训。（四）安全管理部负责将数据安全纳入公司整体安全管理体系，监督施工现场涉及数据采集、传输设备（如监控摄像头、传感器）的物理安全。（五）法务合规部负责数据安全相关法律法规的符合性审查，处理数据安全相关的法律纠纷与合规风险。（六）全体员工均有保护数据安全的义务，应自觉遵守数据安全管理制度，接受相关培训，对工作中知悉的数据信息承担保密责任。三、数据分类分级管理（一）公司根据数据遭到篡改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益、个人合法权益以及企业自身造成的危害程度，将数据分为核心数据、重要数据和一般数据三个级别。（二）核心数据是指一旦泄露、篡改或滥用可能对国家安全、经济命脉、关键基础设施造成严重危害，或导致企业重大商业利益、核心竞争力遭受毁灭性打击的数据。例如：涉及国家秘密的项目图纸、重大工程的安防布控方案、核心算法源代码、未公开的重大并购重组信息等。核心数据应采取最高级别的保护措施，严格控制知悉范围。（三）重要数据是指一旦泄露、篡改或滥用可能对公共利益、个人权益造成较大危害，或导致企业遭受重大经济损失、声誉损害的数据。例如：详细的工程造价与成本数据、重要的客户信息与合同条款、员工个人信息、供应商评估资料、质量安全事故报告、关键的施工工艺参数等。重要数据应采取严格的访问控制和加密保护。（四）一般数据是指核心数据和重要数据之外的其他数据，其泄露、篡改或滥用可能造成的危害程度相对较低。例如：已公开的企业宣传资料、常规的会议纪要、非涉密的通知公告等。一般数据应遵循基本的安全管理要求。（五）信息技术部应会同各业务部门，制定详细的数据分类分级目录和标识规范，并根据业务变化和数据重要性动态调整。数据处理活动应按照其所属级别采取相应的安全保护措施。四、数据全生命周期安全管理（一）数据收集1.收集数据应遵循合法、正当、必要、诚信的原则，不得收集与业务无关的数据。2.收集个人信息应取得个人同意，法律、行政法规另有规定的除外。应明确告知个人信息处理的目的、方式、范围，并不得超出告知的范围处理个人信息。3.通过自动化设备（如传感器、监控摄像头）收集数据，应确保设备安全可控，并在采集区域设置显著提示标识。4.从外部获取数据时，应评估数据来源的合法性与安全性，并签订数据安全相关协议。（二）数据存储1.数据应存储在符合安全要求的服务器或存储设备中。核心数据和重要数据原则上应存储在境内的数据中心。2.根据数据级别采取相应的加密存储措施。核心数据必须采用高强度加密算法加密存储。3.建立数据备份与恢复机制。核心数据应实现异地实时备份，重要数据应定期备份，确保数据丢失后可快速恢复。备份数据应与生产数据同等保护。4.定期对存储数据的完整性、可用性进行检查。（三）数据使用与加工1.严格依据“业务必需”和“最小权限”原则控制数据访问权限。员工只能访问其职责范围内必需的数据。2.核心数据和重要数据的访问、操作应保留完整的日志记录，日志保存时间不少于六个月。3.在开发、测试环境中使用生产数据，必须进行脱敏处理，避免敏感信息泄露。4.对数据进行统计分析、建模分析等加工活动，应在安全可控的环境中进行，加工结果如涉及敏感信息应进行脱敏。（四）数据传输1.在公司内部网络传输数据，应使用安全的网络通道。核心数据和重要数据在内部传输也应进行加密。2.通过互联网等公共网络向外部传输核心数据和重要数据，必须使用虚拟专用网络（VPN）或其它可靠的加密传输技术。3.严禁通过互联网公共邮箱、即时通讯工具等非安全渠道传输核心数据和重要数据。4.物理介质（如移动硬盘、U盘）传输数据，需经审批并对介质加密，传递过程应登记备案。（五）数据提供与公开1.向公司外部的组织或个人提供数据，必须经过严格的安全评估和审批程序，并签订数据安全协议，明确双方安全责任。2.数据出境活动，必须遵守国家关于数据出境安全评估的法律法规。3.公开数据前，必须进行保密审查，确保不包含核心数据、重要数据及依法不应公开的信息。（六）数据删除1.数据超出保存期限或处理目的已实现，应及时删除或匿名化。2.数据删除应确保不可恢复。存储介质报废或转作他用前，必须采用物理销毁或多次覆写等安全手段彻底清除数据。3.员工离职时，应及时终止其数据访问权限，并收回其持有的公司数据。五、信息系统与网络安全（一）公司信息系统（如项目管理系统、OA系统、财务系统）的建设、运维应同步规划、同步建设、同步运行数据安全保护措施。（二）网络应划分安全域，根据数据级别和业务需求实施边界防护、访问控制、入侵检测等措施。核心数据所在区域应实施最高级别的网络隔离与保护。（三）对所有接入公司网络的设备（包括员工自带设备）进行安全认证与管理。无线网络应进行安全隔离和加密。（四）定期对操作系统、数据库、应用软件进行安全补丁更新，及时修复已知安全漏洞。（五）部署防病毒、防恶意代码软件，并定期更新病毒库，进行全盘扫描。（六）严格控制管理员权限，实行分权制衡，定期审查权限分配情况。六、数据安全风险评估与应急响应（一）信息技术部应每年至少组织一次全面的数据安全风险评估，识别潜在威胁、脆弱性以及可能造成的影响，评估现有控制措施的有效性，并形成风险评估报告报数据安全管理委员会。（二）各业务部门在开展新业务、上线新系统或发生重大变更时，应进行专项数据安全风险评估。（三）公司制定数据安全事件应急预案，明确事件分级标准、报告流程、处置措施、恢复流程及沟通策略。（四）发生数据泄露、篡改、丢失等安全事件，发现人员应立即报告部门负责人和信息技术部。信息技术部应按照应急预案迅速采取处置措施，防止危害扩大，并在事件发生后一小时内向数据安全管理委员会报告，必要时按规定向有关主管部门报告。（五）每年至少组织一次数据安全应急演练，检验应急预案的有效性，并持续改进。七、外包服务安全管理（一）将数据处理活动委托第三方（如云服务商、软件开发商、数据处理服务商）时，应进行严格的安全能力评估，优先选择安全记录良好、符合国家合规要求的服务商。（二）与外包服务商签订合同或协议时，必须明确约定数据安全保护责任、技术措施、监督审计权利、违约处罚、合同终止后的数据返还或删除要求等条款。（三）应定期或不定期对重要外包服务商的数据安全保护状况进行审计或评估。（四）外包服务商发生数据安全事件，可能影响公司数据的，公司应立即督促其采取措施，并评估对自身的影响，必要时启动应急响应。八、宣传教育与培训（一）信息技术部会同人力资源部，每年制定数据安全培训计划，针对不同岗位员工开展有针对性的培训。（二）新员工入职时必须接受数据安全基础培训，经考核合格后方可上岗。（三）定期通过公司内部平台、邮件、宣传栏等方式，发布数据安全知识、案例警示，提升全员数据安全意识和技能。（四）对数据处理关键岗位人员（如系统管理员、数据分析师、项目资料员）进行专项安全培训和考核。九、监督考核与奖惩（一）信息技术部、安全管理部、法务合规部定期（每半年一次）联合对各部门数据安全管理制度的执行情况进行监督检查，检查结果纳入部门年度绩效考核。（二）对在数据安全管理工作中做出显著成绩或有效避免重大安全损失的部门和个人，给予通报表扬、物质奖励等。（三）违反本制度规定，有下列行为之一的，视情节轻重给予批评教育、通报批评、经济处罚、调离岗位等处理；造成数据安全事件或损失的，依法依规追究相关责任人及管理者的责任；涉嫌犯罪的，移送司法机关处理：1.未履行数据安全保护义务，导致数据泄露、毁损、丢失的。2.越权访问、使用、泄露、篡改、删除数据的。3.未经批准擅自向外部提供或公开数据的