安全制度-数据安全管理办法V10

数据安全管理办法

2022年1月订定

权责单位：组

第一章总则

第一条为了规范公司的数据资产管理，进一步完善数据安全管理体系，保证公司数据资

产及其支撑系统的完整性、机密性和可用性，避免数据泄密，根据国家有关法律

法规，特制定本办法。

第二条本办法所称的数据是指：公司业务系统、数据仓库以及数据产品中生成的数据，

适用于数据的产生、传输、使用、存储、共享、归档/销毁全链路的数据安全管

理环节。

第三条本办法内容包括：总则、数据资产范围、数据安全管理角色及岗位职责、数据分

级分类规范、数据安全规范细则、数据输出管理细则、附则七章。

第四条本办法适用于总公司及各分支机构。

第二章数据资产范围

第五条公司数据安全管理涉及的范围包括：

（一）数据资产：

所有存储在线上数据库和数据仓库中的数据，包括但不限于：

1、公司拥有的数据；

2、第三方委托公司存储处理的受合同约束的数据。

（二）支撑系统：

所有的支撑设施，例如直接或间接参与确保上述数据完整性、机密性以及可用性

相关的人或系统，包拈但不限于：

1、场所，如：办公室、云服务器、公司机房；

2、硬件，如：服务器、网络设备、笔记本电脑、台式电脑、存储设备、移动设

备；

3、软件，如：操作系统、商业软件、自行开发的软件；

4、人员，如：员工、外包、除员工和外包人员外的第三方人员（以下简称第三

方人员）。

（三）文档和记录：

所有与管理、使用及控制上述数据资产及其支持系统相关的策略、流程及操作手

册和记录。

第三章数据安全管理角色设置及岗位职责

第六条数据安全管理角色设置及岗位职责：

（―）****组

梆**组是数据安全的主管部门，承担以下职责：

1、引导数据使用部门，对数据进行分级分类，制定数据安全管理体系；

2、定期安排及开展数据安全管理审计；

3、定期对数据资产支持系统进行审计；

4、推动相关方对数据安全问题进行改进；

5、推动数据安全识别和建立数据安全管理关键控制点。

（-）部门数据安全负责人

部门数据安全负责人由各部门负责人担任，负责部门内的数据安全管理，主要承

担以下职责：

1、确保各自团队的业务开展与公司数据安全策略、流程及操作指引的要求一致,

并确保部门员工（包括外包人员）得到适当的数据安全培训；

2、在各自负责的职责范围内开展数据安全管理和复核工作；

3、在各自负贡的职贡范围内配合公司的数据安全管埋和风险评估乍。

（三）数据资产责任人

数据资产责任人由部门负责人指定，基于业务或职能分工，对与其业务相关的数

据资产的完整性、机密性及可用性负责，主要承担以下职责：

1、评估各自负责的数据资产对公司的重要性，协助****组进行数据分级工作；

2、承担风险评估的细节工作，如：识别控制、协助评估控制的有效性；

3、协助对数据资产访问权限进行定期复核；

4、协助数据安全事件的调查和处理；

5、协助数据安全管理审计工作；

6、引导使用方合理使用各自负责的数据资产；

7、协助****组完善数据安全管理体系。

第四章数据分级分类规范

第七条数据分级定义

根据数据价值、敏感性、数据风险及法律法规要求，将数据分为四个级别：绝者、

机密、保密、公开。

级别定义

・非授权的公开、泄露将直接对公司、客户或者员工造成严重不利影响(例如：

造成重大经济损失、严重破坏公司声誉、造成监管问责，以及发生重大法律责

核心商密

任等)的数据。

(L4)

・指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、

导致歧视性待遇等的个人信息。

•非授权的公开、泄露将直接对公司、客户或名员工造成不利影响(例如：造成

一般商密

经济损失、破坏公司声誉、可能发生法律责任等)的数据。

(L3)

・指能够单独识别自然人身份或者反映特定自然人活动情况的信息。

公司内部

・非授权的公开、泄露将直接对公司、客户或者员工造成较小不利影响的数据.

(L2)

外部公开•允许被公共访问和对外发布的信息，并且公开信息可以自由散布而不会产生任

(L1)何安全和法律问题。

数据分级示例:

级别典型示例

・公司级未公开的财务预算报告及各类财务报表、统计报表

・公司级尚未付诸实施的经营战略、经营规划

核心商密・公司级业务相关的核心数据

(L4)•公司人事档案

・公司业务系统源代码

•公司关键业免系统的账号密码

・关键项目的计划、方案等

・个人身份标识数据

一般商密

・公司业务系统的账号密码

(L3)

•公司内部安全管理策略

・公司内部项目开发文档

・公司内部全员公告、通知

公司内部

・公司通讯录

(L2)

•公司内部规章管理制度

外部公开

•公司对外公布的经营数据

(L1)

数据分级标注要求:

级别标注要求

核心商密・在文件显著位置标注密级、保密期限、知悉范围。

(L4)・在文件首页标注份号，份号应与知悉范围相对应。

一般商密

(L3)・在文件显著位置标注密级、保密期限、知悉范围。

公司内部

(L2)・可在文件显著位置标注密级，无密级标注的文件默认为内部资料级别。

外部公开

・无标注要求。定义为公开的信息须经相关部门授权。

(L1)

数据分级授权要求:

级别授权要求

核心商密

(U)・需得到公司领导批准。

一般商密

(L3)・需得到密级确定部门主要负责人批准。

公司内部

(L2)・需得到所有者批准。

外部公开

・无限制。

(LI)

数据分级存储要求:

级别存储要求

核心商密・电子类的应妥善保存在设有安全控制的计算机系统内。

(L4)・介质由知悉部门保密执行人专人专柜保存。

一般商密•电子类的应妥善保存在设有安全控制的计算机系统内。

(L3)•介质由知悉部门保密执行人专人专柜保存。

公司内部

(L2)•应妥善保管。

外部公开

・无限制。

(L1)

数据分级复制要求:

级别复制要求

核心商密

(L4)・禁止复制。

一般商密•由定密部门保密执行人进行，复制件上应加盖复制部门公章，并在显著位置注

(L3)明“复制件”字样和复制日期。

公司内部

(L2)•根据工作需求执行。

外部公开

•无限制。

(L1)

数据分级邮件要求:

级别邮件要求

核心商密・禁止邮件直接发送，经授权后做电子签名或加密控制，经安全的途径发送，不

(U)得发送到公众或私人电子邮件账户，并保留发送记录。

一-般商密・须经密级确定部门负责人许可,邮件发送应做加密控制,不得发送到公众或私

(L3)人电子邮件账户，并保留发送记录。

公司内部

(L2)・根据工作需求执行。

外部公开

•无限制。

(L1)

数据分级销毁要求:

级别销毁要求

核心商密

(L4)・碎纸机或集中销毁：彻底销毁介质；

一般商密

(L3)・碎纸机或集中销毁；彻底销毁介质；

公司内部

(L2)・碎纸机或集中销毁；删除数据：

外部公开

・无限制。

(L1)

第八条数据分类定义

按照类别，将数据分为如下基本的三类数据：

•用户类数据(用“U”表示)：用户的基本信息和用户提供给公司使用的数据，以及自身

相关的行为数据、交易数据等。这些信息属于用户或者和用户直接相关。

・业务类数据(用“B”表示)：公司业务开展所需要的数据，包括：公司各个业务系统的

费率、重要合作伙伴名单、合作授权价格信息等。

•公司类数据(用“C”表示)，包括：公司的财务数据、管理数据及运营数据(尚未公

布的公司经营规划和财务报告、法律文件等)；公司的服务、内部系统、软件等产生的

数据，各种系统的账户和空码；员工在工作中产生的所有数据，如源代码、操作记录、

项目文档等。

数据分类分级矩阵关系如下：

外部公开(L1)公司内部(L2)一般商密(L3)核心商密(L4)

用户数据（U）客户公开数据（U1）客户内部数据（U2）客户保密数据（U3）客户机密数据（U4）

业务数据（B）业务公开数据（B1）业务内部数据（B2）业务保密数据（B3）业务机密数据（B4）

公司数据（C）公司公开数据（C1）公司内部数据（C2）公司保密数据（C3）公司机密数据（C4）

第九条数据使用过程中的升级原则

（一）客户个人数据：

•当个人间接识别信息（IJ2）与个人直接识别信息（U3）结合或者多个个人间接识

别信息（U2）关联后，能识别特定自然人身份或自然人行为轨迹的参照个人直接

识别信息（U3）保护要求进行的对应安全管理；

•拥有可将个人间接识别信息（U2）关联到某一特定数据主体的附加信息，则有关

个人间接识别信息（U2）,应按照个人直接识别信息（U3）保护。

•个人间接识别信息（U2）与个人直接识别信息（U3）结合或者多个个人间接识别

信息（U2）关联后，符合个人敏感信息（U4）定义，参照个人敏感信息（U4）保

护要求的对应安全管理。

•与个人敏感信息（U4）结合使用的个人间接识别信息（U2）或个人直接识别信息

（U3）,参照个人敏感信息（U4）保护要求的对应安全管理。

•将个人间接识别信息（U2）或个人直接识别信息（U3）关联到某一特定数据主体

的附加信息，信息组合后符合个人敏感信息（U4）定义的，应按照个人敏感信息

（U4）保护。

•用户个人数据默认分级特别说明：具有特定指向性的个人信息，级别应认定为U3

及以上。

（二）同一次申请数据量超过一定的阀值（建议值是1万条记录），数据自动升级到更高一

个级别；

（三）在某个特定业务背景或特殊阶段要求卜.，可以根据具体情况进行数据升级。

第五章数据安全规范细则

第十条数据资产清单

每个数据资产应有其相应的责任人，数据资产责任人应理解并执行本规范中定义

的职责。

部门数据安全负责人负责定义和维护上述适用范闱内的数据资产清单。

第十一条数据分类和处理

部门数据安全负责人应确保所有的数据资产都被适当的分级，并根据不同的级

别，推动相关方建立和实施相应的保护措施，保护措施应考虑到数据的存储、访

问、传输及分发等环节。

第十二条数据安全基本准则

所有的员工、外包及第三方人员需遵守公司的数据安全基本准则，包括但不限7：

（一）所有对数据库及数据仓库数据的分析、加工、处理等操作，必须在数据安

全网络中进行；

（-）数据分析人员需要将上述数据传递给业务需求方时，必须先通过内部数据

流程审批，审批通过之后，才能进行数据分发；

（三）禁止使用个人或非公司提供的设备来接收或处理数据安全网络和数据分发

平台的数据；

（四）严禁在没有得到适当授权的情况下，将上述范围中的数据传递给第三方。

任何违反上述要求的员工，将进行通报批评、情节严重的依据公司规定进行处罚。

第十三条数据资产访问控制

数据资产及其处理设施的访问控制应能保证数据的完整性、机密性及可用性；访

问授权应遵循最小授权以及除非特别授予否则默认禁止的原则：

禁止将上述范围中的数据存储在非公司拥有的系统或信息处理设备上；

各数据支撑系统所属和管理部门应定期审查具有远程访问权限的人员，对于不再

需要远程访问权限的账号应立即禁用。

第十四条