《数据安全管理制度编制指南(试行)》

《数据安全管理制度编制指南(试行)》数据安全管理制度是组织保障数据安全、防范数据风险的核心依据，需结合自身业务特点、数据规模及风险等级，遵循合法合规、最小必要、动态调整、全员参与原则，系统构建覆盖数据全生命周期的管理体系。一、制度体系构建要求制度体系应分层级制定，形成“总纲-细则-操作指南”三级架构。一级文件为数据安全管理办法，明确总体目标、管理原则、组织架构及基本要求；二级文件为专项管理制度，包括数据分类分级、采集、存储、处理、传输、共享、销毁等全生命周期各环节的具体规则；三级文件为操作指南或规程，细化技术实现、操作流程、工具使用等执行细节。制度制定需经法务合规部门审核，确保符合《数据安全法》《个人信息保护法》《网络安全法》及行业监管要求；发布前应通过管理层审批，确保资源支持与战略对齐；实施后每年度进行评估，根据业务变更、技术迭代或法规更新及时修订。二、数据分类分级管理数据分类应基于业务属性、敏感程度、关联影响等维度，结合组织实际业务场景划分。常见分类维度包括：按业务领域（如客户数据、运营数据、研发数据）、按敏感程度（如公开数据、内部数据、敏感数据）、按主体类型（如个人信息、企业信息、国家信息）。分类结果需形成《数据分类目录》，明确每类数据的定义、范围及示例。数据分级以分类为基础，依据数据一旦泄露、篡改或损毁可能造成的影响程度，划分为三个等级：一般数据（影响较小，可恢复）、重要数据（影响较大，需采取保护措施）、核心数据（影响重大，可能损害国家安全、公共利益或个人/组织重大权益）。分级标准应量化，例如：核心数据包括涉及国家秘密的业务数据、用户生物识别信息、金融交易记录（单笔金额≥50万元）、年营收占比≥30%的客户数据等；重要数据包括用户联系方式、非关键业务的运营统计数据（如月度访问量）、研发过程中的中间试验数据（未涉及核心技术）等；一般数据包括公开的产品介绍、无敏感信息的市场调研报告等。分级结果需形成《数据分级清单》，与分类目录关联，标注每类数据的具体分级及责任部门。数据分类分级应动态调整，新增数据需在产生后5个工作日内完成分类分级；存量数据每半年复核一次，业务场景变更或发生数据安全事件后应立即重新评估。三、数据全生命周期安全管理数据采集：明确采集范围遵循最小必要原则，仅收集实现业务功能必需的数据，禁止超范围采集。采集个人信息需取得用户同意，明确告知采集目的、方式、范围及使用期限，同意书需以显著方式展示并可撤回。采集非个人信息（如企业数据）需确认数据来源合法，通过第三方获取时应签订协议，约定数据提供方的合规责任及数据质量要求。采集过程需记录操作日志，包括采集时间、操作人、数据类型、数量及来源，日志保存期限不少于3年。数据存储：存储介质需区分安全等级，核心数据应存储于加密的专用存储设备，重要数据存储于受访问控制的独立存储区域，一般数据可存储于公共存储平台但需限制访问权限。存储加密要求：核心数据采用AES-256或国密SM4算法加密，密钥由专人管理并定期轮换（至少每6个月一次）；重要数据可采用AES-128或SM2算法加密，密钥存储于硬件安全模块（HSM）；一般数据可根据业务需求选择是否加密，但需确保访问日志完整。存储访问控制实行最小权限原则，根据岗位角色分配权限，核心数据访问需双人审批，重要数据访问需部门负责人审批，审批记录与访问日志关联存储。存储容灾要求：核心数据需实现异地实时备份，重要数据需实现异机每日备份，一般数据可根据业务连续性要求设置备份策略，备份数据需与主数据隔离存储并定期验证可用性（核心数据每月验证，重要数据每季度验证）。数据处理：处理包括数据清洗、分析、挖掘等操作，需明确处理目的与范围，禁止超出原始采集或授权范围的处理行为。处理敏感数据（如个人生物信息、金融数据）时，需进行风险评估，评估内容包括处理方式的安全性、结果的敏感性及可能的泄露风险，评估报告需经数据安全负责人审核。处理过程中需对中间数据采取与原始数据同级别的保护措施，临时存储的中间数据需在处理完成后24小时内删除。使用外部工具或第三方服务处理数据时，需签订安全协议，要求服务商承诺数据不落地、不留存，并对工具进行安全检测（如漏洞扫描、恶意代码检测），检测报告留存备查。数据传输：内部传输需通过加密通道（如HTTPS、IPSecVPN），核心数据传输需采用国密SM1/SM7算法，重要数据可采用TLS1.3协议，一般数据可采用TLS1.2协议。跨网传输（如互联网与内网）需通过网闸或安全隔离设备，禁止明文传输。外部传输（向第三方提供数据）需进行安全评估，评估内容包括接收方的安全能力、数据用途的合法性及必要性、数据泄露风险等，评估通过后签订数据传输协议，明确数据用途限制、保密义务、违约责任及数据回收要求。传输过程需记录传输时间、接收方、数据类型、数量及加密方式，日志保存期限不少于5年。数据共享：内部共享需通过统一的数据共享平台，申请方需提交共享申请，注明用途、范围及使用期限，经数据所属部门及数据安全部门审批后开放权限。共享权限按“最小够用”原则设置，核心数据仅限查看，禁止下载；重要数据可下载但需限制导出格式（如禁用Excel另存为TXT）；一般数据可根据业务需求开放下载。外部共享需符合《数据安全法》第三十二条要求，属于重要数据的需向省级以上网信部门申报，核心数据原则上不对外共享，确需共享的需经国家数据安全工作协调机制批准。共享时需对数据进行脱敏处理，个人信息脱敏采用去标识化或匿名化技术（如K-匿名、L-多样性），企业数据脱敏可采用数据替换（如将具体金额替换为区间值）、数据掩码（如隐藏身份证后四位）等方法，脱敏后的数据需经验证，确保无法通过关联分析还原原始信息。数据销毁：销毁包括物理销毁（如硬盘格式化、光盘粉碎）和逻辑销毁（如数据覆盖、数据库删除）。核心数据物理销毁需采用多次覆盖（至少3次）或物理粉碎（碎片≤2mm），逻辑销毁需使用专业工具（如DBAN）进行全盘格式化；重要数据物理销毁可采用1次覆盖或粉碎（碎片≤5mm），逻辑销毁需删除存储介质上的所有数据并清除缓存；一般数据可通过操作系统自带的删除功能销毁，但需确保无恢复可能。销毁前需确认数据已无保留价值，由数据所属部门提出申请，数据安全部门审核后执行。销毁过程需记录操作人、时间、介质编号、销毁方式及验证结果，验证可通过数据恢复工具检测（核心数据销毁后需检测无残留数据），记录保存期限不少于5年。四、责任体系与人员管理组织架构：设立数据安全管理委员会，由高层领导（如CEO/COO）担任主任，成员包括法务、合规、IT、业务部门负责人，负责审议数据安全战略、重大制度及风险处置方案。下设数据安全办公室（可设在合规或IT部门），负责制度执行、日常监督及协调工作。各业务部门设立数据安全联络人，负责本部门数据安全具体事务。岗位职责：决策层（管理委员会）职责包括审批数据安全管理制度、保障资源投入、定期听取安全报告（每季度至少1次）；管理层（数据安全办公室）职责包括制定制度细则、组织风险评估、监督制度执行、处理安全事件；执行层（业务部门及联络人）职责包括落实本部门数据分类分级、确保数据操作合规、配合安全检查及事件调查。人员管理：数据安全岗位（如管理员、审核员）需具备相应资质（如CISP、DSCI认证），上岗前需通过安全培训及考核。接触敏感数据的人员需签订保密协议，明确保密义务及违约责任。人员离岗时需回收所有数据访问权限，清除设备中存储的敏感数据，签署离岗保密承诺，关键岗位需进行离职审计（如核查近6个月数据操作记录）。五、技术保障措施访问控制：采用基于角色的访问控制（RBAC），根据岗位角色分配数据访问权限，角色权限需定期审核（每季度一次）。敏感数据访问需启用多因素认证（MFA），如用户名+密码+短信验证码或硬件令牌。特权账户（如数据库管理员）需单独管理，密码长度≥12位，包含大小写字母、数字及特殊符号，每3个月更换一次，禁止共享使用。加密与脱敏：静态数据加密覆盖所有存储介质，加密密钥与数据分离存储，由专人管理。动态数据传输加密强制启用，禁止使用弱加密算法（如DES、MD5）。脱敏技术根据数据类型选择，个人信息脱敏需符合《个人信息去标识化指南》要求，确保去标识化后的数据无法关联到特定个人；企业数据脱敏需保留业务可用性，如财务数据脱敏后仍可用于统计分析但无法识别具体交易对象。安全审计：部署日志审计系统，采集网络设备、服务器、数据库等关键节点的操作日志，日志内容包括操作时间、用户、IP地址、操作类型（查询/修改/删除）、数据对象及结果。日志存储需满足《网络安全法》要求，至少保存6个月，核心数据日志保存1年以上。审计频率：日常审计每周一次，重点检查敏感数据操作；专项审计每季度一次，覆盖全生命周期各环节；发生安全事件时需立即启动事件溯源审计。监测与预警：部署数据安全监测工具，通过流量分析、异常行为检测（如非工作时间高频访问、大量数据下载）、数据泄露检测（如敏感数据外传至外部IP）等方式实时监控数据流动。设置预警阈值，如核心数据单日访问次数超过100次、重要数据下载量超过500条，触发预警后需在30分钟内人工核查。预警信息需记录触发时间、类型、涉及数据及处理结果，形成预警报告每月提交管理委员会。六、安全事件处置事件分级：根据影响程度分为三级：一般事件（仅涉及一般数据，未造成实际损失，可快速恢复）、较大事件（涉及重要数据，造成一定经济损失或声誉影响，需24小时内恢复）、重大事件（涉及核心数据，造成重大经济损失（≥500万元）、大范围声誉损害或影响国家安全，恢复时间超过72小时）。处置流程：事件发现后，第一时间报告数据安全办公室，办公室需在1小时内启动应急响应小组（成员包括IT、法务、公关人员）。一般事件由小组负责人审批处置方案（如隔离受影响系统、修复漏洞），24小时内完成处置并报告；较大事件需经管理委员会审批，48小时内完成处置，同时向监管部门报告（如属于重要数据泄露需在24小时内报告）；重大事件需立即向管理委员会及国家数据安全工作协调机制报告，72小时内提交详细处置报告，包括事件原因、影响范围、已采取措施及改进计划。事件复盘：事件处置完成后，10个工作日内组织复盘会，分析事件根本原因（如权限管理漏洞、员工操作失误），评估处置措施有效性，制定改进方案（如加强培训、优化监测规则），改进方案需在30个工作日内落实并跟踪效果。七、培训与考核培训要求：全员培训每半年一次，内容包括数据安全法律法规、组织制度要求、常见风险场景（如钓鱼攻击、误操作）及防范措施。重点岗位（如数据管理员、客服人员）需每年参加专项培训（不少于16学时），内容涉及敏感数据操作规范、事件应急处置流程等。新员工入职培训需包含数据安全内容，培