信息数字管理制度

信息数字管理制度本制度适用于本单位及下属分支机构、控股子单位所有参与数字信息生产、存储、流转、使用、共享、销毁等活动的全体从业人员，以及单位自建、合作共建、采购获得的所有数字信息资产与承载数字信息的软硬件系统，旨在规范数字信息全生命周期管理流程，明确各主体管理权责，防控数字信息安全风险，充分挖掘数字信息资产价值，支撑单位业务高质量发展与数字化转型。本制度所指数字信息，是单位在开展政务服务、生产运营、内部管理、对外合作、技术研发等各项活动中产生的，以二进制编码形式存储、传输、处理的各类数据、文档、音视频、工程图纸、程序代码、加密密钥、数字证书等信息资源；按照产权属性可分为单位自有数字信息、合作方共有数字信息、第三方授权使用数字信息、公共领域合规采集数字信息四大类，按照敏感程度与保密要求分为公开信息、内部信息、敏感信息、核心涉密信息四个等级，所有数字信息均属于单位无形资产，纳入单位统一资产管理体系，任何部门与个人不得私自侵占、处置。一、管理架构与岗位职责（一）数字信息管理委员会设立数字信息管理委员会作为单位数字信息管理的最高决策机构，由单位主要负责人担任主任，成员包括各业务分管领导、信息管理部门、法务合规部门、安全管理部门、财务资产管理部门负责人，主要职责为：审定单位数字信息管理的战略规划、规章制度与标准规范，审批重大数字信息共享、开放、交易、跨境传输等事项，协调解决数字信息管理中的重大安全事件、风险纠纷与资源调配问题，定期听取数字信息管理工作汇报，对重大管理事项做出决策。（二）归口管理部门信息管理部（数字治理部）是单位数字信息的日常归口管理部门，主要职责为：牵头修订完善数字信息管理相关制度与流程，组织开展全单位数字信息的分类分级、资产登记与台账建设，统筹数字信息存储、备份基础设施建设与运维，牵头开展数字信息安全防护、风险排查与应急处置，对接各业务部门的数字信息需求，协调数字信息的内部共享与开发利用，定期组织开展数字信息资产盘点与核对，配合法务合规、内部审计部门开展合规检查与专项审计。（三）业务部门职责各业务部门是本部门业务领域数字信息的第一责任主体，主要职责为：严格按照本制度要求开展本部门数字信息的采集、整理、标注与报送工作，指定专职数字信息管理员负责日常管理，落实本部门数字信息的分类分级标注与权限管理，配合信息管理部完成数字信息资产入库与盘点工作，落实本部门数字信息安全管理要求，及时上报本部门发生的数字信息安全事件与风险隐患。（四）相关支撑部门职责法务合规部门负责审核数字信息采集、共享、使用、跨境传输等环节的合规性，重点审查个人信息保护、知识产权、保密管理、数据合规等内容，处理数字信息相关的法律纠纷与合规风险；安全管理部门负责牵头开展数字信息安全风险评估、应急演练与违规查处，监督落实各项安全防护措施；财务资产管理部门负责将数字信息资产纳入单位统一资产管理体系，落实数字信息管理相关经费预算，对数字信息交易、对外合作中的资产价值进行核算与监管；人力资源部门负责将数字信息管理合规要求纳入员工培训与绩效考核，配合做好涉密岗位人员的资质审核与保密管理。二、数字信息全生命周期管理（一）采集与生成管理数字信息的采集与生成遵循“合法合规、最小必要、权属清晰”原则，任何部门与个人不得超出业务需求范围采集信息，不得通过爬虫破解、非法购买、私自窃取等违法渠道获取第三方所有的数字信息，不得采集法律法规禁止获取的国家秘密、他人隐私等敏感内容。采集涉及个人信息的，应当按照《个人信息保护法》要求获得信息主体的明确授权，法律法规规定不需要授权的情形除外，且不得强制要求信息主体授权非业务必要的个人信息。采集公共领域开放信息的，应当核对信息来源的合法性，标注信息来源与采集日期，不得篡改原始信息内容。单位内部生成的各类公文、报表、设计文档、项目资料、研发成果等数字信息，生成部门应当在生成后3个工作日内完成格式标准化处理，统一遵循“业务领域-生成日期-信息名称-版本号”的命名规则，确保格式统一、编码正确、检索便捷，不存在损坏、错乱等问题。所有采集生成的数字信息，生成部门应当同步完成产权归属标注与敏感等级标注，报送信息管理部完成资产入库登记；信息管理部对报送的数字信息进行复核，对标注不准确、格式不规范的退回原部门重新整理，未完成入库登记的数字信息不得在单位内部流转使用。（二）分类分级管理数字信息按照业务属性分为政务服务类、生产运营类、人力资源类、财务资产类、技术研发类、客户服务类、行政管理类七个大类，每个大类由对应业务部门结合实际需求设置二级细分分类标准，报信息管理部备案后执行。数字信息分级严格按照国家保密法律法规与单位管理要求，分为四个等级，对应不同的保护强度：1.一级公开信息：指可以对外公开、不涉及任何敏感内容的信息，比如单位公开招聘信息、对外发布的新闻通稿、公开业务指南、已经公开的项目成果等，可自由对内对外流转；2.二级内部信息：指仅可在单位内部公开，不得对外泄露的信息，比如内部会议纪要、未公开的人事调整通知、内部业务统计报表、通用内部管理制度等，仅限单位内部员工访问，不得对外传播；3.三级敏感信息：指涉及单位商业秘密、个人隐私、合作方保密信息，泄露后会对单位、个人或合作方造成利益损害的信息，比如客户个人信息、未公开的季度财务数据、未落地的技术研发方案、合作方提供的保密资料、未公开的重大项目信息等，需要严格限制访问范围；4.四级核心涉密信息：指涉及国家秘密、单位核心战略机密，泄露后会造成严重安全后果与重大利益损失的信息，比如单位承担的国家涉密项目相关数据、核心技术源代码、重大战略并购未公开信息、核心产品的核心设计图纸等，需要按照国家涉密信息管理要求进行保护。数字信息分类分级实行动态调整机制，每年年末由信息管理部组织各业务部门对本部门管理的数字信息进行重新评估，根据信息时效、使用范围、内容变化调整敏感等级，调整结果报数字信息管理委员会审批后更新资产台账，对于已经公开或者超过保密期限的信息，及时降低保密等级，对于新产生的敏感内容及时提升保护等级。（三）存储与备份管理不同等级的数字信息实行分域存储管理，严格落实物理隔离、权限匹配要求：一级公开信息可存储在单位对外公开的云服务器与门户网站服务器；二级内部信息存储在单位内部专用业务云，不得存储在公共云与员工个人设备；三级敏感信息存储在单位内网加密存储区域，需要专属密钥与二次身份验证方可访问；四级核心涉密信息按照国家涉密信息管理规定，存储在物理完全隔离的涉密服务器，不得连接任何外部公共网络，不得使用任何非涉密存储介质存储。单位统一落实“两地三中心”备份要求，生产中心存储日常使用的数字信息，同城灾备中心实时同步备份生产中心所有数据，异地灾备中心每日定时同步备份所有三级及以上等级的核心数据，备份数据按照信息等级设定最低保存期限：一级公开信息永久备份，二级内部信息备份保存期限不低于10年，三级敏感信息备份保存期限不低于法定最低要求延长3年，四级核心涉密信息永久备份。承载三级及以上等级信息的存储介质，不得带出单位指定工作区域，确因工作需要带出的，需要经分管领导审批，由信息管理部登记编号，返回单位后及时检查介质内容，确认没有信息泄露风险；报废的存储介质必须由安全管理部门统一进行物理粉碎处理，不得随意丢弃、赠与或者流入二手市场，严禁仅通过删除格式化操作处理涉密存储介质。单位采购第三方云存储服务的，必须选择具备相应资质的国内云服务商，签订正式安全保密协议，明确云服务商的安全责任，不得将三级及以上敏感信息存储在境外云服务商的服务器。（四）流转与共享管理数字信息流转遵循“最小权限、按需授予、全程留痕”原则，内部流转审批权限按照等级划分：一级公开信息可自由流转，不需要审批；二级内部信息可在部门内部自由流转，跨部门流转需要部门负责人审批；三级敏感信息跨部门流转需要经分管业务领导审批，信息管理部登记备案；四级核心涉密信息任何流转都需要经单位主要负责人审批，全程留存操作日志与流转记录。对外共享按照不同场景落实审批要求：与合作单位开展项目合作需要共享数字信息的，首先由业务部门提出共享申请，列明共享信息的内容、范围、用途、期限，法务合规部门审核共享合规性与保密条款，信息管理部审核信息等级，三级及以上信息需要报数字信息管理委员会审批，审批通过后签订正式保密协议，明确双方的信息安全责任，约定共享信息的使用范围与到期销毁要求，到期后由业务部门督促对方彻底销毁共享信息，不得留存。向政府监管部门报送数字信息的，由对应业务部门按照监管要求整理报送，报送后报信息管理部登记备案。向社会开放共享数字信息的，由发起部门删除所有涉及隐私、商业秘密、国家秘密的内容，经过脱敏脱密处理，法务合规部门审核通过后，报数字信息管理委员会审批后方可开放。数字信息需要跨境传输的，严格按照《数据出境安全评估办法》《网络安全法》等法律法规要求，属于应当申报安全评估的，提前向相关监管部门申报，评估通过后方可出境，严禁任何部门与个人未经批准擅自向境外机构、人员提供单位数字信息，尤其是核心敏感信息。严禁任何部门与个人未经审批擅自将单位数字信息对外共享、出售，不得通过个人微信、QQ、个人邮箱、公共网盘等非单位指定渠道传输二级及以上等级的数字信息。（五）使用与授权管理单位员工使用数字信息实行一人一号、权限匹配制度，按照岗位需求开通对应等级的访问权限，不得转借账号密码给他人使用，访问三级敏感信息需要二次身份验证，访问四级核心涉密信息需要身份核验加全程操作录屏留痕。员工发生岗位调整、离职的，信息管理部应当在1个工作日内关闭其原岗位的数字信息访问权限，调整岗位的按照新岗位职责重新开通对应权限，离职员工所有访问权限全部关闭，不得保留任何访问权限。数字信息用于对外商业化使用的，比如对外提供数据服务、授权第三方使用的，由发起部门开展可行性研究与资产评估，法务合规部门审核合规性，报数字信息管理委员会审议通过后，按照单位资产管理规定办理相关手续，收益纳入单位统一财务核算，严禁任何部门与个人私自利用单位数字信息谋取私利。单位享有知识产权的数字信息成果，由法务合规部门及时办理知识产权登记与保护，任何员工不得擅自将单位享有知识产权的数字信息对外公开或者授权第三方使用。（六）销毁处置管理对于超过保存期限、不需要继续保留的数字信息，由存储管理部门提出销毁申请，列明拟销毁数字信息的名称、数量、等级、存储位置、销毁理由，报信息管理部审核，三级及以上敏感信息需要报分管领导审批，核心涉密信息需要报单位主要负责人审批。销毁申请通过后，由信息管理部、安全管理部共同派员现场监督销毁，销毁电子信息必须彻底清除所有存储数据，对存储介质进行消磁或者物理粉碎，全程留下文字记录与影像资料，所有参与销毁的人员签字确认归档。对于仍有保存价值的数字信息不得随意销毁，严禁任何部门与个人未经审批擅自销毁数字信息，不得在非指定场所销毁数字信息。三、数字信息安全管理（一）技术防护管理信息管理部应当定期升级数字信息安全防护体系，部署防火墙、入侵检测、终端安全管理、数据加密、访问控制、水印溯源等安全技术措施，对所有三级及以上敏感信息实现全流程操作留痕，每季度开展一次全系统漏洞扫描，每年开展一次全系统渗透测试，及时发现并修复安全漏洞。对核心涉密信息采用端到端加密存储与传输，确保即使存储介质被窃取也无法解密获取信息。所有单位办公终端都要统一安装安全防护软件，开启自动更新，严禁安装未经审批的软件，严禁接入不明来历的外接存储设备。（二）人员安全管理所有接触三级及以上敏感信息的员工，上岗前都要签订保密承诺书，明确个人保密责任，每年参加不少于两次的数字信息安全培训，考核合格后方可继续接触敏感信息。员工离职的，除关闭所有访问权限外，还要收回所有存储有单位敏感信息的设备与介质，签订离职保密承诺书，确认没有带走单位任何数字信息后，方可办理离职手续。外部人员进入单位涉密工作区域访问数字信息，需要经分管领导审批，由单位专人全程陪同，全程留痕，不得单独接触核心涉密信息。（三）应急管理信息管理部牵头制定数字信息安全事件应急预案，按照事件严重程度划分一般、较大、重大三个等级，明确对应处置流程与责任分工，每年至少开展两次应急演练，检验预案可行性，提升应急处置能力。发生数字信息泄露、篡改、丢失等安全事件后，发现部门应当第一时间上报信息管理部与安全管理部，不得隐瞒拖延，信息管理部立即启动对应等级的应急预案，采取技术措施防止风险扩散，按照法律法规要求及时通知受影响的信息主体，上报相关监管部门，配合开展调查处置，事件处置完成后及时开展复盘分析，完善安全防护措施与应急预案，避免同类事件再次发生。（四）合作方安全管理对外合作中涉及单位数字信息提供给合作方使用的，必须在合作协议中明确约定合作方的信息安全责任，要求合作方落实对应等级的安全防护措施，单位每年至少对合作方的数字信息安全管理情况开展一次核查，发现合作方违反保密约定、存在重大安全隐患的，及时终止合作，追究违约责任，收回所有提供的数字信息。四、合规审计与责任追究法务合规部门每年开展一次全单位数字信息管理合规性审查，重点审查个人信息保护、知识产权保护、涉密信息管理、数据跨境传输等领域的合规情况，及时发现合规风险，提出整改要求，跟踪整改落实。信息管理部每年组织一次全面的数字信息资产盘点，摸清全单位数字信息资产的数量、等级、存储