规章制度-数据分类分级指南.docx

规章制度-数据分类分级指南第一章总则第一条【目的】通过对数据进行分类分级，识别数据敏感程度，以便实施针对性的保护措施，保护数据的完整性、保密性和可用性。第二条【适用范围】本指南适用于焦点科技股份有限公司(以下简称"公司)各部门、各事业部、各子公司。第三条【术语解释】(1) IMEI:国际移动设备识别码(2) IMSI:国际移动用户识别码(3) 客户数据，是指客户的个人数据和业务数据。(4) 业务数据，是指平台在生产运营过程中收集和产生的数据。(5) 经营管理数据，是指以电子或其他方式记录的与公司有关的各种数据。第二章数据分类第四条【分类原则】数据分类应遵循以下原则：(1) 稳定性：分类的设置应考虑在相当长的一个时期内是稳定的；(2) 合理性：确定逻辑清晰的分类维度，并确保数据有且只有一个分类类别；(3) 可扩充性：在类目的设置或层级的划分上，留有适当的余地，以保证分类对象增加时，不会打乱已经建立的分类体系。第五条【分类说明】按照数据所属主体，将数据分为客户数据、业务数据、经营管理数据三大类。第三章数据分级第六条【分级说明】实施数据分级管理是建立统一、完善的数据安全保护框架的基础工作，能够为制定针对性的安全管控措施提供支撑。第七条【分级原则】数据分级应遵循以下原则：(1) 合法合规性原则：数据定级应满足国家法律法规及行业主管部门有关规定。(2) 可执行性原则：定级规则应避免过于复杂，以保证其在数据分级过程中的可行性。(3) 时效性原则：数据所定级别具有一定的有效期，应该按照级别变更策略对数据级别进行及时调整。(4) 差异性原则：根据数据的类型、敏感程度等差异，划分不同的安全级别，并将数据划分至不同的级别中，不宜将所有数据集中划分到少数几个级别中。(5) 客观性原则：数据定级规则应是客观并可以被校验的，即通过数据自身的属性和定级规则即可判定其级别，已经定级的数据是可复核和检查的。第八条【分级规则】数据安全性遭到破坏后可能造成的影响,是确定数据安全级别的重要判断依据。基于影响程度，将数据安全级别从低到高分为公开，1级，2级，3级，如下：级别风险3级数据的安全性遭到破坏后，可能导致公司遭到监管部门的严重处罚，或者影响重要/关键业务无法正常开展；可能对公司、客户合法权益带来严重、长期或大范围的负面影响。2级数据的安全性遭到破坏后，会对个人隐私或公司、客户合法权益带来有限程度、范围的负面影响。1级数据的安全性遭到破坏后，可能对个人隐私或公司、客户合法权益产生轻微影响，不影响企业各项业务、日常工作正常开展。公开数据的安全性遭到破坏后，可能不对个人隐私或公司合法权益造成影响，或仅造成微弱影响。第九条【分级管控措施】按照数据安全生命周期，对各级别安全措施进行说明。类型3级2级1级数据采集1、应合法且最小化采集2、涉及个人信息采集，应用户授权同意3、采用加密方式对1、应合法且最小化采集2、涉及个人信息采集，应用户授权同意3、记录异常采集1、应合法且最小化采集2、涉及个人信息采集，应用户授权同意数据进行保护4、记录异常采集行为并告警行为并告警数据传输1、对数据进行加密传输2、定期对数据进行备份3、使用签名、摘要等机制，避免数据被篡改1、对数据进行加密传输2、定期对数据进行备份3、使用签名、摘要等机制，避免数据被篡改一数据存储L应对数据进行加密存储2、定期对数据进行备份3、对数据访问行为进行日志审计1、定期对数据进行备份2、对数据访问行为进行日志审计-数据访问1、对访问数据的用户或应用程序进行认证及权限管控2、遵循访问授权最小化原则3、按照脱敏规则，1、对访问数据的用户或应用程序进行认证及权限管控2、遵循访问授权最小化原则1、对访问数据的用户或应用程序进行认证及权限管控2、遵循访问授权最小化原则对数据脱敏显示4、对异常访问行为进行记录、告警L按照脱敏规则，对数据脱敏后共享2、对数据共享全链1、对数据共享全L对数据共享全链路各环节的权限最链路各环节的权路各环节的权限最数据小化控制限最小化控制小化控制共享3、提供统一的数据2、提供统一的数2、提供统一的娄据共享接口据共享接口共享接口4、定期审计共享行为数据1、进行不可逆销毁1、进行不可逆销1、进行不可逆销毁销毁毁注：其中加密措施要求使用符合安全部门认定的加密算法，如AES等高强度的公开加密算法。第十条【级别变更】数据级别变更应由数据的控制部门或数据安全管理部门发起,在数据定级完成后出现以下情况时,应对相关数据的安全级别进行变更：(1) 因国家或行业主管部门要求，导致原定的数据级别不再适用；(2) 因业务级别发生变化，导致原定的数据级别不再适用。第四章数据项分类分级细则第十一条【数据项细则】详情见数据分类分级细则表第五章附则第十二条【发布修订】本指南由信息安全部负责编制、修订和解释。第十三条【生效时间】本指南自颁发之日起即生效。