数据安全管理规范V1.0.docx

《数据安全管理规范V1.0.docx》由会员分享，可在线阅读，更多相关《数据安全管理规范V1.0.docx（9页珍藏版）》请在课桌文档上搜索。

1、版本号：VIO附件畋：O密圾；内部数据撰写人：由核人：审批人:XX数据安全管理规范V1.0目录1 .目的2 .范围33 .规范性引用文件34 .术语和定义35 .保密一级数据的安全管理要求35.1. 数据生成35.2.数据传输45.3.数据使用41. 4.数据存储55. 5.数据销毁56 .保密二级数楙的安全管理要求66. 1.数据生成67. 2.数据传输68. 3.数据使用79. 4.数据存储710. 5.数据销毁87 .内部级数据的安全管理要求87.1. 数据生成87.2. 2.数据传输87.3. 数据使用97.4. 数据存储97.5. 5.数据销毁98 .公开级数据的安全管理要求91.

2、1.数据生成98. 2.数据传输IO9. 3.数据使用1010. 4.数据存储IO11. 5.数据销毁Il1.目的本规范旨在为XX控股集团有限公司（以下简称“XX控股”）及各板块公司的数据安全管理提供参考标准,以明确不同级别数据的安全管理要求,保障数据资产的安全性.21SBl本规范适用于XX控股集团及各板块公司的全体员工，含线下零件板块、互联网板块、智能手机、智能制造、金融投资板块、地产板块以及电器各分公司.3规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件.仅注H期的版本适用于本文件.凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件.4GB/T222

3、39-2008信息系统安全等级保护基本要求3B2288282012倍息安全技术公共及商用服务信息系统个人信息保护指南台4电信和互联网用户个人信息保护规定（工业和信息化部令第24号）HSO27001:2013信息技术安全技术信息安全管理体系要求ISO27001:2013伯恩技术安全技术估息安全控制实用规则，术语和定义（1）保密一级：包含公司最高度故停数据,关系公司未来发展的前途命运,如果一旦池露会使公司受到严羽损害，对公司根本利益有籽决定性的影响.（2）保密二级：包含公司的敏落数据,如果一旦泄乐会使公司的安全和利益受到呼重损害.（3）内部数据：仅能在公司内部或在公司内某一部门内公开的数据，对外扩

4、散有可能对公司的利益造成损宙。（4）公开数据：可对社会及公众公开的数据-5 .保密一At数据的安全管理要求5.1.本项要求包括：a）保密一线数据的生成（或创建）应在公司内部安全的系统及环境中进行.b）保密一徽数据的录入应采取双人机制,一人操作,男一人进行复核，并做好数据杀入的登记。c）保密一级数据的采集需求（含系统接I的调用、人工的数据收集或提取）应经相关而任人、制门负贡人、公司领导及集团做导批准.d）对于个人信息（含内部员工个人信划、客户信息）的收集.应具有特定、明确、合理的目的，e）收柒个人信息前，应采用个人易知悉的方式，向个人明确告知和警示处理个人信息的目的、收集方式和手段、收集的具体内

5、容和留存时间、个人信息的使用范阚等.f）应只收集能纺达到已告知目的的最少信息.x）应采用已告知的手段和方式向个人收集,不采取隐蔽手段收集个人信息.5.2. Mr本项要求包括：a）应用系统间需要传输保率一级数据的，应建立数据安全传输的相关方案，并经相关贲任人、部门负贲人.安全管理部门及公司电导批准,按照批准后的方案实施.b）保密级的电子介旗及纸顺文档应以安全的方式，由专人负责传递，并做好发送及接收的双向登记c）保密一级的电子文档在公司内部传输,应采取适当的加密方式（例如,压缩加密等）进行传输，d）未经个人信息的主体明确同:6.或法律法规明确规定或未经主管部门同选,不得向其他个人、组织技寤本公司获

6、取及处理的个人借&.5.3.本项要求包括：a）应针对保密级数掘的使用建立逐级审批制度,明确保密一级数州在板块公司内部、各板块公司间及对外使用时的申请审批程序，并按照审批程序执行审批过程，井保留审批记录.b）所有访问保密一级信息的内部员J1.和外部人员应在访问信息之前签署保密协议，针对外部人员还应与其所属组织签订保密协议。c）原则上,保密一级数据不得外发,确仃露要.应按照逐级审批制度进行审枇,最终应经集团领导批准，并保留审批记录：适当时，应对保诙一级数据进行脱批处理，方可提供给外部组织或人员使用.d）保密一徵数据应仅能被寿到授权的极少数核心人员访问，访问者应与公司签潜保密保密。e）对保密一级数据

7、的使用应得到相关费任人、部门负费人和本公司管理层的批准.f）对保密一徼数据的使用应进行登记.X）时于可利用的保密一级纸质文件禁止再利用。h）对于个人信息的使用应不违背收集阶段已告知的使用目的,或超出告知范用对个人信息进行处理。i）保证个人信息的使用过程中，个人信息不被任何与使用目的无关的个人和飙税获取,j）应在人员时窗或离职时，及时收回其使用、保管的本公司数据资产.5.4.本项要求包括：a）电子类文档应加密存储在安全的计算机系统内：b）纸质类文件应锁在安全的保险柜内，禁止以其他形式存储或显.示.C）电子类文档应有专人进行定期（每周）备份,备份介质应放置在防磁柜中保管弁上锁，d）纸质类文件的保留

8、其副本.并锁在安全的保陵柜内.5.5. 敷福箱毁本项要求包括:a）应建立存储介质报咙及销也的相关管理制度及流程，并做好申请审批记录及销费量记.b）保密一级数据的存储介质的报废应采用消槌机进行销毁.c）保需一级的纸侦文件不再使用时，应采用碎纸机进行销毁。6 .保密二锻数据的安全管理要求6.1.本项要求包括：a）保密二锻数据的生成（或创建）应在公司内部安全的系统及环境中进行.1）保需：级数据的录入可根据衢要采取双人机制，一人操作，另人进行我核，并做好数据录入的登记.C）保密二汲数据的采集褥求（含系统接II的调用、人工的数据收集或提取）应经相关责任人、部门负成人及公司领导批准.d）对千个人信息（含内

9、部员工个人信息、客户信息）的收集应具有特定、明确、合理的目的.C）收集个人信息前,应采用个人易知悉的方式，向个人明确告知和警示处理个人信息的目的、收集方式和手段、收集的具体内容和留存时间、个人伯恩的使用范困等.f）应只收集能纾达到己否知Il的的以少信息，g）应采用已告知的手段和方式向个人收集,不采取隐蔽手段收集个人信息.6.2. ftX1t本项要求包括：a）应用系统间需要传输保密二级数据的，应建立数据安全传愉的相关方案，并经相关揖仔人、部门负觉人及安全管理部门批准，按照批准后的方案实施。b）保密:级的电子介质及纸质文档应以安全的方式.由专人负费传递,并做好接收登记.C）保密二级的电子文档在公司

10、内部传输，应采取适当的加密方式例如，压缩雨带等）进行传输.6.3. 敷福使用本项要求包括：a）应针对保密：级数据的使用建立逐级审批制度，明确保密：线数据在板块公司内部、各板块公司间及对外使用时的申谛审批程序，并按照审批程序执行审批过程，井保留审批记录.1）所有访问保密：级信息的内部员工和外部人坊应在访问信息之前签署保南协议，针对外部人员还应与其所好组织签订保密协议.C）适当时,应对保密二级数据进行脱械处理，方可提供给外部组织使用.d）保率.ifi数据仅能被得到授权的少数正要人员访问.e）对保密二级数据的使用应得到相关责任人、部门负贲人的批准.f）对保密：级数据的使用应有登记。K）时于可利用的保

11、密二级纸质文件禁止再利用。6.4. 敷据存储本项要求包括：a）电子类文档应设置密码保护，井存储在安全的计制机系统内，计口机系统应设置符合口令策珞要求的高强度口令。b）纸质类文件附放置在安全区域内的文件柜中保管并上锁禁止以其他形式存他或显示.C）电子类文档应有专人进行定期（每月）番份，符份介侦应放置在文件柜中保管并上锁.d）纸质类文件应保留其剧本.并放及在文件柜中保管并上锁，6.5. 数据锄R本项要求包括：a）应建立在饰介质报唆及错毁的相关管理制度及流程，并做好申请审批记录及销毁量记.1）保密：级数据的存储介质的报废应采用消破机、物理俄坏等有效方式进行销置，c）保密二奴的纸质文件不再使用时,应采

12、用碎纸机进行销毁。7 .内部St数据的安全管理要求7.1. 数福生成本项要求包括：a）内部级数据的生成（或创建）应在安全的系统及环境中进行。b）内部级数据的录入应由相关贲任人进行确认.C）内部欲数据的采集需求（含系统接口的诩用、人工的数据也集或提取）应经相关说任人及部门负货人批准。7.2. ft1Kt本项要求包括：a）内部级的电子介质及纸质文档应以打包（包丧）的方式进行传递,并做好发送登记.b）内部级的电子文档在公司内部传输，可根据需要进行加密传输（例如，压缩加密、OFFICE口令保护等17.3.本项要求包括：a）内部级数据可以被木公司内部或外部因为业务需要的人员访问，访问者应与公司签署保密协

13、议。b）对内部数据的使用应得到相关责任人、部门负责人的批准.c）对于可利用的内部级纸质文件可以在内部再利用.7.4. 数据存储本项要求包括：a）电子类文档应存储在安全的计豫机系统内，计算机系统应设置符合口令策略要求的富强度口令.b）册质类文件应放置在安全区域内的文件柜中保管并上钺。c）电子类文档应有专人进行定期（每半年）冬份,饴份介质应放置在文件柜中保管.d）纸质类文件可根据实际甯要保留其副本，并放置在文件柜中保管。7.5. 数据循毁本项要求包括：a）内部段数据的存储介族的报废可米用机盘格式化等方式进行数据精毁.b）内部被数据的纸质文件不再使用时，可采用砰纸机、麻毁等方式进行箱毁.8 .公开毁

14、数据的安全管理聂求8.1. S本项要求包括;a）公开汲数据的生成（或创建）应由相关费任人确认数据是准确的，与相关信息於一致的。b）公开级数据的聚泉需求（含系统接口的询用、人工的数据收集或提取）应经相关责任人审核确认。8.2.本项要求包括：a）公开级的电子介旗及纸侦文档在传递之前，应确认是否被领改.b）公开级的电子文档在传递（或发布）之前,应确认是否被缠改，并按照公司的对外信足发布相关流程执行。8.3.本项要求包括：H）对于公开级数据本公司员工或外部人员、社会公众均可访问.b）对于可利用的公开级纸质文件我再利用无限制.8.4.本项要求包括：a）根据内部管理需要进行保存，应保证其完整性和可用性。b）存档部门及使用部门根据需要自主决定是否进行饴份.8.5.本项要求包括：a）公开级数据的存储介侦的报废可采用删除、底盘格式化等方式进行数据消除,b）公开绘数据的纸版文件不再使用时，可我用碎纸机、就毁等方式进行销会.