《数据安全管理办法》由会员分享,可在线阅读,更多相关《数据安全管理办法(10页珍藏版)》请在金锄头文库上搜索。
1、数据安全管理办法第一章 总 则第一条 为规范中国某集团有限公司(以下简称集团公司)数据安全管理,确保实现数据价值的同时,保障数据安全,根据国家有关规定要求,结合集团公司实际情况,制定本办法。第二条 本办法所指数据是指通过计算机、网络收集、存储、传输、处理和产生的各种电子数据。第三条 数据安全管理是指在数据采集、存储、处理、分发、删除等数据活动中,为确保数据的保密性、完整性和可用性而提出的数据安全管理要求。第四条 本办法适用于集团公司总部,各分子公司、直属机构、基层企业本办法适用于集团公司总部,各分子公司、直属企业机构、基层企业,总部各部门。第五条各分子公司可依据本办法制定本单位的实施细则。第二
2、章 职 责第六第五条 集团公司信息中心是数据安全管理的归口管理部门,负责本办法的具体实施。主要职责如下:(一)建立健全集团公司数据安全管理体系和技术体系,不断完善集团公司数据安全管理规章制度和技术标准,并监督、考核落实情况;(二)组织制定数据分类分级指南,与相关业务部门合作,确定数据的安全级别。指导、协调各分子公司数据安全管理工作;(三)综合考虑法律法规、政策、标准、数据分析技术水平、组织评估数据安全风险,制定数据安全基本要求;(四)负责集团公司总部数据的安全管理工作,通过采取必要措施,防范数据安全事件发生;(五)集团公司党组安排的其他数据安全管理工作。第七第六条 集团公司总部业务部门配合信息
3、中心开展数据安全管理工作。第八第七条 分子公司信息化主管部门是本公司数据安全管理的归口管理部门。主要职责如下:(一)组织落实集团公司有关数据安全管理的规章制度和部署要求,组织制定本公司数据安全管理相关细则,组织做好公司本部及所管理企业的数据安全管理工作;(二)负责公司本部数据的安全管理工作,通过采取必要措施,防范数据安全事件发生;(三)集团公司安排的其他数据安全管理工作。第九第八条 分子公司业务部门配合信息化主管部门开展数据安全管理工作。第十第九条 基层企业信息化主管部门是本公司信息系统安全管理的归口管理部门。主要职责如下:(一)组织落实上级公司有关数据安全管理的规章制度和部署要求,组织做好本
4、公司的数据安全管理工作;(二)负责本企业的数据安全管理工作,通过采取必要措施,防范数据安全事件发生;(三)上级公司安排的其他数据安全管理工作。第十一条 基层企业业务部门配合信息化主管部门开展数据安全管理工作。第三章 数据安全管理第十二第十一条 数据安全管理坚持职责明确、安全合规、保障质量、数据最小化、最小授权、可追溯审计的基本原则,确保在整个数据生命周期活动中,数据的保密性、完整性和可用性。第十三第十二条 数据采集。(一)数据采集的目标是获得数据。数据采集的方式包括但不限于网络数据采集、从其他组织获取、通过传感器获取、系统数据。数据采集的主要操作包括但不限于发现数据源、传输数据、生成数据、缓存
5、数据、创建元数据、数据转换、数据完整性验证等。(二)组织开展数据采集时,要明确采集数据的目的和用途,明确数据采集源和采集数据范围;要遵循合规原则,确保数据采集的合法性、正当性和必要性;要遵循数据最小化原则,只采集满足业务所需的最少数据;要遵循保障质量原则制定数据保障质量的策略、规程和要求;要对采集的数据进行分类分级标识,并对不同类和级别的数据实施相应的安全策略和保障措施;对数据采集环境、设施和技术采取必要的安全管控措施。第十四第十三条 数据存储。(一)数据存储是指将数据静态保存在数据平台。存储的数据包括采集的数据、分析和处理的结果数据等。数据平台可以是关系数据库、非关系数据库等,应支持对不同类
6、型和格式的数据存储,且提供多种数据访问接口,如文件系统接口、数据库接口等。数据存储的主要操作包括但不限于数据编解码、数据加解密、冷热数据分级存储、数据归档持久存储、数据备份、数据更新、数据访问等。(二)组织开展数据存储时要将不同类别和级别的数据分开存储,并采取物理或逻辑隔离机制。要确保存储架构安全、逻辑存储安全、存储访问控制、数据副本安全、数据归档安全、数据时效性管理等方面;要建立数据存储冗余策略和管理制度,及数据备份与恢复操作过程规范。第十五第十四条 数据处理。(一)数据处理是指通过数据分析和数据可视化等技术从数据中提取信息,提炼出有用知识和价值的系列操作。数据处理的主要操作包括但不限于数据
7、查询、数据读取、数据索引、批处埋、交互式处理、流处理、数据统计分析、数据预测分析、数据关联分析、数据可视化、生成分析报告等。(二)组织开展数据处理时,要依据数据保护的法律法规要求,明确数据处埋的目的和范围;要建立数据处理的内部责任制度,保证分析处理和使用数据不超出数据使用的目的和范围;要遵循最小授权原则,提供数据细粒度访问控制机制;要确保分布式处理安全、数据分析安全、数据加密处理、数据脱敏处理、数据溯源等几个方面要求;要遵循可审计原则,记录和管理数据处理活动中的操作;要对数据处理结果进行风险评估,避免处理结果中包含可恢复的敏感数据。第十五条 数据分发。(一)数据分发是指将原始数据、处理的数据等
8、不同形式的数据传递给企业内部其他角色、外部实体或公众等。数据分发的主要操作包括但不限于数据传输、数据导出、数据交换、数据交易、数据共享等。(二)组织开展数据分发时,要遵循责任不随数据转移原则;在数据分发前,要对数据进行风险评估,确保数据分发后的风险可承受,并明确数据接收方的数据保护责任;在数据分发前,要对数据的敏感性进行评估,根据评估结果对需要分发的敏感信息进行脱敏操作;要遵循可审计原则,记 录时间、分发数据、数据接收方等相关信息;要评估数据分发中的传输安全风险,确保数据传输安全;要提供有效的数据安全共享机制;要建立数据发布的审核制度,严格审核发布信息符合相关法律法规要求。明确数据发布的内容和
9、范用,对发布的数据开展定期审核。第十五第十六条 数据删除。(一)数据删除是指删除数据平台上的数据及其副本。数据删除的主要操作包括但不限于删除元数据、删除原始数据及其副本、断开与外部实时数据流的链接、删除数据的访问接口、不可恢复的数据销毁等。(二)组织开展数据删除时,应删除超出数据留存期限的相关数据,对留存期限有明确规定的,按相关规定执行;要依照数据分类分级建立相应的数据删除机制,明确需要进行数据销毁的数据、方式和要求,明确销毁数据范围和流程;要遵守可审计原则,建立数据删除策略和管理制度,记录数据删除的操作时间、操作人、操作方式、数据内容等相关信息。第四章 附 则第十六第十七条 本办法由集团公司信息中心负责解释。第十七第十八条 本办法自发布之日起执行。1
