公司数据安全管理办法模板

公司数据安全管理办法

编制 版本

修订记录

版本 修订章节 修订内容概述 修订日期 修订人

目录

第一章总则....................................................................................................................................... 4 第二章机构与人员 ........................................................................................................................... 6 第三章数据安全合规 ....................................................................................................................... 8 第四章数据分类分级 ..................................................................................................................... 11 第五章数据全生命周期管理 ......................................................................................................... 15 第六章基础安全管理 ..................................................................................................................... 30 第七章问责与处罚 ......................................................................................................................... 33 第八章附则..................................................................................................................................... 33 附录 ................................................................................................................................................ 34 附录一公司数据安全保护清单 ........................................................................错误!未定义书签。 附录二公司数据安全自评表 ............................................................................错误!未定义书签。 附录三《关键系统数据安全责任承诺书》模板 ......................................................................... 34 附录四安全事件违规行为及对应的违规事件级别 ..................................................................... 38

第一章总则

第一条目的及依据

为加强公司数据安全管理，构建强有力的数据安全保障体系，维护、社会公共利益，保护用户合法权益，保障公司数据资产安全及业务健康发展，根据《中华人民共和国网络安全法》，以及国家相关法规及制度要求，参照《信息安全技术个人信息安全规范》等国家标准，制定本办法。作为本公司各相关部门实施数据安全管理工作的依据。 第二条管控对象

本规范的管控对象为公司运营过程中通过网络收集、存储、传输、处理和产生的各种电子数据（以下简称“数据”）包括公司源数据、客户隐私数据、生产过程数据、测试数据、产品数据以及保证生产经营活动正常运转的支撑数据、业务平台数据、数据分析平台系统、数据业务服务及相关人员组织等。

第三条基本原则

保障公司数据安全，总体来说应遵循以下基本原则：  主体责任明确原则：明确责任分工，落实公司业务和平台的数据安全主体责任。

 协同治理原则：保障数据安全是公司的目标，安全职责

应体现在所有相关部门，对于出现的安全问题，所有相关部门均应履行相应的安全职责并承担相应的责任。  服务最小化原则：在向公司内部、平台、第三方合作伙伴共享开放数据时，应仅提供业务开展明确需要的数据属性、标签属性及规模。

 分类分级管控原则：对公司数据进行分类分级，根据敏感程度不同，采取适当的、与安全风险相适应的管控措施和技术手段，保障数据安全。

 用户知情同意原则：收集、使用客户信息时，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经客户信息主体同意。

 安全三同步原则：在承载数据的相关平台系统的设计、建设和运行过程中，应做到数据安全保护措施的同步规划、同步建设、同步运行。 第四条适用范围

本规范适用范围为公司各部门。

本规范中所述第三方合作伙伴是指除公司外的第三方。本规范中所述的网络和内网均指生产网环境非办公网环境。办公网环境数据安全遵照公司的办公数据安全相关管理办法执行。

本规范的解释权属于公司。

第二章机构与人员

第五条网络安全领导小组的职责

公司网络安全领导小组在控股公司网络安全领导小组的统一领导下，负责开展本单位的数据安全管理工作。

网络安全领导小组的主要职责包括：

（一）负责数据安全保护工作的全面统筹指导； （二）审核和批准数据安全保护相关管理规定； （三）对数据安全保护工作的支持，提供必要资源（人、财、物）等；

（四）负责监督数据安全泄密事件的查处；

（五）负责统一对上级单位或部门报告数据安全突发事件情况等工作。 第六条运维中心的职责

运维中心是数据安全归口管理部门，负责整体数据安全的统筹管理，其相关职责如下：

（一）负责数据安全资产清单管理，统一维护公司数据安全资产清单库，牵头各部门开展数据资产的清查及管理工作；

（二）负责牵头各部门开展数据安全审计、数据安全合规性评估等监督检查工作；

（三）负责督促协调各相关部门建立数据安全技术保障措施。如督促协调严格落实操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施；

（四）负责所运维的涉及数据的系统和平台技术层面的数据安全保障和稽查工作；

（五）负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责；

（六）负责系统层面数据安全的日常管理和审核工作； （七）负责开展数据安全教育培训，培训内容包括但不限于数据安全管理与用户个人信息保护相关法律法规、标准制度、安全责任、知识技能等；

（八）协助数据安全泄密事件的查处；

（九）协助对与公司合作的第三方管理，包括协助开展第三方安全资质审查，综合评估第三方的数据安全保障能力等。

第七条涉及数据安全的业务部门的职责

（一）明确数据安全主体责任，建立落实数据安全保护的管理、技术、组织保障措施；

（二）协助数据安全归口管理部门开展数据资产的清查及管理工作；

（三）协助数据安全归口管理部门开展数据安全审计、数据安全合规性评估等监督检查工作；

（四）负责主管的业务系统数据安全相关事件上报和处置，协助数据安全归口管理部门进行数据安全事件的查处。 （五）按照数据安全管控原则，合理设置相关业务人员岗位、角色、权限及职责；

（六）负责落实主管业务的合作伙伴数据安全管理，包括做好合作伙伴背景调查和安全资质审查、综合评估业务合作伙伴的数据安全保障能力、签订数据安全保密协议、明确数据安全违规的处罚措施和违约责任、加强数据操作管理等； 第其他相关部门的职责

（一）人力资源部门：组织员工签订保密承诺书，及时发布人员岗位变动、入离职的信息同步给帐号管理部门，协同组织数据安全教育培训工作，参与对数据泄密人员的查处； （二）采购、合规管理部门应在采购、合同管理阶段，审核数据安全保护的要求，在合同中纳入数据安全保密条款；

第三章数据安全合规

第九条数据安全“三同步”

为保障公司生产运营中数据安全，落实业务安全“三同步”

的要求，应在公司数据生产运营流程的关键环节，采取必要的安全控制措施，实现公司敏感数据可管可控。

（一）数据系统规划设计阶段

在数据系统规划设计阶段应全面梳理数据运营平台及系统安全需求，明确相关资源，对敏感数据泄露、身份认证缺陷等安全风险进行分析、评估，设计整体数据运营平台系统安全保障方案，做好系统安全方案设计和方案评审两个环节的安全控制。

（二）数据系统建设开发阶段

在数据系统建设开发阶段在设备采购、系统开发、测试验收、上线试运行四个环节做好安全控制，落实整体安全保障方案。

（三）数据系统运行维护阶段

在数据运营运行维护阶段应做好数据运营系统和平台的监测、访问控制、账号管理、补丁更新等安全管理工作；落实日常安全监测与保障，建立应急处置机制，保证数据业务的连续运行；建立退出服务机制，确保不符合生产环境的应用系统安全退出服务。 第十条数据泄露应急处理

（一）公司内部部门工作人员发生数据泄漏，应停止账号使用并回收操作权限，报告分管部门领导和数据安全归口管理专员，并保留相关日志记录，配合归口管理专员开展调

查和责任追究。事件严重的要按照相关的管理要求，上报公司网络安全工作办公室进行处置。

（二）第三方人员发生数据泄漏，应立即停止其操作权限，再向泄漏人员追讨数据，并报告分管部门领导和数据安全归口管理专员，根据实际需要采取向第三方厂商通报、追责等处理措施。事件严重的要按照相关的管理要求，上报公司网络安全工作办公室进行处置。

（三）由于非人员因素，例如，黑客攻击等原因造成的数据泄露，涉及的业务系统应立即采取包括网络封堵、关停服务等措施避免数据的进一步泄露，报告数据安全管理专员和部门领导，保留相关日志记录，配合数据安全管理专员开展问题调查。问题严重的要按照公司安全管理制度要求，上报公司网络安全办公室或网络安全领导小组进行处置。 第十一条数据资产管理与报送

涉及数据安全的部门应明确各自部门数据安全归口管理人员，配合数据安全归口管理部门开展数据资产的清查和梳理工作，负责各自部门业务或系统的数据安全资产的清查和管理，并对清查和梳理的结果进行记录、管理，按照附录《公司数据安全保护清单》填写，确保资产管理的规范性、统一性。

第十二条数据安全审计

数据安全审计是通过管理和技术两种手段，检查公司的数据安全策略和数据安全风险控制措施的执行情况以及发现安全风险，保障业务连续运转的过程。安全审计的范围应包括与公司数据安全相关的所有范畴，包括各类数据资产、业务流程、支撑生产经营活动正常运转的各类网络设备操作日志、部门以及人员（管理层、员工、用户、第三方等）等，同时还包括保障正常生产经营活动连续运转的应急响应及恢复机制。

涉及数据安全的部门应根据各自部门的实际情况配合数据安全归口管理部门定期或按监管要求开展数据安全风险评估、数据安全合规性评估等监督检查工作，按照《公司数据安全自评表》至少每年开展一次安全风险自评。

各相关部门负责数据安全审计的人员应对审计情况进行汇总，梳理存在问题，通报结果，对发现的重大安全隐患或违规行为，应向部门管理层汇报。

公司各部门的安全审计活动和后续整改工作应被正式记录并保存。

第四章数据分类分级

为了能够更好的保护数据安全，公司应对敏感数据进行分类分级，从而可以针对不同种类和敏感级别的数据制定差异化的安全控制策略。

各部门要结合各自部门业务的实际情况，梳理各自部门涉及的数据并明确具体数据的分级。针对较敏感级（含）以上的数据必须分析其存在的风险并制定落实具体的安全管控措施，避免数据泄露、被窃取、篡改和滥用事件发生。 第十三条数据分类详细信息

根据公司数据运营和开放服务的特点，结合有关部门规范的规定和要求，将公司数据运营涉及的敏感数据分为四类。

类别 子类 范围 对应数据 A．用户身A1.用户身A1-1：自然客户姓名、证件类型及号码、驾照编号、银行账户、份和鉴权份和标识信人身份标识 客户实体编号、客户名称、客户负责人\\联系人信息信息 息 等可以精确标识定位具体实体客户的信息 A1-2：网络联系电话、邮箱地址、网络客户编号、即时通信账号、身份标识 网络社交用户账号等可以精确标识网络用户或通信用户的信息 A1-3：用户客户职业、工作单位、年龄、性别、籍贯、兴趣爱好基本资料 等；客户所在省市、所在行业、签约时间及协议到期时间、单位成员个人基本资料等 A1-4：实体身份证、护照、驾照、营业执照等证件影印件等；指身份证明 纹、声纹、虹膜等 A1-5：用户揭示个人种族、家属信息、居住地址、宗教信仰、基因、个人健康、私人生活等有关的用户私密信息 私密资料 《征信业管理条例》等法律、行规规定禁止公开的用户其他信息 A2：用户网络身份鉴权信息 A2-1：用户用户网络身份密码及关联信息 密码及关联信息 B．用户数据及服务内容信息 B1：服务内容和资料数据 B1-1：服务服务内容数据； 内容数据 互联网服务内容信息：包括：移动互联网服务所涉及通话内容、及时通信内容、群内发布内容、数据文件、邮件内容、用户上网访问内容等；用户云存储、IDC等存储或缓存的非公开的私有文字、多媒体等资料数据信息 B1-2：联系 人信息 C．用户服务相关信息 （D类）企D1:企业管理业运营 管理数据 数据 (D1-1)：企业内部核心管理数据、(D1-2):企业内部重要管理数据、(D1-3)：企业内部一般管理数据、(D1-4)：市场核心经营类数据、(D1-5)：市场重要经营类数据、(D1-6)：市场一般经营类数据、(D1-7)：企业公开披露信息、（D1-8）企业上报信息 D2:业务运营数据 D3:网络运维数据 (D2-1)：重要业务运营服务数据、(D2-2)：一般业务运营服务数据、(D2-3)：公开业务运营服务数据(D2-4)：数字内容业务运营数据 (D3-1)：网络设备及IT系统密码及关联信息、（D3-2)：核心网络设备及IT系统资源数据、(D3-3)：重要网络设备及IT系统资源数据、(D3-4)：一般网络设备及IT系统资源数据、(D3-5)：公开网络设备及IT系统资源数据、(D3-6)：公开网络设备及IT系统支撑据 D4:合作伙伴数据

第十四条数据分级及管控原则

根据数据敏感程度，遵循原则，即，同一批数据中各属性或字段的分级不同，需要按照定级最高的属性或字段的级别一并实施安全管控，将数据划为四个敏感级别，敏感级别从高到底依次为极敏感级（4级）、敏感级（3级）、较敏感级（2级）和低敏感级（1级）。

类别 定位 极敏感级 子类及范围 （A1-4）实体身份证明、 （A1-5）用户私密资料、 （A2-1）用户密码及关联信息 管控原则 应实施严格的技术和管理措施，保护数据的机密性和完整性，确保数据访问控制安全，建立严格的数据安全管理规范以及数据实时监控机制。 第4级 第3级 （A1-1）自然人身份标识、 （A1-2）网络身份标识、 （A1-3）用户基本资料、 敏感级 （B1-1）服务内容数据、 （B1-2）联系人信息、 （C1-2）服务记录和日志、 （C1-4）数据、 较敏感级 （C1-3）信息和账单、 （C2-1）设备标识、 （C2-2）设备资料、 （C1-1）关系 （C1-5）记录数据 应实施较严格的技术和管理措施，保护数据的机密性和完整性，确保数据访问控制安全，建立数据安全管理规范以及数据准实时监控机制。 第2级 应实施必要的技术和管理措施，确保数据生命周期安全，建立数据安全管理规范。 应实施基本的技术和管理措施，确保数据生命周期安全。 第1级 低敏感级 表2数据分级及管控原则

第五章数据全生命周期管理

数据全生命周期分为采集、存储、传输、使用、共享和销毁六个环节。各数据的责任部门要根据所管数据的分级和所处的环节以及面临的具体安全风险，制定并落实有针对性的数据安全管控措施。 第十五条数据采集安全

（一）各部门应加强线上、线下等数据收集环节管控，通过配备技术手段、签署保密协议等措施，加强对数据收集人员、设备的管控，保障收集数据安全。通过第三方等其他途径获得的敏感数据，与直接收集的敏感数据负有同等的保护责任和义务。

（二）各部门通过线上渠道等方式收集使用客户信息时，应当制定并公开收集使用规则，收集使用规则应明确具体、简单通俗、易于访问。且仅当用户知悉收集使用规则并明确同意后，方可收集客户信息，同时向用户提供查询、更正、删除等多种参与用户信息处理的渠道，并予以公告。

（三）各部门不得收集其提供服务所必需以外的客户信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行规以及双方的约定收集、使用信息。

（四）在用户终止使用服务后，应当停止对客户信息的收集和使用，并为用户提供注销号码或者账号的服务。针对违反双方约定收集、使用客户信息的，或收集、存储客户信息有错误的情况，用户提出删除或更正要求的，各单位应采取措施予以满足。

（五）各部门在用户同意收集保证业务系统核心业务功能运行的客户信息后，应当向用户提供核心业务功能服务，不得因用户拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

（六）App收集使用客户信息前，应发布性、易读性的隐私文本。隐私应至少包括以下内容：

1.隐私应向客户信息主体明示收集客户信息的目的、方式、范围，并显著标注所收集客户信息类型；

2.明确运营者基本情况、客户信息存储地域、保存期限、超期处理方式以及收集客户信息、使用客户信息的规则；

3.明示客户信息保护措施和能力，用户查询、更正、删除客户信息的途径和方法，用户投诉渠道和反馈机制；

4.隐私发布、生效或更新时间；

5.对外共享、转让、公开披露客户信息规则； 6.第三方SDK、Cookies技术等。

7.App所申请的客户信息相关权限不应超出隐私中说明的范围。在收集权限时需征得用户自主选择明示同意。当用户同意App收集某服务类型的最少信息时，App不得因

用户拒绝提供最少信息之外的客户信息而拒绝提供该类型服务。

App不得收集与所提供的服务无关的客户信息，不得通过捆绑多项业务功能方式要求用户一次性接受并捆绑授权。

8.采集环节分级管控要求如下

类别 第1级 第2级 物理监 控 第3级第4级 针对数据采集重要区域，部署全天候视频监控记录手段。 物理防 护 对重要系统实施机柜上锁等物理防护手段，必要时可实施机房内分区隔离措施。 人员访针对机房内实施或第三方参与的操作，安排内部人员现场监督，做好问管理 操作步骤记录和事后审计。 待采集数据保 待采集数据采取数据加密保护。 护 待采集数据留 待采集数据不得私自留存。 存 采集账依据权限最小化原则分配采集账号权限，并通过内网管控实现账号认号权限证和权限分配，不得采集提供服务所必需以外数据。 管理 采集设对采集设备IP地址，Console、USB端口访问进行，对采集设备接备接入入进行认证鉴权。 管理 采集监记录采集日志，对重复采集、采集异常、传输量超过设定阀值情况进控告警 行告警。 表3采集环节分级管控要求

第十六条数据传输安全

根据数据业务流程和职责界面等情况，采取信道加密、数据完整性校验、接入鉴权、建立专线等管理和技术手段，保障数据传输安全。

（一）强化传输接口安全管控，应采取系统间接口的设备鉴权、通过MAC地址、IP地址或端口号绑定、访问控制策略等方式违规设备接入。

（二）数据传输双方均应保留日志记录，以备审计，对于非法访问应进行告警并保存完整的日志记录；

（三）建立包括数据加密、通道加密、完整性校验等手段的数据传输保护机制。对于跨越互联网或不同等级安全域之间的数据传输，必须进行加密，保障数据传输安全；

（四）对于敏感级及极敏感级数据应禁止未经授权通过生产主机以任何方式在生产内网或向互联网传输或开放；严禁使用非工作邮箱、微信、QQ等社交产品进行传输；禁止采用U盘等移动介质方式传输。

（五）传输环节分级管控要求如下：

类别 第1级 第2级 第3级 第4级 数据线加强数据线下交互的过程管控，对数据线下交互建立审批机制及操作下交互流程，要求对线下交互数据采取加密脱敏、物理封装等防护手段，防过程管止数据被违规复制、传播、破坏等。 控 网络边界全防在网络边界上针对数据流向做好隔离封堵的。 护 除满足第1级数据传输保对传输通道采取护要求外，需要符合如下除满足第2级数据传输保合理的加密技术要求： 护要求外，需要符合如下手段，对数据报1、对于跨安全域的数据传要求： 文实施来源正确数据传输，应采用加密或其他有1、在检测到传输过程中性的鉴别处理，输保护 效措施实现传输保密性； 数据完整性错误时采取必能够检测重要数2、提供关键网络设备、通要的恢复措施； 据在传输过程中信线路和数据处理系统的2、应采用加密或其他有完整性是否受到硬件冗余，保证系统高可效措施实现传输保密性。 破坏。 用性。 表4传输环节分级管控要求

第十七条数据存储安全

数据存储是数据内部处理过程,应采取合理的管理和技术措施,保障数据的完整性和可用性，避免敏感数据内部泄露风险。具体来说应包括但不限于以下措施：

（一）对于较敏感级（含）以上数据，按照实际系统需要，在存储时充分利用模糊化等脱敏措施。

（二）依据相关要求，原则上，极敏感级数据要加密存储，并按照有关规定选择适当的数据加密算法。业务系统要进行风险评估以文档化的方式明确较敏感级（含）以上数据在存储时是否需要采取加密措施。

（三）敏感数据仅可存储在指定设备,并提供数据完整性校验机制，保障数据的可用性和完整性，严禁使用私人存储介质；

（四）对存储用户个人信息的信息系统实行接入审查，并

采取防入侵、防病毒等措施。

（五）应建立数据容灾备份和恢复机制，在发生数据丢失或破坏时，可及时检测和恢复数据，保障数据的可用性和连续性；

（六）应对存储设备及基础设施做好安全防护，建立数据存储设备操作终端的接入鉴权机制，设置平台侧访问控制策略，配置安全基线、部署必要的安全存储技术手段等，定期实施安全风险评估及整改；;

（七）针对多租户数据的共享存储需求，应建立安全管控策略，保证多租户数据共享存储安全;

（八）存储环节分级管控要求如下

类别 第1级 第2级 第3级 第4级 数据存对不同安全等级的数据进行隔离存储，并在各自存储区域之间做好严格储隔离 的访问控制。 1、不同来源数据在融合过程中，要选择能够对接的数据项，融合完成后要保持数据的一致性； 数据封2、系统应具有数据封装等功能，对数据的访问和操作要按照一定的粒装管理 度封装为的服务实体，内外部系统都不能直接访问源数据库，底层数据结构需要严格保密。 除满足第2级要求外，需符合如下要求： 1、应能够检测重除满足第3级数据要数据在存储过传输保护要求外，程中完整性是否数据可需符合如下要求： 受到破坏，并在用性和硬件冗余，保证应进行异地灾难备 检测到完整性错完整性系统高可用性 份、异地实时备误时采取必要的保护 份，提供业务 恢复措施； 应用的实时无缝切2、应采用加密或换。 其他保护措施实现数据存储保密性； 3、应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放； 4、应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。 表5存储环节分级管控要求

第十数据使用安全

（一）数据使用通用安全管理要求

 使用数据时，应遵循原则，使用方必须明确具体的数据需要，并保证相关数据不泄露和被滥用。

 数据提供方应建立数据使用审核机制，明确数据使用中的安全要求。对较敏感级（含）以上数据应进行信息模糊化及脱敏处理。

 依据权限最小分配原则做好账号权限管理，对数据平台及业务系统的数据使用操作应纳入生产内网管控，通过生产内网管控实现集中账号授权管理和登录访问控制，关键系统高风险操作应纳入金库模式管控。确保操作有审批，有记录。第三方人员不得直接使用敏感数据。  应保留大数据使用者及其所部署应用程序登录、访问及对数据进行的各种处理操作的日志记录，支持追溯具体

操作时间、对象及内容。同时，应定期开展安全审计；  系统开发测试环境与生产运营环境分离，开发测试过程使用模拟或者样本数据，不包含敏感级（含）以上的真实数据。

 数据操作应尽量避免手工离线操作，而采用线上方式实现，并对批量读取和下载的功能进行授权控制。  应对涉及用户敏感信息的访问和操作进行监测，并对大批量导出等异常操作进行实时告警；

 除非获得用户明确授权，所有离开公司网络与计算环境的敏感数据均需要进行脱敏处理，且应采用安全的算法及流程实施脱敏操作，避免敏感数据被违规还原；且采用不同批次不同参数等方法，避免敏感数据被沉淀积累。 （二）数据使用安全原则

数据使用应遵循“数据服务针对具体业务，由需求方和提供方协商明确业务开展需要的数据属性、标签属性及规模，减少其它无关数据、标签、属性的开放共享，降低多余数据外泄风险。

（三）数据使用审计管理

信息安全管理组定期或不定期牵头组织数据使用安全审计，包括合规性审计和操作日志审计，着重审查敏感数据使用范围和场景与审批结果是否一致，数据分析挖掘过程是否符合安全要求，以及是否满足数据服务最小化、用户知情同意、脱敏开放等原则，及时发现存在的安全隐患，提出有针

对性的整改建议，跟踪整改情况。 （四）数据使用环节分级管控要求如下：

第1级 第2级 第3级 第4级 依据权限最小化原则分配账号权限，通过4A管控等技术手段统一实现账号权限账号认证和权限分配；应使用系统或应用权限分配功能对不同等级的管理 数据设置不同的访问权限，不同用户只能访问与自己职责对应的数据。 1、在数据导入（到第三方租户环境）、用户授权、访问控制、模型训练、数据服务接口、数据导出、操作审计等方面制定相应的第三方数据分析安全管控措施； 挖掘要求 2、防止数据被恶意删除、随意篡改、无约束的滥用，需要对源数据和挖掘结果进行签识。 数据查询对用户敏感信息进行对外查询、展现、统计等操作时，必须经过模糊化展现要求 处理。 数据下载对获取用户敏感信息和本地下载等的敏感操作行为，应采用金库模式，导出要求 进行二次操作审批。 数据转移对于系统间和后台数据的转移/导出行为，应通过管理和技术手段予以要求 严格控制。 1、针对上层大数据应用的访问，应进行应用认证和授权处理； 2、对个人敏感数据访问应进行模糊化除满足第3级要求或脱敏处理； 外，要需要满足如下3、不同应用之间需要求：高风险操作应要进行数据关联性特定要求 遵循金库模式，多人隔离，防止因数据关操作管理，确保单人联分析产生数据泄无法拥有重要数据露； 的完整操作权限。 4、供开发人员使用的测试数据必须经过模糊化处理； 5、移动介质中的数据必须进行加密保护。 类别 表7使用环节分级管控要求

第十九条数据共享安全

公司数据共享包括对内数据共享和对外数据共享。对内数据共享是指公司内部部门或业务系统间的生产数据在生产环境共享；对外数据共享是指向第三方合作伙伴提供数据服务的过程。 （一）数据开放形式

数据提供的形式分别为:原始数据、脱敏数据、标签数据和群体数据。 1.原始数据

原始数据是指数据的原本形式和内容，未作任何加工处理。

2.脱敏数据

脱敏数据是对各类数据所包含的自然人身份或网络身份标识、用户基本资料等隐私属性进行模糊化、加扰、加密或转换后（如：对身份证号码进行不可逆置换，但仍保持相应格式）形成的无法识别、推算演绎（含逆向推算、枚举推算等）、关联分析不出原始用户身份标识等的新数据。 3.标签数据

标签数据是对用户个人敏感属性等数据进行区间化、分级化（如：消费类信息仅区分高、中、低三级等）、统计分析后形成的非精确的模糊化标签数据。模糊处理达标基线是：仅根据模糊化标签属性，无法推理计算匹配到具体个人；且标签数据无法精确描述具体个人实体的任何敏感特征。

对外提供的数据，原则上应尽量输出标签数据。对于标

签数据确实不能满足应用场景需求的情况，可以按照相关要求提供脱敏数据。 4.群体数据

群体数据即群体性综合性数据，是由多个用户个人或实体对象的数据进行统计或分析后形成的数据。如：群体用户位置轨迹统计信息、交易统计数据、统计分析报表、分析报告方案等。根据群体数据，应无法推演、无法与其它数据关联间接分析出个体数据。群体数据中不应包括任何用户身份标识等敏感信息。

（二）对内数据共享服务安全流程（对内数据共享是指公司内部部门或业务系统间的生产数据在生产环境共享）

1.数据需求提出

• 第3级、第4级数据的应用由数据的应用由需求部门、数据源部门与数据处理部门领导共同决策，并报送数据安全归口管理部门审核存档

• 第2级数据及以下应由需求部门、数据源部门与数据处理部门领导审批，并报送数据安全归口管理部门审核存档 2.数据开发

• 数据维护人员应按照保密协议及安全开发操作手册进行数据开发。 3.数据提供

• 开发人员开发生产数据共享接口供生产数据在生产

环境共享；数据维护人员将生产数据提取结果文件上传至生产环境数据共享区域，供数据需求方查看，生产数据不可导出或下载到个人终端电脑；

（三） 对外数据共享服务安全流程 1.对外数据服务形式:

公司提供的数据包括提供标签数据、脱敏数据和群体数据；

2.对外数据服务流程

• 第4级标签数据、脱敏数据、群体数据严禁对外开放； • 第3级标签数据、脱敏数据需要获得用户授权，经过公司网络安全工作办公室审核后（公司办公会或公司呈批均可）方可向业务合作方提供；

• 第2级标签数据、脱敏数据需要获得用户授权，经过公司网络安全工作办公室审核后（公司办公会、公司呈批或跨部门评审会均可）方可向业务合作方提供； • 第1级标签数据、脱敏数据、以及群体数据（包含第3级、第2级、第1级）需要经过公司网络安全工作办公室审核后（公司办公会、公司呈批、跨部门评审会或订单审核均可）方可向业务合作方提供。 3.对外数据服务分级管控：

原则上各个级别按照自身级别的管控要求处理输出。若对外提供的数据中有敏感级别不同的数据，且不能分别处理输出的，则按照高敏感级别数据的管控要求处理输出。数

据对外开放安全管控可依据原则实施管理。

数据级别 严禁输出 所有原始数据、第4级 脱敏数据、标签数据、群体数据 A1-1、A1-2、B1-2群体A1-1、A1-2、B1-2标签第3级 所有原始数据 数据（仅提供数据比对结果） C1-3、D1-3、D1-第2级 6、D2-2、D3-4、D3-6原始数据 第1级 数据 A1-3、B1-1、C1-2、C1-4脱敏数据、标签数据、群体数据 C1-3标签数据、脱敏数据 C1-3标签数据、脱 敏数据 C1-1、C1-5原始 数据 C1-3群体数据 C2-1、C2-2脱敏数据、C1-1、C1-5脱敏数据、标签数据、群体数据 满足条件开放 数据验真 数据开放 可以开放 C2-1、C2-2原始数据 标签数据、群体数据 表6用户数据开放情况总览表

严禁输出：指禁止以任何形式将数据提供给业务合作方。数据验真：指在获得用户授权、通过业务管理部门和信息安全管理组审核的情况下，为业务合作方提供用户身份信息比对服务，输出校验结果。

数据开放：指在获得授权（包括第三方授权）、通过业务管理部门和信息安全管理组审核的情况下，为业务合作方提供相关用户数据和企业运营数据。

可以开放：指在符合脱敏要求的情况下将相关数据提供给业务合作方，

遵守原则，并严格控制开放数据数量。

在数据对外开放中需要注意，各级数据输出应满足以下要求：

➢ 法律法规中明确要求提供的，在出示相应证明后方可提供。

➢ 法律法规中明确要求取得用户授权的，在用户授权后方可提供。

➢ 企业运营管理类数据对外提供应遵循公司商业秘密管理要求

4.对外数据服务闭环流程：

• 合作前，针对合作伙伴的注册资金、股权结构、境内外合作关系、既往合作情况、运营历史背景、信息安全管理制度等进行严格审查 • 并要求提供相应的证明文件

• 合作中，严格遵从规范的合作流程，对接客户需求，进行商务洽谈，配合客户注册成为公司的正式合作伙伴，双方签署数据合作协议和保密协议，明确数据的使用范围和用途，明确双方数据管理责任

• 合作后，建立回访和稽核机制，做好数据访问信息对账，识别问题和风险

第二十条数据销毁安全

对业务下线、用户退出服务、节点失效、过多备份、数据试用结束、超出数据保存期限等情况下的数据销毁操作，应采取合理的技术手段和安全管控措施防止数据泄露。 1、存放敏感级（含）以上数据的存储服务器、磁阵需要替换时，应建立硬盘数据销毁流程，确保数据彻底清除。

2、对涉及敏感级（含）以上数据的业务系统下线方式使用，必须建立处理流程对使用期结束后保存线下数据副本的介质进行处理，应采用可靠技术手段删除该数据，确保信息不可还原。

3、数据销毁环节分级管控要求如下：

类别 第1级 第2级 第3级 第4级 存储介质对存储介质进行物理销毁的监督管理措施，确保对销毁的存储介质有管理 登记、审批、交接等环节的记录。 1、数据删除后应保证系统内的文件、目录和数据库记录等资源所在资源回收的存储空间被释放或重新分配给其他用户前得到完全清除。 管理 2、对于逻辑销毁，需要为不同数据的存储方式制定不同的逻辑销毁方法，并确保当数据存在多个副本时，所有副本均被安全地删除。 1、涉及用户敏感信息的业务系统下线或敏感信息的授权使用到期时用户数据或者在云平台上在资源重新分配给新的租户之前，应采用可靠技术手销毁 段删除敏感信息，确保信息不可还原。 用户退出服务、用户请求删除数据、超出数据保存期限时对数据进行销毁日志及时销毁，对操作过程进行日志记录，建立完善的审计机制并严格执记录要求 行。 数据销毁 特定要求 表8销毁环节分级管控要求

第六章基础安全管理

加强数据所在系统的基础安全管理，是确保数据安全的重要前提。各业务必须依据有关规定开展资源接入公司生产内网、端口服务、安全补丁、账号口令、安全审计等基础管理工作。数据系统设备必须通过安全验收，并接入公司生产内网进行集中维护，严禁未纳入公司生产内网的数据系统设备入网。各级数据系统应建立审计检查工作机制和合规检查机制，并细化制定可落地的工作流程和实施细则。 第二十一条人员安全

人员安全包括公司全部员工和第三方合作伙伴人员安全。公司全部员工安全主要包括签订保密协议、劳动合同中明确数据安全事项、入职安全培训以及定期或不定期组织员工数据安全培训。第三方合作伙伴人员安全应针对不同的访问风险，采取相应的安全管控措施。另外公司全部员工、第三方合作伙伴人员进场时应组织签订《关键系统数据安全责任承诺书》，承诺书模版参见附录三。未完成承诺书签署的人员不得开展相关工作。

第二十二条账号权限管理

1.各级数据系统应完善本账号权限管理办法，明确核心

权限账号的申请、授权、使用、审计、注销等全生命周期安全管理流程。通过加强账号权限管控，避免权限滥用、误用等造成的数据泄露风险。

2.严格控制能够直接接触生产系统的人员范围和数量，并定期分析回收长期未用账号。

3.细分操作场景，梳理敏感指令，明确审核标准，完善权限管控。

4.各级数据系统应将极敏感级数据相关的核心权限账号纳入“金库模式”管控，并定期进行账号权限审计。

第二十三条第三方管理

1.在签订合作协议前对第三方进行背景调查和安全资质审查，综合评估第三方的数据安全保障能力；

2.应与产品和服务提供者签订保密协议，明确数据安全与保密责任及安全责任的惩处规定。未签订保密协议之前，不得接受第三方提供的产品和服务。

3.严格第三方人员账号和权限管理，账号权限满足\"最小化\"要求；加强对第三方人员操作的安全审计，杜绝第三方成为泄露数据的中间人。

原则上禁止对第三方人员分配系统管理员账号及其他涉敏权限账号，如因系统割接、故障抢修、应急处置等活动

确需第三方人员操作敏感数据的，应临时授权并严格监控，留存授权审批记录，工作完成后及时收回权限，并且在事后应对第三方人员操作全量记录进行审计。

4.各级数据系统应强化数据安全风险防控意识，积极推动对员工和第三方合作伙伴的数据安全风险意识教育、培训。 第二十四条纸张和电子介质管理

数据存储介质包括：纸质文档、语音或其录音、复写纸、输出报告、一次性打印机色带、软盘、硬盘、磁带、可以移动的磁盘或卡带、光存储介质（所有形式的媒介，包括制造商的软件发布媒介）。存储介质管理必须遵从以下规定：

1.包含重要、敏感或关键数据的移动式存储介质不得无人值守，以免被盗。例如：物理方式锁闭。

2.删除可重复使用的存储媒介中不再需要的数据。 3.删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。

4.任何存储媒介接入终端进行拷贝行为应具备监控，并保留相应记录，方便审计跟踪。

5.所有存储媒介都应遵照相关法律、法规以及监管要求保存。

第七章问责与处罚

第二十五条本单位员工违规处理

本单位责任人员因数据安全工作存在落实不到位、疏于管理、失职等违规行为，造成数据泄露，产生不良影响的，公司将坚持原则，依照附录四违规事件定级和《公司网络信息安全奖惩管理办法（试行）》进行严肃问责。

责任人员在受到问责的同时，涉嫌违法犯罪的，移送司法机关依法处理。

第二十六条第三方违规处理

对与公司有合作关系的组织或个人，若违反相关的协议和合同，导致发生数据安全事件，应依照合同相关条款进行处罚，其中违反国家的法律、法规，涉嫌犯罪的，依法移交司法机关处理。

第八章附则

第二十七条所有权及解释

本办法由公司网络安全工作办公室、运维中心负责解释与修订。未经允许，任何部门或个人不得将本办法内容部分

或全部泄露给其他单位或个人。 第二十实施

本办法自颁布之日起执行并根据实际需求定期进行修订与补充，在此之前制定的数据安全管理相关办法即行废止，以本办法为准。

附录

注：由于填写维度和内容较多，一个系统或项目填写一个《公司数据安全自评表》

附录三《关键系统数据安全责任承诺书》模板

关键系统数据安全责任承诺书

承诺人愿意承担公司（以下简称“公司”）所提供的岗位职责，为保证该岗位工作的顺利进行，承诺人向公司做出如下承诺：

保密信息：指公司以包括但不限于书面、口头、可视方式向承诺人提供的，以及承诺人利用工作之便利以包括但不限于书面、口头、可视方式所获悉的，公司认为应当予以保密、不欲公开并且适当采取了相应保密措施的，有关公司的客户，以及有关公司及其关联公司（包括公司的母公司、子

公司、参股公司、分公司）的所有信息及其有关载体。

保密信息包括但不限于：任何公司及其关联公司不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准、专有技术秘密和合同/协议条款，和/或其中的任何知识产权。

保密信息具体包括但不限于：

1.有关公司客户的保密信息，包括但不限于客户身份信息、客户位置信息、客户通话记录、客户话单信息、客户短信和彩信内容、客户订购关系等。以上保密信息分别存储于以下系统中：包括但不限于公司各类业务及网管应用平台系统。

2.有关公司及其关联公司可能与公司的客户产生关联的保密信息，包括但不限于有关公司或其关联公司的经营状况、财务状况、人力资源状况、重大决策与行动计划、科研成果和技术秘密等知识产权成果、市场策划、招标投标、合同、网络与系统的保密信息及其有关载体，以及承诺人在任职期间编制、使用或持有的与公司或其关联公司有关的任何保密信息及其有关载体。

承诺人完全理解并且同意，承诺人对上述保密信息只有基于岗位级别和职权范围内的有限的使用权，并没有包括所有权、知识产权及解释权等在内的其它任何权利。承诺人承认公司及其关联公司对于上述保密信息的一切权利和/或利

益。承诺人应根据保护公司利益与保护公司的客户利益的原则，对承载上述保密信息的有关文件、资料和物品予以妥善保管，不得私自复制、泄漏或遗失。承诺人除应妥善保存上述保密信息外，还应采取合理之必要保护措施，防止他人从承诺人处获取上述保密信息。承诺人在离开公司时，应向公司归还上述所有文件、资料和物品。无司的保密制度有无规定或规定是否明确，承诺人均应本着谨慎、诚实的态度，采取一切必要、合理的措施，妥善保存或保管上述保密信息或其载体，维护公司客户以及其关联公司的合法权益。

承诺人完全承认并且同意，公司向承诺人披露本承诺书中保密信息之举不构成公司向承诺人转让、授予任何特许权或其他任何权利。未经公司书面同意，承诺人不得利用上述保密信息进行新的研究和开发。

承诺人完全理解并且同意，仅在本岗位级别和职权范围内的工作中使用保密信息，绝不为与上述工作无关的目的使用保密信息。

承诺人完全理解并且同意，承诺人在为公司履行职务时，不得擅自使用任何属于第三方的保密信息，亦不得擅自实施任何可能侵犯第三方权益的行为。如果由于承诺人违反上述保密承诺而导致公司或其关联公司遭受来自第三方的侵权指控，承诺人应承担公司或其关联公司为应诉而支付的一切费用；如果公司或其关联公司因此而承担侵权赔偿责任，有

权向承诺人进行追偿。

承诺人完全理解并且同意，未经公司的事先书面批准，承诺人将不会直接或间接地以任何形式或任何方式把保密信息和/或其中的任何部分，披露或透露给任何第三方。承诺人亦不会依据保密信息就任何问题向任何第三方提供任何建议。

承诺人完全理解并且同意，公司有权在必要的情况下收回有关文件、资料、物品及其使用权。

承诺人完全理解并且同意，承诺人应对上述保密信息及其任何部分承担严格的保密义务，直至该保密信息失去其保密性质并为公众所知悉之时为止；承诺人的保密义务不因承诺人调离岗位、辞职、被辞退、被开除而终止或解除。

承诺人完全理解并且同意，如果承诺人违反本承诺书中的保密义务，公司有权选择采取以下措施：

1.对承诺人进行内部处理，包括但不限于通报批评、调岗、辞退、开除。

2.对承诺人提起违约或侵权民事诉讼，要求承诺人承担相应的民事责任，包括但不限于赔偿公司或其关联公司在商誉方面或经济方面的损失。

承诺人： 年月日

附录四安全事件违规行为及对应的违规事件级别

违规事件的级别 违规行为 Ⅰ级违规事件 以下行为造成敏感信息泄露等数据安全事件发生或对公司造成经济损失的： 1、擅自买卖、转送或者私自销毁数据的； 2、未经授权利用系统漏洞非法入侵系统查看、篡改、破坏、获取数据的； 3、未经授权擅自或超量使用、复制、传输、发布敏感级及以上级别数据信息的； 如未经授权将敏感级及以上级别信息存储在github、云盘、云笔记、论坛、个人电脑、移动存储介质，通过手机拍照获取敏感信息等； 4、在授权的情况下，因使用不当致使敏感级及以上级别数据信息泄露，并造成损失的； 5、擅自卸载、修改涉密信息系统的安全技术程序、管理程序的； 6、协助非法网络入侵和线下数据泄露活动的； 7、故意泄露或破坏数据的； 8、恶意瞒报数据安全资产、篡改数据资产清单的； 9、不配合开展数据资产的清查及管理工作的； 10、不配合开展数据安全审计、数据安全合规性评估等监督检查工作的； 11、不配合建立数据安全技术保障措施或相关工作未执行到位的； 发生数据安全事件后瞒报、推卸责任、干扰应急恢复处理工作的行为，加重或扩大安全事件的影响范围的 Ⅱ级违规事件 以下行为未造成敏感信息泄露等数据安全事件发生、未对公司造成经济损失的： 1、未经授权擅自或超量使用、复制、传输、发布较敏感级数据信息的； 如未经授权将大量较敏感信息存储在github、云盘、云笔记、论坛、个人电脑、移动存储介质，通过手机拍照获取敏感信息等； 2、在授权的情况下，因使用不当致使大量较敏感级数据信息泄露，未并造成损失的； 3、恶意瞒报数据安全资产、篡改数据资产清单的； 4、不配合开展数据资产的清查及管理工作的； 5、不配合开展数据安全审计、数据安全合规性评估等监督检查工作的； 6、不配合建立数据安全技术保障措施或相关工作未执行到位的； Ⅲ级违规事件 Ⅳ级违规事件 发生数据安全事件后瞒报、推卸责任、干扰应急恢复处理工作的行为，未加重或扩大安全事件的影响范围的 发生数据安全事件后对事件证据进行隐匿、转移、篡改等，阻扰安全事件取证的 以下行为对数据安全造成影响，或给公司造成经济损失，或被上级单位通报的： 1、未经授权擅自或超量使用、复制、传输、发布低敏感级数据信息的； 如未经授权将大量低敏感信息存储在github、云盘、云笔记、论坛、个人电脑、移动存储介质，通过手机拍照获取敏感信息等； 2、在授权的情况下，因使用不当致使较敏感级和大量低敏感级数据信息泄露的； 3、因过失造成数据资产泄露或破坏、数据安全资产漏报或误报的； 4、未按照规定时限报备数据安全资产、开展数据安全审计、数据安全合规性评估等监督检查工作、建立数据安全技术保障措施的； 5、因过失或非主观导致数据安全技术保障措施或相关工作未执行到位的； 6、发生数据安全事件后延迟上报、安全事件调查原因有误、对数据安全事件影响及损失评估有误的; 7、对于运维中心检测发现业务平台存在漏洞，并通知限期整改的、未按照要求进行整改，并未对不整改情况进行说明的。 第二次发生以下行为，但未造成数据安全影响、未给公司造成经济损失、未被上级通报的： 1、未经授权擅自或超量使用、复制、传输、发布低敏感级数据信息的； 如未经授权将大量低敏感信息存储在github、云盘、云笔记、论坛、个人电脑、移动存储介质，通过手机拍照获取敏感信息等； 2、在授权的情况下，因使用不当致使较敏感级和大量低敏感级数据信息泄露的； 3、因过失造成数据资产泄露或破坏、数据资产漏报或误报； 4、未按照规定时限报备数据安全资产、开展数据安全审计、数据安全合规性评估等监督检查工作、建立数据安全技术保障措施的； 5、因过失或非主观导致数据安全技术保障措施或相关工作未执行到位的； 6、未按照规定时限上报数据安全事件处理报告的； 7、未按照要求进行制定数据安全事件应急预案或演练； 8、未按照规定进行业务平台网络安全建设内容评审； 9、对于运维中心检测发现业务平台存在漏洞，并通知限期整改的、未按照要求进行整改，并未对不整改情况进行说明的。

注：

1. 违规行为轻微，未达到上述违规行为标准的，参照各部门日常管理规范执行；

2. 上述表格中违规事件的级别定义，参见《公司网络信息安全奖惩管理办法（试行）》。