企业数据安全管理办法实施细则要求.docVIP

第 第 PAGE 1 页 共 NUMPAGES 2 页 企业数据安全管理办法实施细则要求 目 录 一、引言5 二、总则6 (一)目的及依据6 （二）适用范围6 三、安全风险概述7 (一)共性安全风险7 1.缺乏敏感数据衡量标准7 2.安全管理职责不明确7 3.关键人员管理风险7 4.账号口令管理风险8 （二）对外合作安全风险8 1.合作方引入不当安全风险8 2.系统代建代维安全风险9 3.代分析挖掘安全风险9 4.数据对外开放安全风险9 5.数据对外试用安全风险9 6.业务合作留存安全风险10 7.其它违规手段10 （三）内部管理安全风险10 1.机房及平台设备安全管理风险10 2.部门间数据共享安全风险10 3.内部平台数据共享安全风险10 四、管控对象及基本原则11 （一）管控对象11 (二）基本原则和要求，11 五、安全管理框架13 (一)事前安全防范13 (二)事中安全管控13 （三）事后稽核审计14 六、事前通用安全管理要求14 （一）组织责任管理14 1.内部组织职责14 2.外部安全责任16 (二）安全制度流程建设17 1.制定安全管理细则17 2.制定完善审批流程17 （三）大数据资产管理17 （四）分类分级管理18 （五）保密协议及承诺18 七、事中通用安全管理要求18 （一）个人信息保护18 1.个人信息收集与使用 18 2.平台系统建设20 3.日常运营管理20 4.对外业务合作21 （二）人员及账号权限管理21 1.业务账号管理22 2.运维账号管理22 3.合作方账号管理22 八、事后通用安全管理要求23 (一）安全审计管理23 （二）安全合规检查24 1.管理合规性检查。25 安全风险评估25 (三）安全预警及应急管理25 九、外部特定安全管理要求26 （一）合作方安全审查26 1.合作方背景调查26 2.安全资质审查26 (二）合作方安全管控27 1.合作方系统建设代维管理27 2.合作方数据代分析挖掘管理28 3.业务合作方数据安全管理28 4.合作渠道安全管理30 5.外来数据安全管理30 (三）合作伙伴考核30 十、内部特定安全管理要求30 （一）平台设备安全管理31 1.平台系统建设安全管理31 2.平台设备运行安全管理31 （二）数据分析挖掘管理31 (三）数据共享管理32 1.单位共享安全管理32 2.平台数据共享安全管理33 一、引言 为促进数据业务健康有序发展， 保障公司大数据资产安全， 保障用户合法权益，参照集团公司大数据安全保障体系，制定大数据安全管理要求。本要求是针对大数据内外部安全管理风险， 从安全组织责任管理、安全制度流程建设、大数据资产管理、个人信息保护、账号权限管理、平台安全管理、数据共享管理、合作方安全管控、安全审计管理、安全合规检查等方面提出了安全管理要求。 总则 (一)目的及依据 由于大数据业务发展迅猛， 各项应用处于快速发展过程中， 导致大数据业务管理过程中可能存在 对敏感数据缺乏衡量标准、安全管理职责不明确、关键人员及账号权限管理工作不到位、设备接入访问管控不严、内部数据共享和外部业务合作管理不规范等安全风险。 为了防范上述风险，特制订本要求，以作为开展大数据内部安全管理和对外合作安全管理的基本依据。 本要求主要参照了以下国家规范制度及指南： ※ 《促进大数据发展行动纲要》，国发[2015]50 号; ※《电信和互联网服务用户个人信息保护定义及分类》，YD/T 2781-2014;※《电信和互联网服务用户个人信息保护分级指南》， YD/T 2782-2014； ※ 《电信和互联网用户个人信息保护规定》，工信部 2013年第24号令; ※《征信业管理条例》，国务院 2013年第631号令; ※ 《信息安全_技术公共及商用服务信息系统个人信息保护指南》，GB/Z 28828-2012; ※ 《全国人民代表大会常务委员会关于加强网络信息保护的决定》，2012 年。 ※《互联网信息服务管理办法》，2000年中华人民共和国国务院令（第2927) ※《中华人民共和国电信条例》，2000年中华人民共和国国务院令（第291号) (二)适用范围 本要求的适用对象包括大数据资产、用户隐私、大数据平台系统、大数据业务服务及人员组织。。 本要求的内部组织是指公司及所属各单位，所属各单位包括各分公司、市公司办公室、各部、中心；外部组织是指不属于内部组织的其他单位。 本要求中所指合作方，含外部第三方，包括推广渠道商、业务服务商、软件开发机构、平台建设厂家、运维支撑厂家等，以及内部研发机构。 针对DPI数据的管控，同时还应该满足《数据安全管理规定》相关要求。 安全风险概述 (一)共性安全风险 1.缺乏敏感数据衡量标准 由于缺乏敏感数据衡量标