数据安全合规性评估制度.docxVIP

数据安全合规性评估制度 第一章 数据源合规 第一条 对数据采取合理的分类分级管理制度，并根据管理制度留存数据处理记录。 第二条 遵循合法、正当、必要的原则，使用个人信息的目的、方式和范围不得超出个人信息主体授权同意的范围。 第三条 对于需要进行数据融合的需求，融合后的使用目的不应超出原有授权范围，否则应重新获得用户或数据上游合作企业的授权同意，以避免被认定为超授权范围违法使用个人信息，或者引发潜在的违约责任。 第四条 对于要将个人信息用于推送或营销的情况，应获得接收方的明示同意，避免采取“一揽子授权”的概括授权获取方式，同时提供退订渠道。 第二章 数据共享合规 第一条 对于共享信息的业务场景，未经个人信息主体同意，不得向他人提供用户个人信息，如姓名、住址、联系方式、身份证件等；未经个人及其家属同意，不得向他人提供个人信息主体及其家属信息数据；未经同意，不得向他人告知组织机构相关信息数据。 第二条 对照《信息安全技术个人信息安全规范》等行业规范，在共享个人信息之前事先开展个人信息安全影响评估工作，并向个人信息主体告知共享个人信息的目的、数据接收方的类型，在征得个人信息主体的授权同意后，可以准确记录和保存个人信息的共享情况，帮助个人信息主体了解数据接收方对个人信息的保存和使用等情况，以及个人信息主体的权利。 第三条 在共享除个人信息之外的其他数据，应当提前识别该共享行为所产生的风险，并在识别筛选后再进行共享，对于数据下游合作商家及企业的数据安全能力采取一定的审核措施。 第三章 第三方委托处理合规 第一条 委托第三方进行个人信息处理的，应遵守《中华人民共和国网络安全法》第四十一条规定的基本原则，确保第三方委托处理行为未超过个人信息主体授权同意的范围。 第二条 对照《信息安全技术个人信息安全规范》开展个人信息安全影响评估，确保处理者具备足够的数据安全处理能力。 第三条 在指定数据处理者时，应提前与处理者订立数据处理协议，明确数据处理方案和流程，确保各类数据信息顺利处理，以理清双方在数据保护及合规处理方面的责任和义务。 第四条 针对重点业务，需要对第三方采取一定的管控措施，落实合作前需要做数据安全能力调研和安全风险评估工作，合作中进行定期核查，合作中妥善处理数据，进行删除销毁工作确保数据安全，或匿名化后续工作。 第四章 组织机构合规 第一条 查验文件通报或数据安全管理办法，需明确数据安全管理责任部门，需明确部门名称及负责人，相关文件已面向组织机构内部发文通报,内部进行流转传达。 第二条 查验文件通报或数据安全管理办法，需明确数据安全管理责任部门职责，部门职责需包括但不限于制定数据安全管理整体方针策略，协调建立数据安全技术保障措施，做好数据安全合规性评估、安全审计管理、数据安全事件应急处置、教育培训等工作。 第三条 查验文件通报或数据安全管理办法，需明确划分数据安全管理责任部门与各项工作执行落实部门分工界面，工作执行落实部门需完整包含数据协同管理部门、数据使用部门、运维支撑部门等。 第四条 查验数据安全监督检查制度,需明确由责任部门定期对执行部门数据安全管理制度执行落实情况和落实效果进行监督检查，能够通过监督检查及时发现问题并督促整改，需将数据安全工作执行部门落实情况和效果纳入内部绩效考核体系。 第五章 人员合规 第一条 查验数据安全岗位职责说明文件或人员任命书，需通过正式文件明确企业数据安全管理责任人，需明确其职责范围，包括但不限于负责牵头制定数据安全管理制度，指导数据安全管理责任部门、协调各相关部门开展数据保护工作，提出数据安全保护的对策建议，监督管理制度和措施的执行落实情况等。 第二条 查验数据安全岗位人员名单，需梳理各部门数据安全岗位人员配备情况，包括部门名称、姓名、联系方式和工作职责等，需在数据安全管理责任部门至少配备一名数据安全专职人员，相关工作执行落实部门至少配备一名数据安全责任人，组织开展部门内数据安全相关工作，相关人员工作职责需包括但不限于权限管理、安全审计、应急响应、合规性评估、数据安全事件处置和信息报送等。 第六章 数据资产梳理合规 第一条 查验数据资产梳理相关制度文件，需明确数据资产的安全管理目标和原则，明确数据资产的维护和使用责任，明确定期系统梳理各数据存储平台系统情况要求，明确数据存储系统情况梳理原则和梳理周期。 第二条 查验数据梳理记录，需定期梳理各数据存储系统情况，形成平台系统清单，并留存梳理记录；需覆盖全范围，从收集处理用户个人信息的核心系统扩展到各数据处理活动相关系统，全面掌握数据资产规模和情况；需对安全域内外系统或设备接入情况进行全面区分，并留存相关文档记录备查。 第三条 查验数据资产清单，需根据规范要求，在完成组织机构平台系统梳理的基础上，针对各系统数据库中存储的数据字段进行关联指向；需对已形成的数