数据安全管理办法.docxVIP

PAGE12

PAGE12

PAGE

PAGE9

集团有限公司

数据安全管理办法

第一章总则

为了加强集团有限公司（以下简称集团公司）数据资产管理中的数据安全管理，保证数据信息的可用性、完整性、保密性，依据国家和集团公司安全法律法规标准，制定本管理办法。

本办法规定了集团公司数据资产全流程数据安全管理应遵循的原则、组织与职责、工作要求、数据全生命周期安全管理、安全审计和保障等内容，其中数据全生命周期包括数据采集、传输、存储、处理、共享使用和销毁等各个环节。

本办法适用于数据资源共享服务平台（以下简称数据共享平台）环境中的数据安全管理工作，集团公司下属各级单位参照执行。

第二章组织与职责

集团公司数据资产全流程的数据安全工作，归属于集团公司数据资产管理规范范畴，涉及到的管理组织包括数据资产管理委员会、数据资产管理办公室、运营团队。

数据资产管理委员会是集团公司数据资产全流程数据安全管理工作的决策机构，职责如下：

（一）审议决策集团公司数据安全管理工作的规章制度及年度工作要点及计划；

（二）协调解决数据安全管理所需资源、仲裁数据安全管理过程中的重大事项和关键问题；

（三）负责对各单位数据安全的年度审计和考核的结果进行审定。

数据资产管理办公室是落实委员会的数据资产全流程数据安全要求及各项部署工作的部门，主要职责如下：

（一）组织拟订数据安全管理工作中涉及的相关规章制度；

（二）组织拟订数据安全管理规划和年度计划；

（三）组织开展数据安全管理工作考核与数据安全审计工作；

（四）协调解决数据安全工作中的重要问题。

运营团队作为具体执行单位，在办公室领导下负责数据资产全流程数据安全的具体工作，主要职责如下：

（一）落实办公室安全工作的部署和和要求；

（二）指导各单位相关数据安全工作，包括访问控制、数据加密、数据备份、数据迁移、备份恢复和制定各类数据安全策略等；

（三）负责数据共享平台的安全设施的工作；

（四）建立数据备份与恢复管理的相关安全管理机制。

第三章数据共享全流程安全管理

数据采集。

（一）数据安全认责应遵循“谁生产、谁管理、谁负责”的认责原则，进行数据归属权确认。

（二）数据归口管理部门作为本业务数据的责任部门，在数据资产编目及数据资源梳理时应明确如下安全基本信息：

理清企业数据资产分布，明确保密和敏感数据的分布情况，依据业务分类确定敏感数据的分布矩阵。

遵照涉密信息系统分保、等保要求，依据数据的来源、内容和用途对数据资源进行分类，根据数据的价值、敏感程度、影响范围进行数据资源敏感分级，敏感级别划分公开、内部、敏感等。

建立敏感分级数据与用户角色对应的权限访问控制矩阵，把不同敏感等级的数据分配给对应的用户角色。

明确数据资源的共享类型、共享条件、共享范围。

（三）数据使用方应提供完善的数据安全方案，其中包括采集风险管控预案。

（四）办公室和运营团队应组织对采集风险管控预案、数据安全体系方案的评估。

（五）数据产生部门作为业务系统数据的提供方，主要是对采集风险管控预案、数据安全方案的确认；在业务系统被访问时管理上应做如下安全措置：

业务系统被访问时都应有日志记录和监控机制。

访问数据系统应做身份认定。

访问关键数据信息时，系统应根据用户的人员密级和知悉范围与数据信息的密级进行比较，防止高密低传的潜在安全问题。

数据传输。

（一）数据传输时应结合智云平台的网路安全组件实现身份认证，确保数据在合理的范围内使用。

（二）使用方和提供方使用数据存储介质进行数据传输时，须符合国家和集团公司相关规定。

（三）数据抽取采集时不能直接操作源业务生产系统数据库，需把采集的信息放入备份的只读库中。

（四）采集作业测试结果经数据使用方与数据提供方确认后，方可在正式环境进行数据采集和存储。

（五）数据信息在传输时，应该在风险评估的基础上采用合理的加密技术。

（六）数据使用方和提供方在数据传输过程中确保数据传输都应有日志记录、作业监控机制。

数据存储。

（一）在数据资存储过程中，数据使用方应按照涉密信息系统分保等保要求，国密网采用分级保护、商密网采用等级保护，根据数据的安全等级不同进行分库、分表存储，对关键涉密或敏感进行加密存储。

（二）数据信息存储介质须符合国家和集团公司相关规定；任何存储媒介入库或出库需经过授权，并保留相应记录，作为审计稽核依据支撑。

（三）应建立业务系统用户访问和数据库储存的权限管控机制，授权给有资格的用户存储访问数据库。

（四）建立数据信息备份和恢复机制，确保企业数据资产不受意外事件的威胁。

数据信息备份应采用性能可靠、不宜损坏的介质，备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息。

数据信息介质置于安全环境保管，建立登记制度，由专人保管。

一般情况下对服务器和网