数据安全管理制度.docxVIP

第

第PAGE4页共NUMPAGES9页

XXXXXXX信息安全管理体系文档

XXXXXXX有限公司

数据安全管理制度

总则

为保证XXXXXXX信息系统核心数据安全，维护数据所有者权利，明确利益相关者的责任与义务，按照分类管理、分级保护、授权使用的原则，根据《XXXXXXX信息安全方针及管理体系》及国家信息系统安全等级保护等有关要求，特制订本规定。

本规定所管理的数据均为非涉密的数据，XXXXXXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。

本规定适用于XXXXXXX信息系统环境中的数据安全管理工作。XXXXXXX各部门均应按本规定开展数据安全管理工作。

术语定义

本规定所称数据所有者是指，对所管理业务领域内的信息或信息系统，有权获取、创建、维护和授权的业务主管。

本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。

本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中，非文件形式的数据包括数据库及配置文件中的数据、配置信息等。

职责定义

数据创建者负责针对其所创建数据的内容和价值提出分类分级建议，提交对应级别数据所有者确认。

来自XXXXXXX信息系统以外的数据，数据承接者视同创建者行使提出分级分类建议的责任和义务。

数据所有者具有确认数据类别和敏感级别、确认销毁、提出技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利和义务。其中，XXXXXXX业务数据的所有者为总经理指定的相应业务部门。

各类数据的责任部门是该类数据的管理者。数据管理者作为数据所有者的代理者，代理数据所有者从事数据管理工作，负责其所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于：数据类别和敏感级别的标识与声明，根据级别进行管理与保护，数据使用培训，执行销毁操作并声明，定期自查提交报告，配合数据安全违规调查等。

分类与分级

数据按其内容和用途不同分为技术类数据、行政管理类数据、业务类数据以及安全运行类数据。

数据分级应根据其价值、内容的敏感程度、影响及发放范围进行确定。

数据管理者负责制定其分管领域内数据敏感等级的划分规则，并制定和发布本部门或本领域的数据敏感等级目录。

标识与声明

数据的分类分级标识、声明是数据不可分割的一部分，自其标识、声明之日起，数据及其标识、声明不得分离，数据管理者和数据使用者均须按照标识、声明的类别和级别安全管理和使用数据。

对于文件形式的数据，须由数据管理者在文件明显位置标识其类别、敏感级别、失效日期等，且文件和标识不能分开。标识应该醒目，标识格式应统一，标识方法应便于审计。对于非文件形式的高敏感级别数据，如无法标识，须进行声明。

失效日期指数据敏感级别的有效性截止日期。到达失效日期后，应对数据进行重定级。

对于敏感级别高的数据，须由管理者对数据名称、类别、敏感级别、失效日期等以声明文件的形式进行声明，声明文件须由数据所有者审批签字。声明文件须跟随数据一起保管和传递。（声明文件模版详见附件）

多个不同敏感级别的数据合并在一起时，按最高敏感级别给混合数据进行标识和声明。

保管与保护

数据管理者须按照数据的敏感级别实施对应的保管与保护措施，并确保满足数据所有者对数据的安全要求。

数据管理者在日常管理中，须对数据按敏感级别分级防护，采取对应的存储、归档、设定保存期限等措施。

敏感级别高的数据纸质文件须参照XXXXXXX秘密级文件安全管理规定进行保管和保护。敏感级别高的电子数据须采用必要的访问控制措施。

数据管理工作应该首选技术手段加管理要求实现。必须加强针对数据管理工作的技术手段的研究、选型、部署、维护等。

敏感级别高的数据自产生之日起，所有者提出的技术保障需求应同步到位。如技术上无法达到，技术部门应持续跟踪技术进展，逐步使技术手段能够满足各项管理要求；对于已成熟并可采纳的技术手段，技术部门应验证其功能可靠性，逐步引入，持续优化技术保障工作。

数据使用

数据使用者在使用数据时，须注意识别数据的敏感级别，按照其敏感级规范数据操作使用行为；使用中发现问题及时反映，发现违规行为及时举报，并积极配合违规事件的调查；自觉遵守数据管理规定。

数据使用者须保证其所使用数据来源的合法性，不私自拷贝、使用、传播、保存与自己工作无关的数据。

数据使用者和数据管理者无权未经所有者批准向发布范围以外的单位或个人提供中心数据或其衍生物，否则视为违规；如因工作原因需要对外提供的，应经数据所有者确认，并记录、备案、备查。

业务数据须按主管业务部门授权或管理规定要求对外提供，否则视为违规，并需做好数据提供记录，备案、备查。

数据管理者要对数据使用情况进行掌控和审计，发现违规行为及时制止，并依本规定进行处置。

数据销毁

数据管理者