数据安全管理规定.pdfVIP

数据安全管理规定

XXX

数据安全管理规定

编制：____________________

审核：____________________

批准：____________________

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、

过程等内容，除另有特别注明，版权均属XXX所有，受到有关产权及

版权法保护。任何个人、机构未经XXX的书面授权许可，不得以任何

方式复制或引用本文件的任何片断。]

1.分发控制

2.文件版本信息

3.文件版本信息说明

文件版本信息记录本文件提交时的当前有效的版本控制信息，当

前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0

时，表示该版本文件为草案，仅可作为参照资料之目的。

第一章总则

第一条为保证XXX信息系统核心数据安全，维护数据所有者权利，

明确利益相关者的责任与义务，按照分类管理、分级保护、授权使用

的原

则，根据《XXX信息系统安全管理规定》及国家信息系统安全等

级保护等有关要求，特制订本规定。

第二条本规定所管理的数据均为非涉密的数据，XXX系统已标识

密级的文件或已声明密级的数据不纳入本规定管理范畴。

第三条本规定适用于全国XXX信息系统环境中的数据安全管理工

作。XXX各单位、部门均应按本规定开展数据安全管理工作。

第二章术语定义

第四条本规定所称数据所有者是指，对所管理业务领域内的信息

或信息系统，有权获取、创建、维护和授权的业务主管。

第五条本规定所称利益相关者包括数据创建者、数据所有者、数

据管理者、数据使用者及信息安全管理人员。

第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件

和非文件形式的信息及其衍生物。其中，非文件形式的数据包括数据

库及配置文件中的数据、配置信息等。

第三章职责定义

第七条数据创建者负责针对其所创建数据的内容和价值提出分类

分

级建议，提交对应级别数据所有者确认。

第八条来自XXX信息系统以外的数据，数据承接者视同创建者行

使提出分级分类建议的责任和义务。

第九条数据所有者具有确认数据类别和敏感级别、确认销毁、提

出技术保障需求、审查自检和审计报告、做出安全事件处置决定等权

利和义务。其中，XXX业务数据的所有者为XXX指定的相应业务部门。

第十条各类数据的责任部门是该类数据的管理者。数据管理者作

为数据所有者的代理者，代理数据所有者从事数据管理工作，负责其

所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于：

数据类别和敏感级别的标识与声明，根据级别进行管理与保护，数据

使用培训，执行销毁操作并声明，定期自查提交报告，配合数据安全

违规调查等。

第四章分类与分级

第十一条数据按其内容和用途不同分为技术类数据、行政管理类

数据、业务类数据以及安全运行类数据。

第十二条数据分级应根据其价值、内容的敏感程度、影响及发放

范围进行确定。

第十三条数据管理者负责制定其分管领域内数据敏感等级的划分

规则，并制定和发布本部门或本领域的数据敏感等级目录。

第五章标识与声明

第十四条数据的分类分级标识、声明是数据不可分割的一部分，

自其标识、声明之日起，数据及其标识、声明不得分离，数据管理者

和数据使用者均须按照标识、声明的类别和级别安全管理和使用数据。

第十五条对于文件形式的数据，须由数据管理者在文件明显位置

标识其类别、敏感级别、失效日期等，且文件和标识不能分开。标识

应该醒目，标识格式应统一，标识方法应便于审计。对于非文件形式

的高敏感级别数据，如无法标识，须进行声明。

第十六条失效日期指数据敏感级别的有效性截止日期。到达失效

日期后，应对数据进行重定级。

第十七条对于敏感级别高的数据，须由管理者对数据名称、类别、

敏感级别、失效日期等以声明文件的形式进行声明，声明文件须由数

据所有者审批签字。声明文件须跟随数据一起保管和传递。（声明文

件模版详见附件）

第十八条多个不同敏感级别的数据合并在一起时，按最高敏感级

别给混合数据进行标识和声明。

第六章保管与保护

第十九条数据管理者须按照数据的敏感级别实施对应