2026年能源加工公司HR系统数据安全管理制度.docxVIP

2026年能源加工公司HR系统数据安全管理制度

第一章总则

第一条为保障公司HR系统（含员工信息管理、薪酬核算、绩效考核、招聘培训等模块）数据安全，防范数据泄露、篡改、丢失等风险，保护员工个人信息权益与公司经营数据安全，依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《数据安全法》等法律法规，结合能源加工公司HR管理工作实际，制定本制度。

第二条本制度所称“HR系统数据”，包括员工基础信息（姓名、身份证号、联系方式、户籍地址、学历证明等）、敏感信息（薪酬明细、社保公积金缴纳记录、绩效考核结果、劳动合同条款等）、业务数据（招聘计划、培训记录、员工异动信息、组织架构调整数据等）；“数据安全管理”涵盖数据采集、存储、使用、传输、销毁全流程的安全管控。

第三条本制度适用于公司内所有使用、管理HR系统的部门及人员，包括人力资源部（系统主要使用部门）、信息技术部（系统技术维护部门）、各业务部门（查询本部门员工基础信息的人员）、外部合作机构（如提供系统运维服务的第三方公司，需签订保密协议）。

第四条公司遵循“分类管控、最小权限、全程追溯、责任到人”原则，对HR系统数据按敏感程度分级管理，严格控制数据访问权限，建立数据操作追溯机制，明确各环节安全责任，确保数据安全与业务开展协同推进。

第二章数据分类与分级

第五条HR系统数据按敏感程度分为三级：

（一）一级敏感数据：员工身份证号、银行卡号、薪酬明细、社保公积金账户信息、绩效考核原始评分记录；此类数据泄露可能导致员工财产损失、个人权益受损或公司核心经营信息泄露；

（二）二级敏感数据：员工联系方式（手机号、家庭住址）、劳动合同扫描件、医疗体检记录、培训考核结果；此类数据泄露可能影响员工个人生活或公司内部管理秩序；

（三）三级基础数据：员工姓名、岗位名称、部门归属、入职日期、公开的培训课程信息；此类数据泄露对员工及公司造成的影响较小，但仍需规范管理。

第六条不同级别数据的标识方式：HR系统内对一级敏感数据采用“加密显示”（如身份证号仅显示首尾各4位，中间用*代替；薪酬明细需输入二次密码方可查看）；二级敏感数据采用“权限弹窗提示”（访问时弹出“数据敏感，请勿外传”提醒）；三级基础数据采用“常规显示”，但需记录访问日志。

第七条数据分级动态调整：信息技术部每年度联合人力资源部对HR系统数据分级进行复核，若因业务调整（如新增薪酬核算模块、优化绩效考核指标）导致数据敏感程度变化，需在调整后15个工作日内更新分级标准，并同步调整系统内数据标识与访问权限。

第三章数据访问与使用管理

第八条数据访问权限设置：

（一）人力资源部人员权限：部门负责人可访问全公司一级、二级、三级数据；薪酬专员仅可访问薪酬相关一级、二级数据及全公司三级数据；招聘专员仅可访问招聘模块业务数据及候选人基础信息（三级数据）；权限设置遵循“最小必要”原则，不得超岗位需求授权；

（二）业务部门人员权限：部门负责人可访问本部门员工二级、三级数据；部门行政人员仅可访问本部门员工三级数据；严禁业务部门人员访问一级敏感数据；

（三）信息技术部人员权限：系统运维人员仅可在故障处理时临时获取数据访问权限（需经人力资源部负责人审批），且仅可查看故障相关数据，不可复制、导出；权限使用后24小时内自动失效。

第九条数据访问流程：

（一）常规访问：有权限人员通过公司内网登录HR系统，输入账号密码（密码需包含大小写字母、数字、特殊符号，每90天更换一次）及动态验证码（通过公司统一认证APP获取）后访问数据；

（二）临时访问：无常规权限人员因工作需要（如审计部门核查薪酬数据）需访问数据的，需填写《HR系统数据临时访问申请表》，注明访问数据级别、用途、时间（最长不超过3个工作日），经人力资源部负责人、信息技术部负责人双审批后，由信息技术部开通临时权限；

（三）外部机构访问：第三方合作机构（如社保代缴公司）需访问数据的，除签订保密协议外，需通过公司专用外部访问通道登录，且仅可访问合作相关的三级或二级数据，访问过程全程记录日志。

第十条数据使用规范：

（一）禁止将HR系统数据用于非工作用途（如用于个人社交、商业推广）；禁止向未授权人员传递数据（包括口头告知、微信发送、邮件转发等形式）；

（二）导出数据需填写《HR系统数据导出记录表》，注明导出数据级别、用途、份数，经部门负责人审批后，通过公司加密邮箱或专用存储设备导出；导出的一级敏感数据需加密存储（加密密码由两人分别保管），使用后7个工作日内删除导出文件；

（三）打印数据需在公司指定打印机打印，打印后的一级、二级数据文件需加盖“保密”印章，使用后按公司档案管理规定归档或销毁（销毁需填写《数据