25_数据资产管理与权限管理制度.docxVIP

数据资产管理与权限管理制度

DataAssetManagementAccessControlPolicy

文件编号

IT-DM-025

归口部门

IT信息部

版本号

V1.0

适用范围

全公司

发布日期

2026年4月

审批人

IT总监/CIO

第一章总则

第一条目的

为规范公司数据资产的分类、存储、访问和使用行为，防止数据泄露和越权操作，保障业务数据安全，依据《数据安全法》《个人信息保护法》及公司安全管理要求，制定本制度。

第二条适用范围

本制度适用于公司全体员工、外包人员、合作伙伴在使用、访问、处理公司数据资产时的所有行为。数据资产涵盖：客户数据、财务数据、员工数据、运营数据、技术数据、合同数据等。

第三条基本原则

（一）最小权限原则：只授予员工完成工作所需的最低权限，不得随意扩大授权范围。

（二）职责分离原则：数据创建、审批、访问、审计等职能由不同角色承担，防止权力集中。

（三）分类保护原则：按数据敏感程度差异化保护，分级处理。

（四）全程审计原则：所有数据访问行为均须留存审计日志，保留期不少于180天。

第二章数据资产分类分级

第四条数据分级标准

级别

名称

典型数据示例

泄露影响

最低保护措施

L4（绝密）

核心机密

战略并购方案、核心算法、密钥证书

重大经济损失、刑事责任

加密+双因素认证+严格审批

L3（机密）

商业机密

客户名单、