公司數(shù)據(jù)安全管理辦法

公司數(shù)據(jù)安全管理辦法總則（一） 目的加強公司數(shù)據(jù)安全管理，規(guī)范公司內(nèi)部職責，規(guī)避公司風險，避免社會風險。避免發(fā)生用戶數(shù)據(jù)、涉稅數(shù)據(jù)泄密等安全事件，規(guī)范員工日常操作行為。（二） 基本原則1、 客戶有信息安全規(guī)范或要求的，應(yīng)嚴格按照客戶管理要求執(zhí)行。2、 與客戶之間簽署有保密協(xié)議的，須嚴格遵守與客戶簽署的保密協(xié)議要求。3、 相關(guān)崗位員工做好信息安全方面的培訓(xùn)，包括客戶和公司的安全管理要求，并通過考試后才能正式上崗；4、 相關(guān)崗位需與客戶簽訂《保密協(xié)議》，同時與公司簽訂《信息安全保密協(xié)議》，方可正式上崗開展日常工作。（三） 思想意識1、 樹立保密意識，嚴守機密，不要接觸不該接觸的機密，不要泄露自己掌握的機密；2、 樹立紀律意識，自覺遵守運行維護的制度及各項工作規(guī)定。第八條樹立安全意識，不得危害計算機信息系統(tǒng)的安全。3、 樹立道德意識，嚴格遵守職業(yè)道德，保持職業(yè)操守，誠實守信的價值觀，不得利用職務(wù)便利謀取私利。4、 樹立服務(wù)意識，想客戶所想，以客戶滿意為優(yōu)先目標。5、 樹立團隊意識，注重跨團隊與部門的溝通與協(xié)作。（四） 工作組及職責1、信息化小組受理數(shù)據(jù)需求方/使用部門數(shù)據(jù)需求，并提供數(shù)據(jù)支撐非固化腳本的數(shù)據(jù)流轉(zhuǎn)名詞解釋1、敏感數(shù)據(jù)敏感數(shù)據(jù)包括但不限于：客戶數(shù)據(jù)、其它相關(guān)數(shù)據(jù)、自然人數(shù)據(jù)等。敏感信息敏感信息包括個人、企業(yè)、政府、項目等多方信息，指不當使用或未經(jīng)授權(quán)被他人接觸或修改會不利于國家、企業(yè)、個人的所有信息。其范圍描述如下：個人敏感信息包括但不限于：身份證號、銀行賬號、證券賬號、密碼、郵箱、手機號等；企業(yè)敏感信息包括但不限于：法人信息（如：身份證號、郵箱、手機號）、企業(yè)信息（如：銀行賬號、證券賬號、申報密碼、社會信用代碼）、發(fā)票信息（如：發(fā)票號碼、發(fā)票代碼、收款人、開票人、復(fù)核人）等；政府敏感信息包括但不限于：歸屬于政府的涉稅數(shù)據(jù)、涉及政府且非公開的統(tǒng)計或匯總信息（如：客戶統(tǒng)計報表）、非公開的政府公文（如：紅頭文件、黑頭文件、函件）、非公開的政府網(wǎng)絡(luò)環(huán)境下的軟硬件、網(wǎng)絡(luò)信息（如：內(nèi)網(wǎng)P、賬號）等；二、數(shù)據(jù)應(yīng)用要求（一） 數(shù)據(jù)同步、存儲與管理1、 同步的敏感數(shù)據(jù)，需經(jīng)副總經(jīng)理審批。2、 在本地數(shù)據(jù)庫存儲的敏感數(shù)據(jù)，信息化小組負責加密處理。（二） 業(yè)務(wù)數(shù)據(jù)管理1、 信息化小組建立數(shù)據(jù)查詢臺賬，做好數(shù)據(jù)提供記錄。2、 將數(shù)據(jù)提供給需求方后，信息化小組立即銷毀本地數(shù)據(jù)。3、 部門信息化負責人把數(shù)據(jù)分發(fā)到專屬服務(wù)經(jīng)理的，必須建立數(shù)據(jù)臺賬，明確使用時間，同時監(jiān)督員工使用以及銷毀情況，在審計部進行風險檢查時，若發(fā)現(xiàn)員工電腦本地存儲明細數(shù)據(jù)或有數(shù)據(jù)外傳情況，依據(jù)《員工獎懲制度》處罰。（三）業(yè)務(wù)部門及部門數(shù)據(jù)申請與使用1、內(nèi)部應(yīng)用系統(tǒng)前臺無法查詢的數(shù)據(jù)，各部門填寫《數(shù)據(jù)處理審批表》，說明數(shù)據(jù)目的、數(shù)據(jù)口徑等，提交至公司部門信息化負責人，由負責人評估同意后郵件發(fā)送信息化小組值班熱線，原始數(shù)據(jù)需求方是客戶的不在提供范圍。數(shù)據(jù)處理審批表.docx2、為保障數(shù)據(jù)提供、應(yīng)用高效與安全，將常用數(shù)據(jù)劃分為以下級別，不同級別數(shù)據(jù)申請執(zhí)行相應(yīng)審批流程：數(shù)據(jù)級別數(shù)據(jù)特征審批人三級本部門職責范圍內(nèi)涉及的各類業(yè)務(wù)匯總統(tǒng)計數(shù)據(jù)部門信息化負責人申請，無需審批二級客戶、個人明細數(shù)據(jù)且不含敏感信息產(chǎn)品部部門經(jīng)理一級客戶、個人明細數(shù)據(jù)中含敏感信息副總經(jīng)理3、數(shù)據(jù)提供時間：參考《公司內(nèi)部信息化運作規(guī)范》數(shù)據(jù)查詢流程4、 一、二級數(shù)據(jù)結(jié)果傳輸必須使用郵件，數(shù)據(jù)文件必須經(jīng)過winRAR（v5.31.0.0版本）及以上壓縮并設(shè)置密碼，密碼長度至少8個字符，密碼必須是任意字符和數(shù)字的隨機組合，區(qū)分大小寫；密碼通過其他方式單獨提供。5、 數(shù)據(jù)需求方可指定部門內(nèi)部人員使用數(shù)據(jù)，但必須保證數(shù)據(jù)最小集合，即僅提供給對方其崗位工作范圍內(nèi)的相應(yīng)數(shù)據(jù)，特殊情況由副總審批。6、 數(shù)據(jù)使用完畢后，數(shù)據(jù)需求方、使用人須立即刪除數(shù)據(jù)。管理干部如因工作需要確需在本地存儲明細數(shù)據(jù)的，需存放在硬盤并妥善保管。（三）數(shù)據(jù)查詢權(quán)限管理1、 業(yè)務(wù)支撐部門需要申請數(shù)據(jù)庫查詢權(quán)限，需部門經(jīng)理提出申請，報副總審批同意后，信息化小組開通權(quán)限，信息化小組做好權(quán)限分配記錄2、 信息化小組根據(jù)其崗位工作范圍授權(quán)數(shù)據(jù)庫訪問權(quán)限，被授權(quán)人需簽訂《數(shù)據(jù)保密協(xié)議》。被授權(quán)人查詢的涉及敏感的明細數(shù)據(jù)，不允許提供給第三方。3、 在審計部進行風險檢查時，若發(fā)現(xiàn)被授權(quán)人電腦本地存儲明細數(shù)據(jù)或有數(shù)據(jù)外傳情況，依據(jù)《員工獎懲制度》處罰。、數(shù)據(jù)安全紅線數(shù)據(jù)提供及使用部門存在以下行為者，按照公司《員工獎懲制度》“違反數(shù)據(jù)安全紅線”等相關(guān)條例處罰；如果出現(xiàn)信息安全事故，追究其相關(guān)法律責任。1） 未經(jīng)許可擅自采集數(shù)據(jù)的；2） 未經(jīng)許可擅自超期留存解密之后的數(shù)據(jù)文件兩個及以上的；3） 未經(jīng)許可擅自將數(shù)據(jù)傳遞給數(shù)據(jù)需求方以外的人員；4） 未經(jīng)許可擅自將公司明細數(shù)據(jù)向外業(yè)務(wù)線提供的；5） 未經(jīng)許可擅自提取非本工作職能范圍之