文件编码：XXX-XXXX-016 合规安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为加强公司数据安全管理，增强公司数据使用的合规性、规范性， 以降低公司业务发展面临的个人信息保护、重要数据保护等方面的合规风险，特 制定本规范。 第二条 本规范适用于指导北京思度咨询科技有限公司的业务合规工作。 第二章术语定义 第三条 网络数据： 指通过网络收集、存储、传输、处理和产生的各种电子 数据。 第四条 个人信息： 指以电子或其他方式记录的能够单独或与其他信息结合 识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份 证件号码、个人生物识别信息、住址、电话号码等。 第五条 个人信息主体： 指个人信息所标识或关联到的自然人。 第六条 重要数据： 包括北京思度咨询科技有限公司 生产经营和内部管理信 息、个人信息等。 第三章职责权限 第七条 数据安全领导小组办公室 ，主要履行的职责包括但不限于： （一）负责组织开展数据安全合规工作的检查； （二）制定数据安全管理日常监督检查机制； （三）向数据安全领导小组汇报数据安全合规和事件处置的情况。 第八条 数据安全合规岗主要履行的职责包括但不限于： （一）参与制定数据安全合规相关的管理规范、个人信息、重要数据的保护 制度等； （二）负责收集最新的数据安全相关法律、法规、标准等，梳理公司业务涉 及的外部合规要求清单； （三）负责定期跟进监管机构合规要求的动态，并更新合规清单； （四）及时更新个人信息保护、重要数据保护相关的安全要求及安全防护策 略； 第 1 页 共 7 页 （五）组织开展重要数据安全策略、规范、制度和管控措施的风险评估。 第四章 个人信息保护 第九条 涉及个人信息数据的，严格依据《信息安全技术 个人信息安全规 范》（GB/T 35273-2020）等规范进行数据全生命周期的保护。 第十条 公司在提供信息服务过程中，收集、使用用户个人信息，应当遵循 合法、正当、必要的 原则。 第十一条 公司对收集、使用的用户个人信息的安全负责，应 明确和落实相 关人员安全管理责 任，对工作人员实行权限管理， 对批量导出、复制、销毁信息 实行审查，并采取防泄密措施。 第十二条 未经用户同意，不得收集、使用用户个人信息， 如确需用户提供 个人信息，应 明确告知用户使用的 目的、方式、范 围和收集渠道，并告知拒绝提 供信息的 后果。 第十三条 涉及个人信息的数据加工、处理时必 须经数据脱敏等手段进行去 标识化处理。 第十四条 传输个人 敏感信息时，应 采用加密等安全措施。 第十五条 存储个人生物识别信息时，应 采用技术措施处理 后再进行存储， 例如仅存储个人生物识别信息的 摘要。 第十六条 如确因工作需要，需授权特定人 员超权限处理个人信息的，应 由 个人信息保护责 任人或个人信息保护工作机构进行 审批，并记录在 册。 第十七条 个人信息 原则上不得公开披露。个人信息控制 者经法律授权或具 备合理事由确需公开披露时，应充分重视风险，事 先开展个人信息安全 影响评估， 并依评估结 果采取有效的保护个人信息主体的措施。 第五章 重要数据保护 第十八条 应按照数据分类分级规范实施数据分类分级保护。 第十九条 应建立原始库表，库表中存储的 原始数据不做任何加工清洗，以 便满足溯源及数据质量的核查要求。 第二十条 重要数据在进行传输及共 享时须根据安全策略进行 脱敏或加密传 输。 第 2 页 共 6 页第二十一条 应采用符合国家有关加密技术标准的加 解密技术对重要数据进 行传输加 密。 第二十二条 存有重要、 敏感或关键数据信息的存储 介质须专人负责。 第二十三条 删除可重复使用的存储 介质上的重要数据时，为 避免在可移动 介质上遗留信息，应 对介质进行消磁或者使用专用的工具在存储区域填入无用的 信息进行 覆盖。 第二十四条 在分配可访问重要数据的 账号时，应 按照最少够用原则进行分 配，且分配的授权应可被管理，并保证在数据的 访问和操作过程中 可被审计和监 控，在出 现违规操作行为时，应及时在 平台上告警。 第二十五条 每季度应对数据访问账号进行审计，及时删除或停用多余的、 过期的账户和角色。 第二十六条 发布、共 享、交易重要数据 前，应评估 可能带来的安全风险， 并报区信息办批准。 第二十七条 每年度至少应组织开展 两次风险评估，评估的内 容包含重要数 据的安全策略、规范、制度和管控措施，评估发 现的脆弱项及威胁应立即通知数 据安全管理岗， 由数据安全管理岗组织开展 整改工作。 第六章 变更管控流程 第二十八条 因公司业务 架构、组织职能 变更而引发的重要数据 级别、流向 等的变更流程如图1所示： 第 3 页 共 7 页图1 重要数据 变更管控流程 （一）当重要数据 级别、流向等发生 变更时，由数据责任人发起变更申请。 （二）由数据责任人所在部 门负责人根据变更需求对变更申请进行分类处理， 并判断变更需求是否合理，若变更申请合理，则 由数据责任人编写变更方案。 （三）数据责任人编写变更方案，方案包含变更的内容，变更执行的计划， 变更涉及的部 门、岗位、变更可能涉及的合规要求、 变更后的安全管理要求等。 （四）方案编写完成后，由数据责任人所在部 门负责人审批，审批方案的合 理性、可行性、完整性等。 （五）方案审批通过后，交由数据安全管理岗， 由数据安全管理岗组织 变更 涉及的各部 门进行评审。 （六）各部门联合审批通过后，由数据安全合规岗开展 变更合规评估， 若变 更不涉及 违反合规性要求，则提 交数据安全领导小组批准 变更申请。 （七）变更申请批准通过 后，由数据安全管理岗和数据安全合规岗联合 对变 更后重要数据涉及的部 门、岗位开展数据 变更后的管理及合规要求 宣贯。 第 4 页 共 6 页第七章 附则 第二十九条 本规范由数据安全领导小组办公室负责制定、 解释和修改。 第三十条 对违反本规定的人 员，将按照北京思度咨询科技有限公司有关规 定进行处 罚。 第三十一条 本规范自发布 之日起执行。 第 5 页 共 7 页附录 外部合规清单 序 号标准名称发布时间范围是否 更新记录时间负责 人 1网络安全法2016.11.7主要提出网络 运行安 全、信息安全及监控 预警和应急处置的要 求等。否 2数据安全法2021.6.10主要提出 国家将对数 据实行分级分类保 护、开展数据 活动必 须履行数据安全保护 义务承担社会责任 等。否 3信息安全技 术 网络安全等 级保护基本 要求2019.5.10规定了网络安全等 级 保护的等 级保护对象 的安全通用要求和安 全扩展要求。 该标准 适用于指导 分等级的 非涉密对象的安全建 设和监督管理。否 4信息安全技术 个人信息安全 规范2020.3.6规范了开展收集、保 存、使用、共 享、转 让、公开披露等个人 信息处理 活动应遵循 的原则和安全要求。 本标准适用于规范各 类组织个人信息处理 活动，也适用于主管 监管部门、第三方评 估机构等组织 对个人 信息处理 活动进行监 督、管理和评 审。否 5信息安全技术 大数据服务安 全能力要求2017.12.29主要提出 了数据提供 者应具有的组织相关 基础安全能力和数据 生命周期相关的数据 服务安全能 力。本标 准适用于 对政府部门 和企事业单位建设大 数据服务安全能 力， 也适用于第三方机构 对大数据服务提供 者 的大数据服务安全能 力进行审查。否 6信息安全技术 大数据安全管 理指南2020.3.1提出了安全管理 基本 原则，规定 了大数据 安全需求、数据 分类 分级、大数据活动的 安全要求、评估 大数否 第 6 页 共 6 页