第一章 总则 第一条 目标 为提高北京思度咨询股份有限公司(以下简称公司),数据安全防护能力,对不同数据采取更合理安全管理和保护措施,根据 《中华人民共和国数据安全法》 、《中华人民共和国网络安全法》 《中华人民共和国个人信息保护法》 、 《信息安全等级保护管理办法》 、 《中华人民共和国民法典》等法律法规,结合本公司实际情况,特制定本办法。 第二条 适用范围 本办法适用于集团公司总部,各分子公司、基层企业。 第三条 基本原则 公司的数据分类遵循的基本原则: (一) 科学性 按照公司数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。 (二) 稳定性 公司数据的分类应以数据目录中的各种数据分类方法为基础, 并以数据最稳定的特征和属性为依据制定分类方案。 (三) 实用性 公司数据分类要确保每个类目下要有公司数据,不设没有意义的类目,数据类目划分要符合用户对公司数据分类的普遍认识。 (四) 扩展性 数据分类方案在总体上应具有概括性和包容性, 能够实现各种类型公司数据的分类,以及满足将来可能出现的数据类型 公司数据遵循的分级原则: (一) 合法合规性原则:满足国家法律法规及行业主管部门有关规定。 (二) 可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性。 (三) 时效性原则:数据安全级别具有一定的有效期限,各分子公司应按照级别变更策略对数据级别进行及时调整。 (四) 自主性原则:结合公司自身数据管理需要(如战略需要、业务需要、风险接受程度等) , 在本标准的框架下自主确定数据安全级别。 (五) 差异性原则:根据本公司数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。 (六) 客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。 第四条 术语 数据分类是指根据公司数据的属性或特征, 将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用公司数据的过程。 数据分级是指按照一定的分级原则对分类后的公司数据进行定级, 从而为公司数据的开放和共享安全策略制定提供支撑的过程。 第二章 组织与职责 第五条 组织机构 公司设立的信息与数据管理委员会统筹管理公司范围内的数据分类分级工作。 各业务团队应设置数据安全接口人负责本部门范围内数据资产的分类分级工作 。 第六条 职责 (一) 应按照本制度要求及时登记、 更新和定期维护本部门负责的数据资产的类别和等级 (二) 应建立数据资产目录(数据资产地图)并提供检索服务,能够实时查看数据的类别和登记 (三) 应建立数据资产类别变更管理审批流程,实时监控数据资产变化,并配置相适应的安全管理措施 第三章 分类分级方法 第七条 分类分级方法 数据分类分级方法主要依据数据遭到破坏后可能造成的对数据的机密性、 完整性、可用性的影响进行定级。 第八条 影响评估法 影响对象指数据安全性遭受破坏后受到影响的对象,包括国家安全、个人隐私、企业合法权益等。影响对象的确定主要考虑以下内容,公司关键信息基础设施系统,危害国家安全;公司对外业务系统,影响用户个人隐私;公司内部管理系统,影响公司合法权益。 第九条 影响程度评估 影响程度指公司数据安全性遭到破坏后所产生影响的大小, 从高到低划分为严重损害、一般损害、轻微损害和无损害。 (一) 严重损害 可能导致危及国家安全的重大事件, 发生危害国家利益或造成重大损失的情况。 可能导致严重危害社会秩序和公共利益,引发公众广泛诉讼等事件。 可能导致公司遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况。 可能导致重大个人信息安全风险、 侵犯个人隐私等严重危害个人权益的事件。 (二) 一般损害 可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件。 可能导致公司遭到监管部门处罚,或者影响部分业务无法正常开展的情况。 可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。 (三) 轻微损害 可能导致个别诉讼事件,使公司经济利益、声誉等轻微受损。 可能导致公司部分业务临时性中断等情况。 可能导致超出个人客户授权加工、处理、使用数据等情况,对个人权益造成部分或潜在影响。 (四) 无损害 对公司合法权益和个人隐私等不造成影响, 或仅造成微弱影响但不会影响国家安全、公众权益、公司各项业务正常开展。 第四章 数据定级流程 第十条 数据资产梳理 对公司数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。 第十一条 数据定级准备 明确数据定级的颗粒度,如库文件、表、字段等,并识别数据安全定级关键要素。 第十二条 数据级别判定 按照本制度数据定级规则,对数据安全等级进行初步判定。需综合考虑数据规模、数据时效性、数据形态 如是否经汇总、加工、统计、脱敏或匿名化处理,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。 第十三条 数据级别审核 审核数据安全级别评定过程和结果, 直至安全级别的划定与本公司数据安全保护目标一致。 第十四条 数据安全级别批准 最终由数据安全管理层组织对数据安全分级结果进行审议批准。 第五章 分类分级规范 第十五条 数据分类 对公司数据进行识别后,将公司数据分为三大类,主要包括:用户数据类、业务数据类、公司数据类。 用户数据 :即公民个人信息类, 是指以电子或其他方式记录的公民的姓名、 出生日期、身份证号码、个人生物识别信息、职业、住址、电话号码等个人身份信息, 以及其他能 够单独或者与其他信息结合能够识别公民个人身份的各种信息。 业务数据 : 与公司业务开展相关的数据,或经过公司处理后产生的数据。如订单数据、市场数据、业务分析数据。 公司数据 : 公司内部使用的数据, 主要包含人事数据、 财务数据、 法务数据、源代码等。 第十六条 数据分级 公司数据共分为4级,从高到低划分为4级、3级、2级、1级 4级: 包含公司正在进行的涉及国家级机密或公司战略相关的重要秘密的信息,任何对此类信息的非授权访问和泄露都会对于公司乃至国家声誉、经营、财务直接造成重大损失。因此,此类信息始终要求最高级别的安全保障,其访问者必须严格控制在最小的范围内,一般人员不得申请。 3级: 涉及公司或特定部门商业秘密及技术秘密的信息,由于其内容的敏感性和重要性, 此类信息的泄露有可能导致公司的声誉、 经营、 财务蒙受重大损失。因此,信息访问者除特定场合和用途,原则上不允许访问或对外提供。数据安全性遭受破坏后,对个人隐私或机构的合法权益、公司声誉、运营、财务造成严重影响。 2级: 仅供公司内部传阅和使用的信息,此类信息的对外披露不直接造成公司声誉、经营、财务上的损失或造成的损失较小,但有可能会给公司和员工带来负面影响,因此需要经过适当的授权才能对外公开。数据安全性遭受破坏后,对个人隐私或机构的合法权益、公司声誉、运营、财务造成轻微影响。 1级: 数据可被公开或可被公众获知、 使用。 所有可以直接对外披露的信息,此类信息的发布不会对公司、客户以及商业伙伴带来任何不利的影响 第六章 监督检查 第十七条 考核评价 集团公司按年度对分子公司数据资产工作进行综合评价, 评价主要从组织设立情况、制度标准制定及执行情况、数据分类分级情况、数据安全情况等方面开展,评价结果公司评估考核体系。 第十八条 奖惩措施 建立奖惩机制,对于数据分类分级工作突出,为公司做出贡献的予以表彰。 对于组织落实不到位的企业,对其主要领导、分管领导及相关责任人进行处罚。 第七章 附则 本办法由公司信息中心负责解释。 本办法自发布之日起执行。 第八章 附录 分类分级清单 数据分类 数据子类别 范围参考 分类级别 使用部门 用户数据 客户信息 身份信息:姓名、证件号码、身份证照片、生日、 民族、联系方式、地址、城市、发证机关、有效期。 4 数据风控、业务部 门 活体认证信息:照片指纹等。其他联系信息:详细 地址、第一联系人,联系方式、第二联系人,联系 方式、通讯录。 4 数据风控、业 务部门 工作信息:公司名称、行业、职位、月收入、工作 所在地、其他平台借款情况。 4 数据风控、业 务部门 第三方合 作客户、机构 基础信息:名称、营业执照号、法人代表姓名、 法人代表证件号码、股东名称、公司高管姓名、高 管证件号码、联系方式、电子签名、征信。 4 商务、业务部 门 营业信息:组织架构、营业地址、财务信息、 重大事件。 3 商务、业务部 门 业务信息:客户账号、营销信息、合同信息、 操作信息 及其他业务相关信息。 3 商务、业务部 门 业务数据 账户类 用户信息:账户 ID、账户余额等 3 产品部、技术 后端 用户授权信息:银行卡信息、征信信息、通讯 录、邀请人手机号、是否在黑名单等。 4 产品部、技术 后端 交易类 借款详情:流水号、数据库 ID、金额、类型、 服务商、时间等。 3 产品部、技术 后端 用户交易记录、用户优惠券信息 、借款订单基 3 产品部、技术 本信息、还款计划、还款记录、 后端 产品 各类产品创建时间,产品内容,产品期限,标 准,负责人,利率 3

pdf文档 数据分类分级管理制度

安全文档 > 网络安全 > 文档预览
中文文档 9 页 0 下载 0 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共9页,可预览 3 页,浏览全部内容或当前文档出现乱码,可下载原文档
数据分类分级管理制度 第 1 页 数据分类分级管理制度 第 2 页 数据分类分级管理制度 第 3 页
下载文档到电脑,方便使用
本文档由 思安2022-11-24 11:06:15上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。