第一章 总则 第一条 目标 为提高北京思度咨询股份有限公司(以下简称公司)，数据安全防护能力，及时发现数据安全风险，根据《中华人民共和国数据安全法》 、 《中华人民共和国网络安全法》 《中华人民共和国个人信息保护法》 、 《信息安全等级保护管理办法》 、《中华人民共和国民法典》等法律法规，结合本公司实际情况，特制定本办法。 第二条 适用范围 本办法适用于集团公司总部，各分子公司、基层企业。 第三条 基本原则 公司的数据风险评估遵循的基本原则: (一) 客观公正原则是指在数据安全评估过程中， 应当根据被评估业务数据使用实际情况做出判断和真实的评价，不得夸大或掩盖发现的问题，不得完全根据业务部门的意见做出评价； (二) 可重用原则是指在相同的数据安全评估内容可参考或引用己有的数据安全评估结果； (三) 可再现原则是指对于相同评估内容和评估要求，在相同评估环境下，采用同样评估方法对同一被评估方的评估实施过程进行重复操作， 可得到相同评估结果； (四) 最小影响原则是指在数据安全评估过程中尽量小地影响被评估的现有业务和信息系统正常运行， 最大程度地降低对被评估业务系统造成的干扰和风险。 第四条 术语 数据资产是指由公司合法拥有或控制的数据资源，以电子或其他方式记录、例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数 据，能直接或间接带来经济效益和社会效益。 数据保密性是数据不泄露给未授权的个人、实体、进程，或不被其利用的特性。 数据完整性是确保数据资产准确性和完整的特性。 数据可用性是己授权实体一旦需要就可访问和使用的数据的特性。 第二章 组织与职责 第五条 组织机构 公司设立的信息与数据管理委员会统筹管理公司范围内的数据资产安全评估工作。 公司设立的信息中心安全部负责数据资产安全评估执行工作， 各业务数据资产相关人员配合执行数据安全评估工作。 第六条 职责 (一) 每年开展至少一次数据安全评估工作； (二) 当数据资产、数据安全保障、数据应用场景等发生变化时，要重新对数据的安全性进行评估； (三) 每次评估要输出评估报告，对于数据安全面临的风险给出修复建议。 第三章 评估规范 第七条 3级系统评估要求 对公司3级及以上系统在数据进行加工前，应进行数据安全评估。评估的要点包括: (一) 评估数据加工的必要性； (二) 评估数据加工的合法合规性； (三) 评估所采取数据安全保护措施的充分性和有效性。 第八条 外部系统评估要求 使用外部的软件开发包、组件、源码等开展开发测试工作前，应进行数据安全评估。 (一) 评估外部的软件开发包、组件、源码的安全性； (二) 评估测试方法的合规性； (三) 评估所采取数据安全保护措施的充分性和有效性。 第九条 数据共享 评估要求 与外部机构进行数据共享， 应定期对数据接收方的数据安全保护能力进行数据安全评估。 (一) 评估数据接收方组织架构和制度体系安全管理的合规性； (二) 评估数据接收方数据安全保护指施的充分性和有效性； (三) 评估数据接收方对数据安全事件所作应急预案的充分性和有效性。 第十条 数据服务上线前评估要求 在数据服务上线前， 应组织开展数据安全评估， 避免不当的数据采集、 使用、共享等行为。 (一) 评估服务在用户数据采集、传输、存储、使用、删除等数据处理整个流程的合法合规性； (二) 评估所采取数据安全保护措施的充分性与有效性。 第十一条 每年定期评估 每年至少应开展1次全面的数据安全检查评估，评估方式至少包括自评估、外部第三方机构评估等。 (一) 评估数据安全管理制度的完备性与落实程度； (二) 评估数据生命周期各环节的合法合规性； (三) 评估数据安全运维保障措施的完备性与有效性。 第四章 评估流程 第十二条 评估准备 对公司数据进行盘点、梳理与分类，形成统一的数据资产清单，并进行数据安全定级合规性相关准备工作。 (一) 在进行数据安全评估前，需首先明确评估目标，包括但不限于：数据安全合规差距分析，提升自身数据安全管理能力，发现并防控自身数据安全风险，核验第三方参与机构数据安全管理能力等； (二) 组建数据安全评估团队，评估团队由安全部、业务部门、数据管理部等共同组成； (三) 明确本次数据安全评估的具体范围，包括数据库、表等信息； (四) 根据本次评估的目标和数据范围，制定具体的数据安全评估方案，主要包括主要任务、任务分工、人员安排、时间计划等。 第十三条 评估实施 数据安全评估团队应严格依据制定的数据安全评估方案进行评估， 确立的内部沟通机制，定期对评估的进度、难点等进行沟通、确认和协商解决。 第十四条 报告编写 数据安全评估团队对被评估对象当前数据安全现状、 各类数据安全问题严重程度及修复措施应给出结论编制评估报告。 第五章 监督检查 第十五条 考核评价 集团公司按年度对分子公司数据安全评估工作进行综合评价， 对于数据安全评估工作表现突出，为公司做出贡献的予以表彰。对于组织落实不到位的公司或部门，对其主要领导、分管领导及相关责任人进行处罚。 第六章 附则 本办法由公司信息中心负责解释。 本办法自发布之日起执行。