数据安全管理规范V1.0.doc

下载文档

337
0
约5.91千字
约 10页
2022-03-31 发布于北京
举报
版权申诉
保障服务

数据安全管理规范V1.0.doc

1、本文档共10页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

数据安全管理规范V1.0

xx数据安全管理规范V1.0 目录版本号：V1.0 附件数：0 密级：内部数据撰写人：审核人：审批人： TOC \o 1-3 \h \z \u 1.目的 2 2.范围 2 3.规范性引用文件 2 4.术语和定义 2 5.必威体育官网网址一级数据的安全管理要求 2 5.1. 数据生成 2 5.2. 数据传输 3 5.3. 数据使用 3 5.4. 数据存储 4 5.5. 数据销毁 5 6.必威体育官网网址二级数据的安全管理要求 5 6.1. 数据生成 5 6.2. 数据传输 6 6.3. 数据使用 6 6.4. 数据存储 7 6.5. 数据销毁 7 7.内部级数据的安全管理要求 7 7.1. 数据生成 7 7.2. 数据传输 8 7.3. 数据使用 8 7.4. 数据存储 8 7.5. 数据销毁 9 8.公开级数据的安全管理要求 9 8.1. 数据生成 9 8.2. 数据传输 9 8.3. 数据使用 9 8.4. 数据存储 10 8.5. 数据销毁 10 1.目的本规范旨在为xx控股集团有限公司（以下简称“xx控股”）及各板块公司的数据安全管理提供参考标准，以明确不同级别数据的安全管理要求，保障数据资产的安全性。 2.范围本规范适用于xx控股集团及各板块公司的全体员工，含线下零售板块、互联网板块、智能手机、智能制造、金融投资板块、地产板块以及电器各分公司。 3.规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。《GB/T 22239-2008 信息系统安全等级保护基本要求》《GBZ 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南》《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）《ISO 27001:2013 信息技术安全技术信息安全管理体系要求》《ISO 27001:2013 信息技术安全技术信息安全控制实用规则》 4.术语和定义（1）必威体育官网网址一级：包含公司最高度敏感数据，关系公司未来发展的前途命运，如果一旦泄露会使公司受到严重损害，对公司根本利益有着决定性的影响。（2）必威体育官网网址二级: 包含公司的敏感数据，如果一旦泄露会使公司的安全和利益受到严重损害。（3）内部数据：仅能在公司内部或在公司内某一部门内公开的数据，对外扩散有可能对公司的利益造成损害。（4）公开数据：可对社会及公众公开的数据。 5.必威体育官网网址一级数据的安全管理要求数据生成本项要求包括：必威体育官网网址一级数据的生成（或创建）应在公司内部安全的系统及环境中进行。必威体育官网网址一级数据的录入应采取双人机制，一人操作，另一人进行复核，并做好数据录入的登记。必威体育官网网址一级数据的采集需求（含系统接口的调用、人工的数据收集或提取）应经相关责任人、部门负责人、公司领导及集团领导批准。对于个人信息（含内部员工个人信息、客户信息）的收集，应具有特定、明确、合理的目的。收集个人信息前，应采用个人易知悉的方式，向个人明确告知和警示处理个人信息的目的、收集方式和手段、收集的具体内容和留存时间、个人信息的使用范围等。应只收集能够达到已告知目的的最少信息。应采用已告知的手段和方式向个人收集，不采取隐蔽手段收集个人信息。数据传输本项要求包括：应用系统间需要传输必威体育官网网址一级数据的，应建立数据安全传输的相关方案，并经相关责任人、部门负责人、安全管理部门及公司领导批准，按照批准后的方案实施。必威体育官网网址一级的电子介质及纸质文档应以安全的方式，由专人负责传递，并做好发送及接收的双向登记。必威体育官网网址一级的电子文档在公司内部传输，应采取适当的加密方式（例如，压缩加密等）进行传输。未经个人信息的主体明确同意，或法律法规明确规定，或未经主管部门同意，不得向其他个人、组织披露本公司获取及处理的个人信息。数据使用本项要求包括：应针对必威体育官网网址一级数据的使用建立逐级审批制度，明确必威体育官网网址一级数据在板块公司内部、各板块公司间及对外使用时的申请审批程序，并按照审批程序执行审批过程，并保留审批记录。所有访问必威体育官网网址一级信息的内部员工和外部人员应在访问信息之前签署必威体育官网网址协议，针对外部人员还应与其所属组织签订必威体育官网网址协议。原则上，必威体育官网网址一级数据不得外发，确有需要，应按照逐级审批制度进行审批，最终应经集团领导批准，并保留审批记录；适当时，应对必威体育官网网址一级数据进行脱敏处理，方可提供给外部组织或人员使用。必威体育官网网址一级数据应仅能被得到授权的极少数核心人员访问，访问者应与公司签署必威体育官网网址必威体育官网网址。对必威体育官网网址一级数据的使用应得到相关责