企業(yè)數據資產安全管理辦法第一章總則第一條目的為規(guī)范企業(yè)數據資產安全管理，保障數據資產的完整性、保密性、可用性，促進數據資產的合理利用與價值釋放，根據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》等法律法規(guī)，結合企業(yè)實際情況，制定本辦法。第二條適用范圍本辦法適用于企業(yè)及所屬全資子公司、控股子公司（以下統(tǒng)稱“企業(yè)”）的數據資產安全管理活動，涵蓋數據的采集、存儲、使用、共享、銷毀等全生命周期環(huán)節(jié)。第三條數據資產定義本辦法所稱“數據資產”，是指企業(yè)擁有或控制的、能以數字化形式記錄和存儲、具有潛在或實際經濟價值的數據資源，包括但不限于：（一）客戶數據：客戶基本信息、交易記錄、行為數據等；（二）業(yè)務數據：銷售數據、供應鏈數據、財務數據等；（三）技術數據：研發(fā)文檔、專利信息、核心算法等；（四）管理數據：人力資源數據、內部流程數據、決策支持數據等。第四條基本原則（一）合法合規(guī)：符合國家法律法規(guī)及行業(yè)監(jiān)管要求，嚴禁違法采集、使用或泄露數據；（二）分類分級：根據數據的敏感程度和業(yè)務價值，實施差異化安全管理；（三）權責統(tǒng)一：明確數據安全管理職責，落實“誰主管、誰負責，誰使用、誰負責”；（四）動態(tài)防護：建立數據安全風險監(jiān)測與預警機制，及時應對安全威脅；（五）價值驅動：在保障安全的前提下，促進數據資產的共享與價值挖掘。第二章管理體系與職責第五條組織架構企業(yè)建立“決策層-管理層-執(zhí)行層”三級數據安全管理體系：（一）數據安全委員會：由企業(yè)法定代表人或總經理擔任主任，成員包括各業(yè)務部門負責人、技術負責人、法務負責人。主要職責：審議數據安全戰(zhàn)略、重大決策，協(xié)調解決跨部門數據安全問題；（二）數據安全管理部門：設在企業(yè)信息管理部門或單獨設立，配備專職人員。主要職責：制定數據安全管理制度、流程，監(jiān)督執(zhí)行情況，組織數據安全評估與培訓；（三）業(yè)務部門：各業(yè)務部門負責人為數據安全第一責任人，負責本部門數據資產的日常管理，落實數據安全防護措施；（四）技術團隊：由信息安全工程師、數據架構師等組成，負責數據安全技術防護體系的建設與運維，包括加密、訪問控制、備份恢復等。第六條職責分工（一）數據安全委員會：審批《數據分類分級目錄》《數據安全應急預案》等重要文件，定期聽取數據安全工作匯報；（二）數據安全管理部門：1.制定數據安全管理辦法、操作規(guī)范等制度文件；2.組織數據分類分級工作，維護《數據分類分級目錄》；3.監(jiān)督各部門數據安全執(zhí)行情況，開展內部審計；4.協(xié)調處理數據安全事件，配合監(jiān)管部門調查；（三）業(yè)務部門：1.識別本部門數據資產，申報數據分類分級信息；2.落實數據采集、存儲、使用等環(huán)節(jié)的安全措施；3.對本部門員工進行數據安全培訓，簽訂保密協(xié)議；（四）技術團隊：1.建設數據安全技術防護體系，包括防火墻、加密系統(tǒng)、安全監(jiān)測平臺等；2.定期對數據系統(tǒng)進行安全檢測，修復漏洞；3.負責數據備份與恢復，確保數據可恢復性；（五）員工：遵守數據安全制度，不得違規(guī)采集、使用或泄露數據，發(fā)現安全隱患及時報告。第三章數據分類分級管理第七條分類標準數據分類遵循“業(yè)務屬性+管理需求”原則，分為以下四類：（一）客戶數據：與客戶相關的信息，如姓名、聯系方式、身份證號、交易記錄等；（二）業(yè)務數據：支撐企業(yè)業(yè)務運營的數據，如銷售業(yè)績、庫存數據、供應鏈信息等；（三）技術數據：與企業(yè)技術研發(fā)相關的數據，如研發(fā)文檔、專利信息、核心算法、源代碼等；（四）管理數據：與企業(yè)內部管理相關的數據，如人力資源數據、財務報表、內部流程數據等。第八條分級標準根據數據的敏感程度和泄露后的影響，將數據分為三級：（一）核心數據（一級）：涉及企業(yè)核心競爭力或客戶敏感信息，泄露后可能導致企業(yè)重大經濟損失、聲譽受損或客戶權益嚴重侵害的數據。例如：客戶身份證號、銀行卡號、核心算法、未公開的專利信息等；（二）重要數據（二級）：涉及企業(yè)業(yè)務正常運營或客戶一般敏感信息，泄露后可能導致企業(yè)經濟損失或客戶權益受到侵害的數據。例如：客戶交易記錄、銷售數據、財務報表、研發(fā)中期文檔等；（三）一般數據（三級）：不涉及敏感信息，泄露后對企業(yè)或客戶影響較小的數據。例如：公開的產品信息、普通員工聯系方式、內部通知等。第九條分類分級流程（一）部門申報：各業(yè)務部門識別本部門數據資產，填寫《數據分類分級申報表》，說明數據類別、來源、用途、敏感程度等信息；（二）專家評審：數據安全管理部門組織技術專家、業(yè)務專家、法務專家組成評審小組，對申報數據進行評估，確定分類分級結果；（三）委員會審批：評審結果提交數據安全委員會審批，形成《企業(yè)數據分類分級目錄》；（四）動態(tài)調整：每年定期對《數據分類分級目錄》進行修訂，或根據業(yè)務變化、監(jiān)管要求及時調整。第十條目錄管理《企業(yè)數據分類分級目錄》應包括以下內容：（一）數據類別、級別；（二）數據責任部門；（三）數據存儲位置；（四）安全防護要求；（五）更新日期。目錄需通過企業(yè)內部系統(tǒng)發(fā)布，供各部門查閱執(zhí)行。第四章數據安全防護第十一條技術防護（一）數據加密：核心數據在采集、存儲、傳輸過程中必須采用加密技術（如AES-256、RSA），加密密鑰由技術團隊統(tǒng)一管理，定期更換；（二）訪問控制：遵循“最小權限原則”，為員工分配數據訪問權限，核心數據需經部門負責人審批后方可訪問；采用多因素認證（如密碼+短信驗證、指紋識別）加強身份驗證；（四）備份恢復：制定數據備份策略，核心數據每日全量備份，重要數據每周全量備份+每日增量備份，備份數據存儲在異地機房或云平臺；定期開展恢復演練（每年至少一次），確保備份數據可恢復；（五）漏洞管理：定期對數據系統(tǒng)進行漏洞掃描（每月至少一次），發(fā)現漏洞及時修復；對于無法及時修復的漏洞，采取臨時防護措施。第十二條管理防護（一）制度建設：制定《數據采集管理規(guī)范》《數據共享管理辦法》《數據銷毀操作流程》等配套制度，明確各環(huán)節(jié)安全要求；（二）人員培訓：每年至少組織一次全員數據安全培訓，內容包括法律法規(guī)、制度流程、安全意識、應急處理等；新員工入職時必須簽訂《數據安全保密協(xié)議》，明確保密義務；（三）權限管理：建立員工權限臺賬，定期（每季度）review權限分配情況，及時收回離職員工或調崗員工的權限；（四）物理安全：數據中心、服務器機房需采取物理防護措施，如門禁系統(tǒng)、監(jiān)控攝像頭、防火防水設備，防止未經授權的人員進入；（五）第三方管理：委托第三方處理數據時，需對其數據安全能力進行評估（包括資質、技術防護措施、人員管理等），簽訂《數據安全協(xié)議》，明確雙方責任；定期對第三方數據處理活動進行監(jiān)督。第五章數據全生命周期管理第十三條數據采集（一）合法性：采集數據需獲得數據主體的明確同意（如用戶協(xié)議、隱私政策），不得采集與業(yè)務無關的數據；（二）規(guī)范性：采集數據時需注明數據來源、采集時間、采集用途，確保數據的準確性和完整性；（三）最小化：遵循“最小必要原則”，僅采集業(yè)務所需的最少數據。第十四條數據存儲（一）分類存儲：核心數據存儲在企業(yè)自建的安全服務器或合規(guī)的云平臺，重要數據存儲在企業(yè)內部服務器，一般數據可存儲在普通服務器；（二）存儲期限：根據業(yè)務需求和法律法規(guī)要求，設定數據存儲期限，到期后及時銷毀；（三）訪問日志：記錄數據存儲期間的訪問日志，包括訪問人員、時間、操作內容，日志保存期限不少于6個月。第十五條數據使用（一）授權使用：使用數據需經數據責任部門審批，核心數據需經數據安全管理部門審核；（二）合規(guī)使用：不得超出采集用途使用數據，不得篡改、偽造數據；（三）審計跟蹤：對數據使用行為進行審計，重點監(jiān)控核心數據的使用情況，發(fā)現違規(guī)行為及時制止。第十六條數據共享（一）內部共享：跨部門共享數據需簽訂《內部數據共享協(xié)議》，明確共享范圍、用途、安全責任；（二）外部共享：向第三方共享數據需經數據安全委員會審批，共享前需對第三方進行安全評估，簽訂《外部數據共享協(xié)議》，明確數據用途、保密義務、違約責任；（三）跨境共享：向境外共享數據需符合國家數據跨境傳輸規(guī)定，如進行安全評估、獲得監(jiān)管部門批準。第十七條數據銷毀（一）銷毀范圍：到期數據、無效數據、不再需要的數據需進行銷毀；（二）銷毀方式：核心數據采用物理銷毀（如硬盤粉碎）或加密銷毀（如覆蓋刪除+密鑰銷毀），重要數據采用邏輯銷毀（如格式化+覆蓋刪除），一般數據可采用常規(guī)刪除；（三）銷毀記錄：記錄數據銷毀的時間、方式、責任人，銷毀記錄保存期限不少于3年。第六章應急響應與處置第十八條應急預案數據安全管理部門制定《數據安全應急預案》，明確應急響應流程、職責分工、處置措施，內容包括：（一）事件分級：根據事件影響程度，分為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）、一般（Ⅳ級）四個級別；（二）響應流程：事件報告、啟動預案、調查處置、恢復整改、總結評估；（三）聯系方式：列出內部應急聯系人、外部監(jiān)管部門（如網信辦、公安）、第三方服務機構（如安全廠商）的聯系方式。第十九條事件報告（一）內部報告：員工發(fā)現數據安全事件后，需立即向所在部門負責人報告，部門負責人需在1小時內報告數據安全管理部門；（二）外部報告：發(fā)生重大及以上數據安全事件，需在24小時內報告當地網信辦、公安等監(jiān)管部門；涉及客戶信息泄露的，需及時通知受影響的客戶。第二十條事件處置（一）containment（containment）：立即采取措施防止事件擴大，如斷開網絡、暫停系統(tǒng)服務、修改密碼等；（二）調查：組織技術團隊、法務團隊進行調查，查明事件原因、影響范圍、責任人員；（三）恢復：修復系統(tǒng)漏洞，恢復數據和服務，確保系統(tǒng)正常運行；（四）整改：針對事件原因，制定整改措施，完善數據安全管理體系；（五）總結：事件處置結束后，形成《數據安全事件調查報告》，提交數據安全委員會審議，總結經驗教訓。第二十一條演練與評估（一）演練頻率：每年至少組織一次數據安全應急演練，涵蓋不同類型的事件（如數據泄露、系統(tǒng)入侵、自然災害）；（二）演練評估：演練結束后，對演練效果進行評估，優(yōu)化應急預案；（三）持續(xù)改進：根據演練結果和實際事件處置經驗，定期修訂應急預案。第七章監(jiān)督與考核第二十二條監(jiān)督機制（一）內部審計：企業(yè)內部審計部門每年至少開展一次數據安全審計，檢查數據安全制度執(zhí)行情況、技術防護措施落實情況、數據流轉合規(guī)性等；（二）第三方評估：每兩年委托第三方安全機構進行一次數據安全評估，評估結果提交數據安全委員會；（三）員工監(jiān)督：設立數據安全舉報郵箱或熱線，鼓勵員工舉報違規(guī)行為，對舉報屬實的員工給予獎勵。第二十三條考核指標數據安全管理納入企業(yè)績效考核體系，考核指標包括：（一）數據安全事件發(fā)生率：核心數據事件發(fā)生率為0，重要數據事件發(fā)生率≤1%；（二）整改完成率：數據安全審計、評估發(fā)現的問題整改完成率≥95%；（三）培訓參與率：員工數據安全培訓參與率≥90%；（四）權限管理合規(guī)率：員工權限分配合規(guī)率≥98%。第二十四條獎懲措施（一）獎勵：對數據安全工作表現突出的部門或個人，給予表彰或獎金獎勵；（二）處罰：對違反數據安全制度的部門或個人，根據情節(jié)輕重給予