2026年工藝品制造公司HR系統(tǒng)數(shù)據(jù)安全管理制度第一章總則第一條為規(guī)范本公司HR系統(tǒng)數(shù)據(jù)安全管理工作，明確HR系統(tǒng)數(shù)據(jù)收集、存儲(chǔ)、使用、傳輸、銷(xiāo)毀全流程安全管控要求，防范數(shù)據(jù)泄露、篡改、丟失等安全風(fēng)險(xiǎn)，保障員工個(gè)人信息權(quán)益，維護(hù)公司經(jīng)營(yíng)管理秩序，結(jié)合工藝品制造行業(yè)人員管理特性（含生產(chǎn)崗、研發(fā)崗、管理崗等不同崗位人員數(shù)據(jù)管理特點(diǎn)），依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)及公司信息安全、行政管理體系要求，制定本制度。第二條本制度適用于公司HR系統(tǒng)所有數(shù)據(jù)的安全管理工作，覆蓋員工基本信息、薪酬福利、考勤休假、績(jī)效考核、培訓(xùn)檔案、入職離職等所有數(shù)據(jù)類(lèi)型，涉及HR部門(mén)、信息技術(shù)部、各業(yè)務(wù)部門(mén)開(kāi)展HR系統(tǒng)數(shù)據(jù)操作相關(guān)工作均須遵守本制度。第三條HR系統(tǒng)數(shù)據(jù)安全管理遵循“保密性、完整性、可用性、合規(guī)性”的核心原則，確保數(shù)據(jù)在全生命周期內(nèi)不被未授權(quán)訪(fǎng)問(wèn)、不被非法篡改、可正常調(diào)取使用，且所有數(shù)據(jù)處理行為符合法律法規(guī)和公司管理要求。第四條公司成立HR系統(tǒng)數(shù)據(jù)安全管理小組，由分管人力資源工作的公司領(lǐng)導(dǎo)任組長(zhǎng)，HR部門(mén)負(fù)責(zé)人為副組長(zhǎng)，信息技術(shù)部、法務(wù)部、行政管理部負(fù)責(zé)人為成員，統(tǒng)籌制定數(shù)據(jù)安全管理標(biāo)準(zhǔn)、審批權(quán)限調(diào)整方案、監(jiān)督安全流程執(zhí)行、處置數(shù)據(jù)安全事件。HR部門(mén)為HR系統(tǒng)數(shù)據(jù)管理歸口部門(mén)，負(fù)責(zé)數(shù)據(jù)的日常維護(hù)和使用規(guī)范制定；信息技術(shù)部負(fù)責(zé)HR系統(tǒng)技術(shù)層面的安全防護(hù)和運(yùn)維保障；法務(wù)部負(fù)責(zé)數(shù)據(jù)合規(guī)性審核。第二章管控范圍與核心原則第五條HR系統(tǒng)數(shù)據(jù)安全管控范圍：（一）數(shù)據(jù)類(lèi)型范圍：核心敏感數(shù)據(jù)（員工身份證號(hào)、銀行卡號(hào)、薪酬明細(xì)、社保公積金信息）、重要數(shù)據(jù)（考勤記錄、績(jī)效考核結(jié)果、保密協(xié)議信息）、一般數(shù)據(jù)（員工姓名、崗位名稱(chēng)、入職時(shí)間等基礎(chǔ)非敏感信息）；（二）操作環(huán)節(jié)范圍：數(shù)據(jù)收集（入職登記、信息更新）、數(shù)據(jù)存儲(chǔ)（系統(tǒng)數(shù)據(jù)庫(kù)、備份介質(zhì)）、數(shù)據(jù)使用（查詢(xún)、統(tǒng)計(jì)、分析）、數(shù)據(jù)傳輸（系統(tǒng)內(nèi)共享、跨部門(mén)傳遞）、數(shù)據(jù)銷(xiāo)毀（員工離職后數(shù)據(jù)處理、系統(tǒng)下線(xiàn)數(shù)據(jù)清理）；（三）責(zé)任范圍：HR部門(mén)數(shù)據(jù)管理員為數(shù)據(jù)安全第一責(zé)任人，信息技術(shù)部系統(tǒng)運(yùn)維人員為系統(tǒng)技術(shù)安全責(zé)任人，各部門(mén)負(fù)責(zé)人為本部門(mén)員工HR數(shù)據(jù)使用安全責(zé)任人。第六條核心管控原則細(xì)化：（一）保密性原則：核心敏感數(shù)據(jù)僅對(duì)HR部門(mén)指定人員開(kāi)放查詢(xún)權(quán)限，薪酬明細(xì)數(shù)據(jù)僅限HR薪酬專(zhuān)員、分管領(lǐng)導(dǎo)查閱，嚴(yán)禁向無(wú)關(guān)人員泄露，嚴(yán)禁通過(guò)微信、郵箱等非加密渠道傳輸核心敏感數(shù)據(jù)；（二）完整性原則：建立數(shù)據(jù)錄入校驗(yàn)機(jī)制，確保員工信息錄入準(zhǔn)確無(wú)誤，定期開(kāi)展數(shù)據(jù)核對(duì)工作（每月核對(duì)考勤數(shù)據(jù)、每季度核對(duì)薪酬數(shù)據(jù)），發(fā)現(xiàn)數(shù)據(jù)篡改、缺失及時(shí)修正，確保數(shù)據(jù)真實(shí)完整；（三）可用性原則：信息技術(shù)部保障HR系統(tǒng)7×24小時(shí)基礎(chǔ)可用，非計(jì)劃停機(jī)維護(hù)須提前3個(gè)工作日通知HR部門(mén)，數(shù)據(jù)備份須確?？煽焖倩謴?fù)，恢復(fù)時(shí)長(zhǎng)不超過(guò)4小時(shí)，滿(mǎn)足公司人員管理日常使用需求；（四）合規(guī)性原則：收集員工數(shù)據(jù)前須明確告知收集目的和使用范圍，取得員工明示同意，不得收集與工作無(wú)關(guān)的個(gè)人信息，不得超出授權(quán)范圍使用數(shù)據(jù)，員工離職后按規(guī)定留存必要數(shù)據(jù)，其余數(shù)據(jù)按要求脫敏后處理。第三章數(shù)據(jù)安全管理標(biāo)準(zhǔn)第七條不同類(lèi)型數(shù)據(jù)安全管理標(biāo)準(zhǔn)：（一）核心敏感數(shù)據(jù)：采用加密存儲(chǔ)方式，查詢(xún)時(shí)需雙人復(fù)核授權(quán)，操作記錄永久留存，傳輸時(shí)使用公司加密專(zhuān)線(xiàn)，嚴(yán)禁截圖、拷貝至私人設(shè)備，薪酬明細(xì)數(shù)據(jù)僅可在HR部門(mén)專(zhuān)用電腦上查詢(xún)；（二）重要數(shù)據(jù)：設(shè)置分級(jí)查詢(xún)權(quán)限，部門(mén)負(fù)責(zé)人僅可查詢(xún)本部門(mén)員工考勤、績(jī)效數(shù)據(jù)，查詢(xún)操作記錄留存1年以上，數(shù)據(jù)修改須填寫(xiě)《HR數(shù)據(jù)修改申請(qǐng)表》，經(jīng)HR部門(mén)負(fù)責(zé)人審批后方可執(zhí)行；（三）一般數(shù)據(jù)：開(kāi)放基礎(chǔ)查詢(xún)權(quán)限（各部門(mén)可查詢(xún)本部門(mén)員工基礎(chǔ)信息），但數(shù)據(jù)導(dǎo)出須經(jīng)HR部門(mén)審核，導(dǎo)出后的數(shù)據(jù)文件標(biāo)注使用用途，使用完畢后及時(shí)刪除。第八條權(quán)限管理標(biāo)準(zhǔn)：（一）權(quán)限分配標(biāo)準(zhǔn)：遵循“最小權(quán)限、按需分配”原則，僅為實(shí)際工作需要的人員分配對(duì)應(yīng)權(quán)限，研發(fā)崗、生產(chǎn)崗管理人員僅分配本部門(mén)員工基礎(chǔ)信息查詢(xún)權(quán)限，無(wú)薪酬數(shù)據(jù)查看權(quán)限；（二）權(quán)限調(diào)整標(biāo)準(zhǔn)：?jiǎn)T工崗位變動(dòng)或離職后，HR部門(mén)須在1個(gè)工作日內(nèi)通知信息技術(shù)部調(diào)整或收回其HR系統(tǒng)權(quán)限，權(quán)限調(diào)整須填寫(xiě)《權(quán)限變更申請(qǐng)表》，經(jīng)管理小組副組長(zhǎng)審批；（三）密碼管理標(biāo)準(zhǔn)：HR系統(tǒng)所有賬號(hào)密碼須包含字母、數(shù)字、特殊字符，長(zhǎng)度不少于8位，每90天強(qiáng)制更換一次，嚴(yán)禁共用賬號(hào)密碼、使用弱密碼。第四章數(shù)據(jù)安全管理流程第九條數(shù)據(jù)收集與錄入要求：（一）HR部門(mén)收集員工數(shù)據(jù)須以書(shū)面形式告知員工收集內(nèi)容、使用目的、保存期限，員工簽署《個(gè)人信息收集授權(quán)書(shū)》后方可收集，嚴(yán)禁強(qiáng)制收集非必要信息；（二）數(shù)據(jù)錄入須由HR部門(mén)指定人員完成，錄入前核對(duì)原始材料（身份證、學(xué)歷證明等）真實(shí)性，錄入后進(jìn)行二次校驗(yàn)，確保數(shù)據(jù)與原始材料一致；（三）員工信息更新須由員工本人提交書(shū)面申請(qǐng)及證明材料，HR部門(mén)審核通過(guò)后更新，更新記錄留存?zhèn)洳?。第十條數(shù)據(jù)存儲(chǔ)與備份要求：（一）HR系統(tǒng)數(shù)據(jù)庫(kù)部署在公司內(nèi)網(wǎng)服務(wù)器，禁止直接接入互聯(lián)網(wǎng)，服務(wù)器定期進(jìn)行漏洞掃描和安全加固，每月不少于1次；（二）數(shù)據(jù)備份采用“本地+異地”雙備份模式，核心敏感數(shù)據(jù)每日備份，重要數(shù)據(jù)每周備份，一般數(shù)據(jù)每月備份，備份介質(zhì)加密存儲(chǔ)，由信息技術(shù)部專(zhuān)人保管；（三）備份數(shù)據(jù)定期進(jìn)行恢復(fù)測(cè)試，每季度不少于1次，確保備份數(shù)據(jù)可正?；謴?fù)使用。第十一條數(shù)據(jù)使用與銷(xiāo)毀要求：（一）使用HR系統(tǒng)數(shù)據(jù)須在公司辦公設(shè)備上操作，嚴(yán)禁在私人電腦、手機(jī)等設(shè)備上登錄系統(tǒng)查詢(xún)數(shù)據(jù)，查詢(xún)數(shù)據(jù)時(shí)做好操作記錄，記錄包含操作人、操作時(shí)間、操作內(nèi)容；（二）員工離職后，其核心敏感數(shù)據(jù)進(jìn)行脫敏處理（隱藏身份證號(hào)、銀行卡號(hào)等關(guān)鍵信息），重要數(shù)據(jù)留存至勞動(dòng)合同終止后2年，一般數(shù)據(jù)按公司檔案管理要求留存，超出留存期限的數(shù)據(jù)由HR部門(mén)和信息技術(shù)部共同監(jiān)督銷(xiāo)毀；（三）數(shù)據(jù)銷(xiāo)毀采用不可逆方式，電子數(shù)據(jù)徹底刪除并覆蓋存儲(chǔ)區(qū)域，紙質(zhì)數(shù)據(jù)粉碎銷(xiāo)毀，銷(xiāo)毀過(guò)程記錄留存，由兩名以上工作人員見(jiàn)證。第五章專(zhuān)項(xiàng)數(shù)據(jù)安全管控第十二條重點(diǎn)數(shù)據(jù)安全專(zhuān)項(xiàng)管控要求：（一）薪酬數(shù)據(jù)管控：薪酬明細(xì)數(shù)據(jù)僅限HR薪酬專(zhuān)員、分管人力資源領(lǐng)導(dǎo)查閱，查閱時(shí)須在HR部門(mén)指定電腦操作，嚴(yán)禁打印、導(dǎo)出薪酬明細(xì)，確需導(dǎo)出的須經(jīng)公司總經(jīng)理審批，導(dǎo)出文件加密存儲(chǔ)且使用后48小時(shí)內(nèi)刪除；（二）員工身份信息管控：身份證號(hào)、手機(jī)號(hào)等身份信息僅用于入職登記、社保繳納等法定用途，嚴(yán)禁向外部機(jī)構(gòu)或個(gè)人提供，因業(yè)務(wù)需要（如辦理社保）提供時(shí)，須對(duì)信息進(jìn)行脫敏處理（隱藏部分?jǐn)?shù)字）；（三）離職員工數(shù)據(jù)管控：離職員工權(quán)限即時(shí)收回，其數(shù)據(jù)按留存期限分類(lèi)管理，涉及競(jìng)業(yè)限制、保密協(xié)議的員工數(shù)據(jù)，額外增加訪(fǎng)問(wèn)審批環(huán)節(jié)，僅限HR部門(mén)和法務(wù)部指定人員查閱；（四）外部數(shù)據(jù)交互管控：因?qū)徲?jì)、合規(guī)檢查等需要向外部提供HR數(shù)據(jù)時(shí)，須經(jīng)法務(wù)部審核、管理小組審批，提供的數(shù)據(jù)進(jìn)行脫敏處理，同時(shí)簽訂數(shù)據(jù)保密協(xié)議，明確對(duì)方使用范圍和安全責(zé)任。第六章考核與結(jié)果應(yīng)用第十三條HR系統(tǒng)數(shù)據(jù)安全考核標(biāo)準(zhǔn)：（一）滿(mǎn)分100分，權(quán)限管理合規(guī)性占30分，數(shù)據(jù)操作規(guī)范性占30分，安全防護(hù)有效性占20分，事件處置及時(shí)性占20分；（二）權(quán)限未及時(shí)收回扣8分/次，違規(guī)查詢(xún)/傳輸核心敏感數(shù)據(jù)扣10分/次，備份不及時(shí)扣5分/次，數(shù)據(jù)安全事件處置滯后超24小時(shí)扣10分/次；（三）全年無(wú)數(shù)據(jù)安全違規(guī)行為、無(wú)數(shù)據(jù)安全事件的，額外加10-20分；因違規(guī)操作導(dǎo)致數(shù)據(jù)泄露的，扣20分/次并追究責(zé)任人責(zé)任，情節(jié)嚴(yán)重的按公司規(guī)定給予紀(jì)律處分，涉及違法的移交司法機(jī)關(guān)。第十四條考核結(jié)果應(yīng)用：（一）年度考核得分≥90分：相關(guān)責(zé)任人全額發(fā)放信息安全績(jī)效獎(jiǎng)金，得分≥95分額外發(fā)放專(zhuān)項(xiàng)獎(jiǎng)勵(lì)；（二）年度考核得分80-89分：發(fā)放80%信息安全績(jī)效獎(jiǎng)金，限期5個(gè)工作日提交整改方案，HR部門(mén)主管監(jiān)督整改落實(shí)；（三）年度考核得分＜80分：不發(fā)放信息安全績(jī)效獎(jiǎng)金，責(zé)任人參加數(shù)據(jù)安全專(zhuān)項(xiàng)培訓(xùn)，考核合格后方可恢復(fù)HR系統(tǒng)操作權(quán)限。第七章監(jiān)督與應(yīng)急處置第十五條日常監(jiān)督：（一）HR部門(mén)每月抽查系統(tǒng)操作日志，核查是否存在違規(guī)查詢(xún)、導(dǎo)出數(shù)據(jù)行為，抽查比例不低于當(dāng)月操作記錄的20%，重點(diǎn)核查核心敏感數(shù)據(jù)操作記錄；（二）信息技術(shù)部每季度開(kāi)展HR系統(tǒng)安全漏洞掃描和滲透測(cè)試，及時(shí)修復(fù)安全漏洞，形成《安全檢測(cè)報(bào)告》報(bào)管理小組；（三）每年開(kāi)展一次全員HR數(shù)據(jù)安全培訓(xùn)，普及數(shù)據(jù)安全法規(guī)、操作規(guī)范、風(fēng)險(xiǎn)防范技巧，提升員工數(shù)據(jù)安全意識(shí)。第十六條應(yīng)急處置：（一）發(fā)生數(shù)據(jù)泄露、篡改、丟失等安全事件后，發(fā)現(xiàn)人須在1小時(shí)內(nèi)上報(bào)HR部門(mén)負(fù)責(zé)人，HR部門(mén)立即通知信息技術(shù)部采取應(yīng)急措施（如暫停系統(tǒng)訪(fǎng)問(wèn)、鎖定可疑賬號(hào)）；（二）管理小組在24小時(shí)內(nèi)啟動(dòng)事件調(diào)查，分析事件原因、影響范圍，制定處置方案，涉及員工信息泄露的，及時(shí)告知受影響員工并采取補(bǔ)救措施；（三）事件處置完成后，形成《數(shù)據(jù)安全事件處置報(bào)告》，總結(jié)事件教訓(xùn)，優(yōu)化數(shù)據(jù)安全管控措施，避免同類(lèi)事件再次發(fā)生。第八章附則第十七條本制度由公