2026年燃氣供應公司HR系統(tǒng)數(shù)據(jù)安全管理制度第一章總則第一條為規(guī)范公司HR系統(tǒng)數(shù)據(jù)安全管理工作，防范數(shù)據(jù)泄露、篡改、丟失等安全風險，保障員工個人信息及公司人力資源核心數(shù)據(jù)安全，結(jié)合燃氣供應行業(yè)員工信息涉及安全資質(zhì)、崗位操作權(quán)限等敏感內(nèi)容的特點，依據(jù)《中華人民共和國網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等相關法律法規(guī)及公司網(wǎng)絡安全整體規(guī)劃，制定本HR系統(tǒng)數(shù)據(jù)安全管理制度。第二條本制度適用于公司各部門、各分支機構(gòu)所有接觸、使用、管理HR系統(tǒng)數(shù)據(jù)的人員，包括人力資源部系統(tǒng)操作人員、各部門數(shù)據(jù)查詢?nèi)藛T、IT運維人員、管理層授權(quán)查看人員等；覆蓋HR系統(tǒng)中員工基本信息、薪酬福利、績效考核、輪崗交流、晉升競聘、安全資質(zhì)、培訓記錄等全品類數(shù)據(jù)的安全管理。第三條HR系統(tǒng)數(shù)據(jù)安全管理遵循四大核心原則：一是最小權(quán)限原則，僅授予工作人員完成崗位職責所需的最小數(shù)據(jù)操作權(quán)限，嚴禁超權(quán)限訪問；二是全程管控原則，對數(shù)據(jù)的收集、存儲、使用、傳輸、銷毀全生命周期進行安全管控；三是分級保護原則，按數(shù)據(jù)敏感程度劃分安全等級，差異化制定防護措施；四是責任到人原則，明確各環(huán)節(jié)數(shù)據(jù)安全責任主體，做到“誰操作、誰負責，誰管理、誰負責”。第四條各部門職責劃分：人力資源部為HR系統(tǒng)數(shù)據(jù)安全管理牽頭部門，負責數(shù)據(jù)分類分級、權(quán)限分配審核、數(shù)據(jù)使用規(guī)范制定、異常操作核查；IT部門負責HR系統(tǒng)技術防護搭建、系統(tǒng)漏洞修復、操作日志留存、數(shù)據(jù)備份與恢復；法務合規(guī)部門負責數(shù)據(jù)安全管理的合規(guī)性審核，確保符合個人信息保護相關法規(guī)；紀檢監(jiān)督部門負責數(shù)據(jù)安全違規(guī)行為的調(diào)查與追責；所有使用HR系統(tǒng)的部門及人員，需嚴格遵守本制度要求，履行數(shù)據(jù)安全保護義務。第二章數(shù)據(jù)安全管理范圍與分類第五條管理范圍界定：本制度所指HR系統(tǒng)數(shù)據(jù)包括基礎類數(shù)據(jù)（員工姓名、身份證號、聯(lián)系方式、入職信息等）、敏感類數(shù)據(jù)（薪酬金額、銀行賬戶、安全資質(zhì)證書編號、績效考核結(jié)果等）、核心類數(shù)據(jù)（公司人力資源規(guī)劃數(shù)據(jù)、崗位編制數(shù)據(jù)、薪酬體系數(shù)據(jù)等）；覆蓋HR系統(tǒng)端、終端訪問設備、數(shù)據(jù)傳輸通道、數(shù)據(jù)存儲介質(zhì)等全環(huán)節(jié)的安全管理。第六條數(shù)據(jù)分級標準：按敏感程度將HR系統(tǒng)數(shù)據(jù)劃分為三個等級，一級為核心類數(shù)據(jù)（僅管理層授權(quán)人員可訪問），二級為敏感類數(shù)據(jù)（僅人力資源部及相關業(yè)務部門指定人員可訪問），三級為基礎類數(shù)據(jù)（按崗位職責授予相關人員有限訪問權(quán)限）；不同等級數(shù)據(jù)設置差異化的訪問權(quán)限、加密方式、留存期限，核心類和敏感類數(shù)據(jù)需加密存儲，且訪問需雙人復核。第七條人員分類管理：按操作權(quán)限將HR系統(tǒng)使用人員分為系統(tǒng)管理員（負責系統(tǒng)配置、權(quán)限分配）、數(shù)據(jù)錄入員（負責基礎數(shù)據(jù)錄入）、數(shù)據(jù)查詢員（按權(quán)限查詢指定數(shù)據(jù)）、數(shù)據(jù)審計員（負責操作日志核查）；所有人員需簽訂《HR系統(tǒng)數(shù)據(jù)安全承諾書》，明確安全責任及違規(guī)后果，未簽訂承諾書的不得授予系統(tǒng)操作權(quán)限。第三章數(shù)據(jù)全生命周期安全管理第八條數(shù)據(jù)收集環(huán)節(jié)：收集員工數(shù)據(jù)需遵循“必要且最小”原則，僅收集與人力資源管理相關的信息，不得過度收集；收集員工個人敏感信息（如身份證號、銀行賬戶）時，需明確告知員工收集目的、使用范圍及保護措施，取得員工書面授權(quán)；數(shù)據(jù)錄入需核對信息真實性，錄入完成后及時復核，避免錯誤錄入導致的數(shù)據(jù)安全隱患。第九條數(shù)據(jù)存儲環(huán)節(jié)：HR系統(tǒng)數(shù)據(jù)需存儲在公司指定的安全服務器中，嚴禁存儲在個人電腦、移動硬盤、云端網(wǎng)盤等非授權(quán)存儲介質(zhì)；敏感類和核心類數(shù)據(jù)需采用加密方式存儲，存儲期限不得超過法律法規(guī)規(guī)定及公司管理需要的最長期限，到期數(shù)據(jù)按規(guī)定流程銷毀；IT部門需定期對存儲數(shù)據(jù)進行備份，備份介質(zhì)異地存放，確保數(shù)據(jù)丟失后可快速恢復。第十條數(shù)據(jù)使用環(huán)節(jié)：使用HR系統(tǒng)數(shù)據(jù)需遵循“按需使用”原則，不得查詢、下載與崗位職責無關的數(shù)據(jù)；嚴禁將系統(tǒng)賬號、密碼轉(zhuǎn)借他人使用，賬號密碼需定期更換，且符合公司密碼安全規(guī)范；打印、導出敏感類數(shù)據(jù)需經(jīng)人力資源部負責人審批，使用后及時銷毀紙質(zhì)文件、刪除電子副本，做好使用記錄留存。第十一條數(shù)據(jù)傳輸環(huán)節(jié)：傳輸HR系統(tǒng)數(shù)據(jù)需使用公司加密網(wǎng)絡通道，嚴禁通過微信、QQ、郵件等非加密方式傳輸敏感類和核心類數(shù)據(jù)；跨部門傳輸數(shù)據(jù)需通過系統(tǒng)內(nèi)部授權(quán)通道，傳輸完成后及時關閉傳輸權(quán)限；外部單位需調(diào)取數(shù)據(jù)時，需經(jīng)公司管理層審批，且僅提供脫敏后的必要數(shù)據(jù)，同時簽訂數(shù)據(jù)保密協(xié)議。第十二條數(shù)據(jù)銷毀環(huán)節(jié)：到期數(shù)據(jù)或無用數(shù)據(jù)需按規(guī)定流程銷毀，電子數(shù)據(jù)需徹底刪除且覆蓋存儲介質(zhì)，不得僅刪除文件快捷方式；紙質(zhì)數(shù)據(jù)需粉碎銷毀，嚴禁隨意丟棄；數(shù)據(jù)銷毀需做好記錄，明確銷毀時間、方式、責任人，留存銷毀憑證。第四章系統(tǒng)安全防護要求第十三條賬號權(quán)限管理：IT部門需為每位系統(tǒng)使用人員創(chuàng)建獨立賬號，嚴禁共用賬號；人力資源部定期審核賬號權(quán)限，員工調(diào)崗、離職后需在規(guī)定時限內(nèi)收回或調(diào)整其系統(tǒng)權(quán)限，離職人員需立即注銷賬號；權(quán)限調(diào)整需經(jīng)審批，做好審批記錄及權(quán)限變更記錄。第十四條技術防護要求：IT部門需為HR系統(tǒng)部署防火墻、入侵檢測系統(tǒng)、防病毒軟件等安全防護措施，定期掃描系統(tǒng)漏洞并修復；系統(tǒng)操作日志需完整留存，留存期限不少于法律法規(guī)規(guī)定的最長期限，日志需記錄操作人、操作時間、操作內(nèi)容、訪問數(shù)據(jù)類型等信息；嚴禁在接入外網(wǎng)的設備上直接訪問HR系統(tǒng)核心數(shù)據(jù)庫。第十五條應急處置要求：IT部門需制定HR系統(tǒng)數(shù)據(jù)安全應急預案，針對數(shù)據(jù)泄露、系統(tǒng)癱瘓、惡意攻擊等突發(fā)情況制定處置流程；發(fā)生數(shù)據(jù)安全事件時，相關人員需立即上報人力資源部及IT部門，啟動應急預案，采取封堵漏洞、暫停系統(tǒng)訪問、追溯事件源頭等措施，同時按規(guī)定向監(jiān)管部門報告（如需）；事后需復盤事件原因，優(yōu)化防護措施。第五章監(jiān)督考核與附則第十六條監(jiān)督檢查機制：人力資源部聯(lián)合IT部門每季度開展HR系統(tǒng)數(shù)據(jù)安全專項檢查，核查權(quán)限分配合規(guī)性、操作日志規(guī)范性、數(shù)據(jù)存儲安全性；紀檢監(jiān)督部門不定期開展抽查，重點核查是否存在超權(quán)限訪問、違規(guī)下載數(shù)據(jù)等行為；設立數(shù)據(jù)安全舉報渠道，接受員工對違規(guī)操作數(shù)據(jù)行為的舉報，舉報線索需在規(guī)定時限內(nèi)核查反饋。第十七條考核管理要求：人力資源部將各部門及人員遵守本制度的情況納入績效考核，對嚴格執(zhí)行數(shù)據(jù)安全要求、及時發(fā)現(xiàn)安全隱患的人員給予表彰；對違反制度規(guī)定、未履行數(shù)據(jù)安全責任的部門及人員給予通報批評，扣減相應績效；造成數(shù)據(jù)安全事件的，加倍扣減績效。第十八條責任追究條款：員工違反本制度規(guī)定，未按要求保管賬號密碼、超權(quán)限訪問數(shù)據(jù)、違規(guī)傳輸或銷毀數(shù)據(jù)的，視情節(jié)輕重給予警告、記過、降薪等處分；造成數(shù)據(jù)泄露、篡改、丟失等安全事件，給公司造成損失的，追究其賠償責任；情節(jié)嚴重違反法律法規(guī)的，移交司法機關處理；IT部門未按要求做好系統(tǒng)防護、日志留存、數(shù)據(jù)備份的，追究部門負責人及經(jīng)辦人責任。第十九條本制度由公司人力資源部會同IT部門解釋，若國家網(wǎng)絡安全、數(shù)據(jù)保護相關法