2025年建筑施工企業(yè)數(shù)據(jù)安全管理制度一、總則（一）為規(guī)范建筑施工企業(yè)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)合理利用，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》及相關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)，結(jié)合建筑行業(yè)特點與公司實際，制定本制度。（二）本制度適用于公司總部、各分支機(jī)構(gòu)、項目部及全體員工在業(yè)務(wù)活動中涉及的數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期安全管理。（三）數(shù)據(jù)安全管理遵循合法正當(dāng)、權(quán)責(zé)明確、目的明確、確保安全、分類分級、全程可控的原則。任何部門和個人不得利用數(shù)據(jù)從事危害國家安全、公共利益以及他人合法權(quán)益的活動。（四）本制度所稱數(shù)據(jù)，是指任何以電子或其他方式對信息的記錄，包括但不限于項目設(shè)計圖紙、施工方案、預(yù)算報價、成本數(shù)據(jù)、進(jìn)度計劃、人員信息、設(shè)備信息、供應(yīng)商信息、客戶信息、財務(wù)信息、商業(yè)秘密等。二、組織與職責(zé)（一）公司成立數(shù)據(jù)安全管理委員會，由總經(jīng)理擔(dān)任主任，分管信息化、安全、法務(wù)的副總經(jīng)理擔(dān)任副主任，成員包括信息技術(shù)部、安全管理部、法務(wù)合規(guī)部、項目管理部、人力資源部、財務(wù)部等相關(guān)部門負(fù)責(zé)人。委員會負(fù)責(zé)審定數(shù)據(jù)安全戰(zhàn)略、制度、重大方案，協(xié)調(diào)解決重大數(shù)據(jù)安全問題。（二）信息技術(shù)部是數(shù)據(jù)安全管理的歸口部門，主要職責(zé)包括：1.負(fù)責(zé)制定和修訂數(shù)據(jù)安全管理制度、技術(shù)規(guī)范與操作規(guī)程。2.負(fù)責(zé)公司核心數(shù)據(jù)基礎(chǔ)設(shè)施的安全防護(hù)體系建設(shè)、運維與監(jiān)控。3.組織實施數(shù)據(jù)分類分級，制定并落實相應(yīng)安全保護(hù)措施。4.組織開展數(shù)據(jù)安全風(fēng)險評估、應(yīng)急演練與安全審計。5.負(fù)責(zé)數(shù)據(jù)安全事件的監(jiān)測、預(yù)警、報告與處置協(xié)調(diào)。6.組織數(shù)據(jù)安全教育培訓(xùn)與意識提升。（三）各業(yè)務(wù)部門是本部門業(yè)務(wù)數(shù)據(jù)安全管理的責(zé)任主體，部門負(fù)責(zé)人為第一責(zé)任人，主要職責(zé)包括：1.負(fù)責(zé)本部門業(yè)務(wù)數(shù)據(jù)的日常安全管理，確保數(shù)據(jù)處理活動符合制度要求。2.明確本部門數(shù)據(jù)管理崗位及職責(zé)，指定數(shù)據(jù)安全員。3.依據(jù)數(shù)據(jù)分類分級要求，落實本部門數(shù)據(jù)的安全保護(hù)措施。4.配合完成數(shù)據(jù)安全風(fēng)險評估、審計和事件處置工作。5.負(fù)責(zé)對本部門員工進(jìn)行數(shù)據(jù)安全操作培訓(xùn)。（四）安全管理部負(fù)責(zé)將數(shù)據(jù)安全納入公司整體安全管理體系，監(jiān)督施工現(xiàn)場涉及數(shù)據(jù)采集、傳輸設(shè)備（如監(jiān)控攝像頭、傳感器）的物理安全。（五）法務(wù)合規(guī)部負(fù)責(zé)數(shù)據(jù)安全相關(guān)法律法規(guī)的符合性審查，處理數(shù)據(jù)安全相關(guān)的法律糾紛與合規(guī)風(fēng)險。（六）全體員工均有保護(hù)數(shù)據(jù)安全的義務(wù)，應(yīng)自覺遵守數(shù)據(jù)安全管理制度，接受相關(guān)培訓(xùn)，對工作中知悉的數(shù)據(jù)信息承擔(dān)保密責(zé)任。三、數(shù)據(jù)分類分級管理（一）公司根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后對國家安全、公共利益、個人合法權(quán)益以及企業(yè)自身造成的危害程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)三個級別。（二）核心數(shù)據(jù)是指一旦泄露、篡改或濫用可能對國家安全、經(jīng)濟(jì)命脈、關(guān)鍵基礎(chǔ)設(shè)施造成嚴(yán)重危害，或?qū)е缕髽I(yè)重大商業(yè)利益、核心競爭力遭受毀滅性打擊的數(shù)據(jù)。例如：涉及國家秘密的項目圖紙、重大工程的安防布控方案、核心算法源代碼、未公開的重大并購重組信息等。核心數(shù)據(jù)應(yīng)采取最高級別的保護(hù)措施，嚴(yán)格控制知悉范圍。（三）重要數(shù)據(jù)是指一旦泄露、篡改或濫用可能對公共利益、個人權(quán)益造成較大危害，或?qū)е缕髽I(yè)遭受重大經(jīng)濟(jì)損失、聲譽損害的數(shù)據(jù)。例如：詳細(xì)的工程造價與成本數(shù)據(jù)、重要的客戶信息與合同條款、員工個人信息、供應(yīng)商評估資料、質(zhì)量安全事故報告、關(guān)鍵的施工工藝參數(shù)等。重要數(shù)據(jù)應(yīng)采取嚴(yán)格的訪問控制和加密保護(hù)。（四）一般數(shù)據(jù)是指核心數(shù)據(jù)和重要數(shù)據(jù)之外的其他數(shù)據(jù)，其泄露、篡改或濫用可能造成的危害程度相對較低。例如：已公開的企業(yè)宣傳資料、常規(guī)的會議紀(jì)要、非涉密的通知公告等。一般數(shù)據(jù)應(yīng)遵循基本的安全管理要求。（五）信息技術(shù)部應(yīng)會同各業(yè)務(wù)部門，制定詳細(xì)的數(shù)據(jù)分類分級目錄和標(biāo)識規(guī)范，并根據(jù)業(yè)務(wù)變化和數(shù)據(jù)重要性動態(tài)調(diào)整。數(shù)據(jù)處理活動應(yīng)按照其所屬級別采取相應(yīng)的安全保護(hù)措施。四、數(shù)據(jù)全生命周期安全管理（一）數(shù)據(jù)收集1.收集數(shù)據(jù)應(yīng)遵循合法、正當(dāng)、必要、誠信的原則，不得收集與業(yè)務(wù)無關(guān)的數(shù)據(jù)。2.收集個人信息應(yīng)取得個人同意，法律、行政法規(guī)另有規(guī)定的除外。應(yīng)明確告知個人信息處理的目的、方式、范圍，并不得超出告知的范圍處理個人信息。3.通過自動化設(shè)備（如傳感器、監(jiān)控攝像頭）收集數(shù)據(jù)，應(yīng)確保設(shè)備安全可控，并在采集區(qū)域設(shè)置顯著提示標(biāo)識。4.從外部獲取數(shù)據(jù)時，應(yīng)評估數(shù)據(jù)來源的合法性與安全性，并簽訂數(shù)據(jù)安全相關(guān)協(xié)議。（二）數(shù)據(jù)存儲1.數(shù)據(jù)應(yīng)存儲在符合安全要求的服務(wù)器或存儲設(shè)備中。核心數(shù)據(jù)和重要數(shù)據(jù)原則上應(yīng)存儲在境內(nèi)的數(shù)據(jù)中心。2.根據(jù)數(shù)據(jù)級別采取相應(yīng)的加密存儲措施。核心數(shù)據(jù)必須采用高強(qiáng)度加密算法加密存儲。3.建立數(shù)據(jù)備份與恢復(fù)機(jī)制。核心數(shù)據(jù)應(yīng)實現(xiàn)異地實時備份，重要數(shù)據(jù)應(yīng)定期備份，確保數(shù)據(jù)丟失后可快速恢復(fù)。備份數(shù)據(jù)應(yīng)與生產(chǎn)數(shù)據(jù)同等保護(hù)。4.定期對存儲數(shù)據(jù)的完整性、可用性進(jìn)行檢查。（三）數(shù)據(jù)使用與加工1.嚴(yán)格依據(jù)“業(yè)務(wù)必需”和“最小權(quán)限”原則控制數(shù)據(jù)訪問權(quán)限。員工只能訪問其職責(zé)范圍內(nèi)必需的數(shù)據(jù)。2.核心數(shù)據(jù)和重要數(shù)據(jù)的訪問、操作應(yīng)保留完整的日志記錄，日志保存時間不少于六個月。3.在開發(fā)、測試環(huán)境中使用生產(chǎn)數(shù)據(jù)，必須進(jìn)行脫敏處理，避免敏感信息泄露。4.對數(shù)據(jù)進(jìn)行統(tǒng)計分析、建模分析等加工活動，應(yīng)在安全可控的環(huán)境中進(jìn)行，加工結(jié)果如涉及敏感信息應(yīng)進(jìn)行脫敏。（四）數(shù)據(jù)傳輸1.在公司內(nèi)部網(wǎng)絡(luò)傳輸數(shù)據(jù)，應(yīng)使用安全的網(wǎng)絡(luò)通道。核心數(shù)據(jù)和重要數(shù)據(jù)在內(nèi)部傳輸也應(yīng)進(jìn)行加密。2.通過互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)向外部傳輸核心數(shù)據(jù)和重要數(shù)據(jù)，必須使用虛擬專用網(wǎng)絡(luò)（VPN）或其它可靠的加密傳輸技術(shù)。3.嚴(yán)禁通過互聯(lián)網(wǎng)公共郵箱、即時通訊工具等非安全渠道傳輸核心數(shù)據(jù)和重要數(shù)據(jù)。4.物理介質(zhì)（如移動硬盤、U盤）傳輸數(shù)據(jù)，需經(jīng)審批并對介質(zhì)加密，傳遞過程應(yīng)登記備案。（五）數(shù)據(jù)提供與公開1.向公司外部的組織或個人提供數(shù)據(jù)，必須經(jīng)過嚴(yán)格的安全評估和審批程序，并簽訂數(shù)據(jù)安全協(xié)議，明確雙方安全責(zé)任。2.數(shù)據(jù)出境活動，必須遵守國家關(guān)于數(shù)據(jù)出境安全評估的法律法規(guī)。3.公開數(shù)據(jù)前，必須進(jìn)行保密審查，確保不包含核心數(shù)據(jù)、重要數(shù)據(jù)及依法不應(yīng)公開的信息。（六）數(shù)據(jù)刪除1.數(shù)據(jù)超出保存期限或處理目的已實現(xiàn)，應(yīng)及時刪除或匿名化。2.數(shù)據(jù)刪除應(yīng)確保不可恢復(fù)。存儲介質(zhì)報廢或轉(zhuǎn)作他用前，必須采用物理銷毀或多次覆寫等安全手段徹底清除數(shù)據(jù)。3.員工離職時，應(yīng)及時終止其數(shù)據(jù)訪問權(quán)限，并收回其持有的公司數(shù)據(jù)。五、信息系統(tǒng)與網(wǎng)絡(luò)安全（一）公司信息系統(tǒng)（如項目管理系統(tǒng)、OA系統(tǒng)、財務(wù)系統(tǒng)）的建設(shè)、運維應(yīng)同步規(guī)劃、同步建設(shè)、同步運行數(shù)據(jù)安全保護(hù)措施。（二）網(wǎng)絡(luò)應(yīng)劃分安全域，根據(jù)數(shù)據(jù)級別和業(yè)務(wù)需求實施邊界防護(hù)、訪問控制、入侵檢測等措施。核心數(shù)據(jù)所在區(qū)域應(yīng)實施最高級別的網(wǎng)絡(luò)隔離與保護(hù)。（三）對所有接入公司網(wǎng)絡(luò)的設(shè)備（包括員工自帶設(shè)備）進(jìn)行安全認(rèn)證與管理。無線網(wǎng)絡(luò)應(yīng)進(jìn)行安全隔離和加密。（四）定期對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件進(jìn)行安全補(bǔ)丁更新，及時修復(fù)已知安全漏洞。（五）部署防病毒、防惡意代碼軟件，并定期更新病毒庫，進(jìn)行全盤掃描。（六）嚴(yán)格控制管理員權(quán)限，實行分權(quán)制衡，定期審查權(quán)限分配情況。六、數(shù)據(jù)安全風(fēng)險評估與應(yīng)急響應(yīng)（一）信息技術(shù)部應(yīng)每年至少組織一次全面的數(shù)據(jù)安全風(fēng)險評估，識別潛在威脅、脆弱性以及可能造成的影響，評估現(xiàn)有控制措施的有效性，并形成風(fēng)險評估報告報數(shù)據(jù)安全管理委員會。（二）各業(yè)務(wù)部門在開展新業(yè)務(wù)、上線新系統(tǒng)或發(fā)生重大變更時，應(yīng)進(jìn)行專項數(shù)據(jù)安全風(fēng)險評估。（三）公司制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確事件分級標(biāo)準(zhǔn)、報告流程、處置措施、恢復(fù)流程及溝通策略。（四）發(fā)生數(shù)據(jù)泄露、篡改、丟失等安全事件，發(fā)現(xiàn)人員應(yīng)立即報告部門負(fù)責(zé)人和信息技術(shù)部。信息技術(shù)部應(yīng)按照應(yīng)急預(yù)案迅速采取處置措施，防止危害擴(kuò)大，并在事件發(fā)生后一小時內(nèi)向數(shù)據(jù)安全管理委員會報告，必要時按規(guī)定向有關(guān)主管部門報告。（五）每年至少組織一次數(shù)據(jù)安全應(yīng)急演練，檢驗應(yīng)急預(yù)案的有效性，并持續(xù)改進(jìn)。七、外包服務(wù)安全管理（一）將數(shù)據(jù)處理活動委托第三方（如云服務(wù)商、軟件開發(fā)商、數(shù)據(jù)處理服務(wù)商）時，應(yīng)進(jìn)行嚴(yán)格的安全能力評估，優(yōu)先選擇安全記錄良好、符合國家合規(guī)要求的服務(wù)商。（二）與外包服務(wù)商簽訂合同或協(xié)議時，必須明確約定數(shù)據(jù)安全保護(hù)責(zé)任、技術(shù)措施、監(jiān)督審計權(quán)利、違約處罰、合同終止后的數(shù)據(jù)返還或刪除要求等條款。（三）應(yīng)定期或不定期對重要外包服務(wù)商的數(shù)據(jù)安全保護(hù)狀況進(jìn)行審計或評估。（四）外包服務(wù)商發(fā)生數(shù)據(jù)安全事件，可能影響公司數(shù)據(jù)的，公司應(yīng)立即督促其采取措施，并評估對自身的影響，必要時啟動應(yīng)急響應(yīng)。八、宣傳教育與培訓(xùn)（一）信息技術(shù)部會同人力資源部，每年制定數(shù)據(jù)安全培訓(xùn)計劃，針對不同崗位員工開展有針對性的培訓(xùn)。（二）新員工入職時必須接受數(shù)據(jù)安全基礎(chǔ)培訓(xùn)，經(jīng)考核合格后方可上崗。（三）定期通過公司內(nèi)部平臺、郵件、宣傳欄等方式，發(fā)布數(shù)據(jù)安全知識、案例警示，提升全員數(shù)據(jù)安全意識和技能。（四）對數(shù)據(jù)處理關(guān)鍵崗位人員（如系統(tǒng)管理員、數(shù)據(jù)分析師、項目資料員）進(jìn)行專項安全培訓(xùn)和考核。九、監(jiān)督考核與獎懲（一）信息技術(shù)部、安全管理部、法務(wù)合規(guī)部定期（每半年一次）聯(lián)合對各部門數(shù)據(jù)安全管理制度的執(zhí)行情況進(jìn)行監(jiān)督檢查，檢查結(jié)果納入部門年度績效考核。（二）對在數(shù)據(jù)安全管理工作中做出顯著成績或有效避免重大安全損失的部門和個人，給予通報表揚、物質(zhì)獎勵等。（三）違反本制度規(guī)定，有下列行為之一的，視情節(jié)輕重給予批評教育、通報批評、經(jīng)濟(jì)處罰、調(diào)離崗位等處理；造成數(shù)據(jù)安全事件或損失的，依法依規(guī)追究相關(guān)責(zé)任人及管理者的責(zé)任；涉嫌犯罪的，移送司法機(jī)關(guān)處理：1.未履行數(shù)據(jù)安全保護(hù)義務(wù)，導(dǎo)致數(shù)據(jù)泄露、毀損、丟失的。2.越權(quán)訪問、使用、泄露、篡改、刪除數(shù)據(jù)的。3.未經(jīng)批準(zhǔn)擅自向外部提供或公開數(shù)據(jù)的