数据分类分级管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目标
为提高北京思度安全股份有限公司(以下简称公司),数据安全防护能力,对不同数据采取更合理安全管理和保护措施,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规,结合本公司实际情况,特制定本办法。
第二条 适用范围
本办法适用于集团公司总部,各分子公司、基层企业。
第三条 基本原则
公司的数据分类遵循的基本原则:
(一) 科学性
按照公司数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。
(二) 稳定性
公司数据的分类应以数据目录中的各种数据分类方法为基础,并以数据最稳定的特征和属性为依据制定分类方案。
(三) 实用性
公司数据分类要确保每个类目下要有公司数据,不设没有意义的类目,数据类目划分要符合用户对公司数据分类的普遍认识。
(四) 扩展性
数据分类方案在总体上应具有概括性和包容性,能够实现各种类型公司数据的分类,以及满足将来可能出现的数据类型
公司数据遵循的分级原则:
(一) 合法合规性原则:满足国家法律法规及行业主管部门有关规定。
(二) 可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性。
(三) 时效性原则:数据安全级别具有一定的有效期限,各分子公司应按照级别变更策略对数据级别进行及时调整。
(四) 自主性原则:结合公司自身数据管理需要(如战略需要、业务需要、风险接受程度等), 在本标准的框架下自主确定数据安全级别。
(五) 差异性原则:根据本公司数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。
(六) 客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。
第四条 术语
数据分类是指根据公司数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用公司数据的过程。
数据分级是指按照一定的分级原则对分类后的公司数据进行定级,从而为公司数据的开放和共享安全策略制定提供支撑的过程。
第二章 组织与职责
第五条 组织机构
公司设立的信息与数据管理委员会统筹管理公司范围内的数据分类分级工作。
各业务团队应设置数据安全接口人负责本部门范围内数据资产的分类分级工作 。
第六条 职责
(一) 应按照本制度要求及时登记、更新和定期维护本部门负责的数据资产的类别和等级
(二) 应建立数据资产目录(数据资产地图)并提供检索服务,能够实时查看数据的类别和登记
(三) 应建立数据资产类别变更管理审批流程,实时监控数据资产变化,并配置相适应的安全管理措施
第三章 分类分级方法
第七条 分类分级方法
数据分类分级方法主要依据数据遭到破坏后可能造成的对数据的机密性、完整性、可用性的影响进行定级。
第八条 影响评估法
影响对象指数据安全性遭受破坏后受到影响的对象,包括国家安全、个人隐私、企业合法权益等。影响对象的确定主要考虑以下内容,公司关键信息基础设施系统,危害国家安全;公司对外业务系统,影响用户个人隐私;公司内部管理系统,影响公司合法权益。
第九条 影响程度评估
影响程度指公司数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。
(一) 严重损害
可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况。
可能导致严重危害社会秩序和公共利益,引发公众广泛诉讼等事件。
可能导致公司遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况。
可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。
(二) 一般损害
可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件。
可能导致公司遭到监管部门处罚,或者影响部分业务无法正常开展的情况。
可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。
(三) 轻微损害
可能导致个别诉讼事件,使公司经济利益、声誉等轻微受损。
可能导致公司部分业务临时性中断等情况。
可能导致超出个人客户授权加工、处理、使用数据等情况,对个人权益造成部分或潜在影响。
(四) 无损害
对公司合法权益和个人隐私等不造成影响,或仅造成微弱影响但不会影响国家安全、公众权益、公司各项业务正常开展。
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
第四章 数据定级流程
第十条 数据资产梳理
对公司数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
第十一条 数据定级准备
明确数据定级的颗粒度,如库文件、表、字段等,并识别数据安全定级关键要素。
第十二条 数据级别判定
按照本制度数据定级规则,对数据安全等级进行初步判定。需综合考虑数据规模、数据时效性、数据形态 如是否经汇总、加工、统计、脱敏或匿名化处理,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
第十三条 数据级别审核
审核数据安全级别评定过程和结果,直至安全级别的划定与本公司数据安全保护目标一致。
第十四条 数据安全级别批准
最终由数据安全管理层组织对数据安全分级结果进行审议批准。
第五章 分类分级规范
第十五条 数据分类
对公司数据进行识别后,将公司数据分为三大类,主要包括:用户数据类、业务数据类、公司数据类。
用户数据:即公民个人信息类,是指以电子或其他方式记录的公民的姓名、出生日期、身份证号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能 够单独或者与其他信息结合能够识别公民个人身份的各种信息。
业务数据: 与公司业务开展相关的数据,或经过公司处理后产生的数据。如订单数据、市场数据、业务分析数据。
公司数据: 公司内部使用的数据,主要包含人事数据、财务数据、法务数据、源代码等。
第十六条 数据分级
公司数据共分为4级,从高到低划分为4级、3级、2级、1级
4级: 包含公司正在进行的涉及国家级机密或公司战略相关的重要秘密的信息,任何对此类信息的非授权访问和泄露都会对于公司乃至国家声誉、经营、财务直接造成重大损失。因此,此类信息始终要求最高级别的安全保障,其访问者必须严格控制在最小的范围内,一般人员不得申请。
3级: 涉及公司或特定部门商业秘密及技术秘密的信息,由于其内容的敏感性和重要性,此类信息的泄露有可能导致公司的声誉、经营、财务蒙受重大损失。因此,信息访问者除特定场合和用途,原则上不允许访问或对外提供。数据安全性遭受破坏后,对个人隐私或机构的合法权益、公司声誉、运营、财务造成严重影响。
2级: 仅供公司内部传阅和使用的信息,此类信息的对外披露不直接造成公司声誉、经营、财务上的损失或造成的损失较小,但有可能会给公司和员工带来负面影响,因此需要经过适当的授权才能对外公开。数据安全性遭受破坏后,对个人隐私或机构的合法权益、公司声誉、运营、财务造成轻微影响。
1级: 数据可被公开或可被公众获知、使用。所有可以直接对外披露的信息,此类信息的发布不会对公司、客户以及商业伙伴带来任何不利的影响
第六章 监督检查
第十七条 考核评价
集团公司按年度对分子公司数据资产工作进行综合评价,评价主要从组织设立情况、制度标准制定及执行情况、数据分类分级情况、数据安全情况等方面开展,评价结果公司评估考核体系。
第十八条 奖惩措施
建立奖惩机制,对于数据分类分级工作突出,为公司做出贡献的予以表彰。对于组织落实不到位的企业,对其主要领导、分管领导及相关责任人进行处罚。
第七章 附则
本办法由公司信息中心负责解释。
本办法自发布之日起执行。
第八章 附录
第九章 分类分级清单
说明 是个表格 无法直接粘贴进来, 需付费批量下载 才能获得完整内容
数据分类 数据子类别 范围参考 分类级别 使用部门
用户数据 客户信息 身份信息:姓名、证件号码、身份证照片、生日、民族、联系方式、地址、城市、发证机关、有效期。 4 数据风控、业务部门
活体认证信息:照片指纹等。其他联系信息:详细地址、第一联系人,联系方式、第二联系人,联系方式、通讯录。 4 数据风控、业务部门
工作信息:公司名称、行业、职位、月收入、工作所在地、其他平台借款情况。 4 数据风控、业务部门
第三方合作客户、机构 基础信息:名称、营业执照号、法人代表姓名、法人代表证件号码、股东名称、公司高管姓名、高管证件号码、联系方式、电子签名、征信。 4 商务、业务部门
营业信息:组织架构、营业地址、财务信息、重大事件。 3 商务、业务部门
业务信息:客户账号、营销信息、合同信息、操作信息 及其他业务相关信息。 3 商务、业务部门
业务数据 账户类 用户信息:账户ID、账户余额等 3 产品部、技术后端
用户授权信息:银行卡信息、征信信息、通讯录、邀请人手机号、是否在黑名单等。 4 产品部、技术后端
交易类 借款详情:流水号、数据库ID、金额、类型、服务商、时间等。 3 产品部、技术后端
用户交易记录、用户优惠券信息、借款订单基本信息、还款计划、还款记录、 3 产品部、技术后端
产品 各类产品创建时间,产品内容,产品期限,标准,负责人,利率 3 业务产品部
合同 借款人协议、机构协议、注册协议、其他合作第三方协议:合同名称、合同状态、收费条件、结算方式、义务责任 3 产品部、商务
渠道 费率、结算方式、折扣 3 市场运营
渠道名称、渠道类型、合作方式 3 市场运营
公司数据
会计 会计科目、科目代码、审计报告 3 财务部
会计凭证、会计报表、发票、询证函、对账单、结算单、科目余额、日记账 4 财务部
资产 资产清单、固定资产、金融资产 3 财务部
借款 员工个人借款 4 人力行政部
资金 资金帐户、资金变动、资金相关审核对账、第三方支付平台、BI相关报表 3 资金运营部
员工 姓名、证件号码、家庭关系、联系方式、级别、岗位、职责、入职日期、离职日期、绩效、 3 人力行政部
部门 部门名称、部门职责、管理制度 2 人力行政部
分支机构 分支机构名称、机构营业执照编号、法人代表、法人代表身份证件号码、联系方式、地址 4 人力行政部
数据架构 数据字典、数据标准、数据库结构 4 后端
程序源码 源代码、git、svn中项目路径代码 4 后端
配置 配置参数、用户名与口令、Job策略、备份策略 4 运维
设计文档 系统开发设计文档、测试文档、安装手册、运维手册、操作手册 3 运维
拓扑图 IP地址、服务器结构位置 3 运维
防火墙 IP地址、物理地址、黑白名单、防火墙策略 4 运维
路由 IP地址、配置参数、安全配置 3 运维
协议 网络通信协议、密钥、端口 4 运维
参考文献
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
关键信息基础设施安全保护条例
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)