DSMM-016 合规管理规范V1.0

第一章 总则

第一条 为加强公司数据安全管理，增强公司数据使用的合规性、规范性，以降低公司业务发展面临的个人信息保护、重要数据保护等方面的合规风险，特制定本规范。

第二条 本规范适用于指导北京思度咨询科技有限公司的业务合规工作。

第二章 术语定义

第三条 网络数据：指通过网络收集、存储、传输、处理和产生的各种电子数据。

第四条 个人信息：指以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

第五条 个人信息主体：指个人信息所标识或关联到的自然人。

第六条 重要数据：包括北京思度咨询科技有限公司生产经营和内部管理信息、个人信息等。

第三章 职责权限

第七条 数据安全领导小组办公室，主要履行的职责包括但不限于：

（一）负责组织开展数据安全合规工作的检查；

（二）制定数据安全管理日常监督检查机制；

（三）向数据安全领导小组汇报数据安全合规和事件处置的情况。

第八条 数据安全合规岗主要履行的职责包括但不限于：

（一）参与制定数据安全合规相关的管理规范、个人信息、重要数据的保护制度等；

（二）负责收集最新的数据安全相关法律、法规、标准等，梳理公司业务涉及的外部合规要求清单；

（三）负责定期跟进监管机构合规要求的动态，并更新合规清单；

（四）及时更新个人信息保护、重要数据保护相关的安全要求及安全防护策略；

（五）组织开展重要数据安全策略、规范、制度和管控措施的风险评估。

第四章 个人信息保护

第九条 涉及个人信息数据的，严格依据《信息安全技术 个人信息安全规范》（GB/T 35273-2020）等规范进行数据全生命周期的保护。

第十条 公司在提供信息服务过程中，收集、使用用户个人信息，应当遵循合法、正当、必要的原则。

第十一条 公司对收集、使用的用户个人信息的安全负责，应明确和落实相关人员安全管理责任，对工作人员实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施。

第十二条 未经用户同意，不得收集、使用用户个人信息，如确需用户提供个人信息，应明确告知用户使用的目的、方式、范围和收集渠道，并告知拒绝提供信息的后果。

第十三条 涉及个人信息的数据加工、处理时必须经数据脱敏等手段进行去标识化处理。

第十四条 传输个人敏感信息时，应采用加密等安全措施。

第十五条 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

第十六条 如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册。

第十七条 个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时，应充分重视风险，事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施。

第五章 重要数据保护

第十八条 应按照数据分类分级规范实施数据分类分级保护。

第十九条 应建立原始库表，库表中存储的原始数据不做任何加工清洗，以便满足溯源及数据质量的核查要求。

第二十条 重要数据在进行传输及共享时须根据安全策略进行脱敏或加密传输。

第二十一条 应采用符合国家有关加密技术标准的加解密技术对重要数据进行传输加密。

第二十二条 存有重要、敏感或关键数据信息的存储介质须专人负责。

第二十三条 删除可重复使用的存储介质上的重要数据时，为避免在可移动介质上遗留信息，应对介质进行消磁或者使用专用的工具在存储区域填入无用的信息进行覆盖。

第二十四条 在分配可访问重要数据的账号时，应按照最少够用原则进行分配，且分配的授权应可被管理，并保证在数据的访问和操作过程中可被审计和监控，在出现违规操作行为时，应及时在平台上告警。

第二十五条 每季度应对数据访问账号进行审计，及时删除或停用多余的、过期的账户和角色。

第二十六条 发布、共享、交易重要数据前，应评估可能带来的安全风险，并报区信息办批准。

第二十七条 每年度至少应组织开展两次风险评估，评估的内容包含重要数据的安全策略、规范、制度和管控措施，评估发现的脆弱项及威胁应立即通知数据安全管理岗，由数据安全管理岗组织开展整改工作。

第六章 变更管控流程

第二十八条 因公司业务架构、组织职能变更而引发的重要数据级别、流向等的变更流程如图1所示：

图1 重要数据变更管控流程

（一）当重要数据级别、流向等发生变更时，由数据责任人发起变更申请。

（二）由数据责任人所在部门负责人根据变更需求对变更申请进行分类处理，并判断变更需求是否合理，若变更申请合理，则由数据责任人编写变更方案。

（三）数据责任人编写变更方案，方案包含变更的内容，变更执行的计划，变更涉及的部门、岗位、变更可能涉及的合规要求、变更后的安全管理要求等。

（四）方案编写完成后，由数据责任人所在部门负责人审批，审批方案的合理性、可行性、完整性等。

（五）方案审批通过后，交由数据安全管理岗，由数据安全管理岗组织变更涉及的各部门进行评审。

（六）各部门联合审批通过后，由数据安全合规岗开展变更合规评估，若变更不涉及违反合规性要求，则提交数据安全领导小组批准变更申请。

（七）变更申请批准通过后，由数据安全管理岗和数据安全合规岗联合对变更后重要数据涉及的部门、岗位开展数据变更后的管理及合规要求宣贯。

第七章 附则

第二十九条 本规范由数据安全领导小组办公室负责制定、解释和修改。

第三十条 对违反本规定的人员，将按照北京思度咨询科技有限公司有关规定进行处罚。

第三十一条 本规范自发布之日起执行。

附录 外部合规清单

序号

标准名称

发布时间

范围

是否更新

记录时间

负责人

1

网络安全法

2016.11.7

主要提出网络运行安全、信息安全及监控预警和应急处置的要求等。

否

2

数据安全法

2021.6.10

主要提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。

否

3

信息安全技术

网络安全等级保护基本要求

2019.5.10

规定了网络安全等级保护的等级保护对象的安全通用要求和安全扩展要求。该标准适用于指导分等级的非涉密对象的安全建设和监督管理。

否

4

信息安全技术 个人信息安全规范

2020.3.6

规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组织个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评审。

否

5

信息安全技术 大数据服务安全能力要求

2017.12.29

主要提出了数据提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力。本标准适用于对政府部门和企事业单位建设大数据服务安全能力，也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查。

否

6

信息安全技术

大数据安全管理指南

2020.3.1

提出了安全管理基本原则，规定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险。本标准适用于各类组织进行数据安全管理，也可供第三方评估机构参考。

否