DSMM-023 数据资产管理规范V1.0
第一章 总则
第一条 为规范北京思度咨询科技有限公司数据资产管理和信息系统资产安全管理,明确管理范围和属性,规范数据资产的产生、存储、恢复、使用、保管、销毁等行为,确保数据资产的完整性、保密性和可用性,特制定本规范。
第二条 本规范适用于XXX发展有限公司生产数据、业务数据、办公数据、测试数据、系统数据以及数据的使用、传输、存储、备份等操作的规范及管理。
第二章 职责权限
第三条 数据安全领导小组办公室履行职责有以下几个方面:
(一)负责审核和审批数据资产安全管理员制定的数据资产安全管理规范;
(二)负责审批数据的使用申请以及组织数据安全级别的审批;
(三)负责数据的导入、导出、备份及销毁等过程的审核。
第四条 技术中心-数据资产管理岗,履行职责包括:
(一)建立数据资产清单,明确数据资产接入管理范围和属性;
(二)维护信息系统数据资产;
(三)对于数据资产级别变更等过程组织数据安全级别评估;
(四)定期协调审核和更新数据资产安全管理相关的安全规范、操作细则;
(五)建立组织机构内的信息系统资产登记机制,形成整体的信息系统软硬件资产清单,明确系统资产安全责任主体以及相关方,并及时更新系统资产相关信息;
(六)协助制定数据、系统等资产的安全管理制度,明确信息系统资产安全管理目标和安全原则、信息系统资产的全生命周期管理要求,资产登记要求和分类标记要求,并针对安全管理制度执行定期审核和更新;
(七)对系统数据进行备份、保管。可用性检查、销毁以及提取导入控制;
(八)完成领导交办的其他工作。
(九)负责制定数据资产安全管理过程中的数据安全管理策略;
(十)负责组织处置数据资产安全管理过程中发生的数据安全事件。
第三章 数据资产安全管理
第五条 技术中心-数据资产管理岗人员针对数据的采集、传输、存储、使用、共享、清理、恢复、修改等过程及存放数据的设备或介质的调拨、转让、废弃或销毁等操作,制定数据管理策略和数据日常操作手册。
第六条 技术中心-数据资产管理岗人员根据数据资产分类分级结果,依据数据资产全生命周期,根据不同级别数据制定对应的安全管理策略。
第七条 敏感数据识别管理
技术中心-数据资产管理岗人员制定数据资产统计策略,组织数据资产管理员周期性扫描并识别敏感数据资产,扫描资产范围包括但不限于各业务系统平台、服务器、个人终端等,对产生的数据资产进行分类分级管理。
第八条 数据资产分类分级管理
(一)技术中心-数据资产管理岗人员根据统计的数据资产清单,依据分类分级管理制度进行数据资产的初步定级,并为通过评审的分级数据制定对应的数据安全管理策略;
(二)当应用场景、分级对象、社会认同、时间空间等方面发生变化,导致数据发生泄漏、篡改、丢失或滥用后的影响对象、影响程度、影响范围发生较大变化时,技术中心-数据资产管理岗人员应当组织重新对数据进行威胁影响评估,如有必要需重新定级;
(三)当数据因业务、时间变更导致自身属性发生变化时,例如数据资产内容、分类、分级、标识、管理者等变更时,技术中心-数据资产管理岗人员及时上报数据安全领导小组;
(四)由技术中心-数据资产管理岗人员评估是否需要数据资产类型和级别变更,如需变更,按照数据分类分级管理制度执行;
(五)数据安全领导小组审核需要变更的数据信息,通过重新分类、定级的评估操作,并经过专家、主管评审通过后,更新数据分类分级管理清单;
(六)技术中心-数据资产管理岗人员进行周期性巡检数据资产安全保护策略,如发生数据资产安全等级变更时,须报告至数据安全管理员,由数据安全领导小组批准后,才可对安全策略修改。
第九条 技术中心-数据资产管理岗人员针对需要接入的数据进行梳理,形成《数据接入资产清单》,统计数据接入的部门、对应表以及接入方式和接入频次等,保证所接入数据资产清晰。
第十条 数据使用和保密管理
(一)各类数据未经授权不得随意查询、记录、携带、复制、传输、修改、删除;
(二)在进行测试和研发需要用到数据资产时,需按照数据的敏感级别进行审批,审批通过后以脱敏形式进行测试和研发,方式敏感数据泄露;
(三)涉及加密环节的敏感数据(例如各类密码和密钥、各类校验算法、加/解密算法和参数、终端设备识别算法和参数、身份识别算法和参数等)及其存放介质和技术资料等,必须按照XXX发展有限公司密钥和介质相关规定执行。
第四章 信息系统数据资产安全管理
第十一条 所有信息系统数据资产需统一管理,建立信息系统资产登记机制,形成数据资产清单。
第十二条 登记信息系统数据资产主要内容包括系统名称、系统类型、系统操作系统、所属负责人、配置信息和登记时间等。
第十三条 对支持关键业务操作的设备,需使用持续运行的不间断电源(UPS),避免因电力中断或其他支持性设备失效导致业务中断。
第十四条 对信息处理设备访问的口令管理需按照XXX发展有限公司数据权限安全相关要求执行。
第十五条 当内部员工调离时,员工负责对应的信息系统数据资产应移交给对应的数据资产管理岗人员,由相关负责人办理相关信息资产清单登记变更手续后,确认签字。
第五章 附则
第十九条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第二十条 对违反本规范的人员,按照北京思度咨询科技有限公司有关规定进行处罚。
第二十一条 本规范自发布之日起执行。