数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、概述
本政策旨在保护公司的信息和数据的安全,确保在数据收集、处理、存储等过程中符合相关法律法规要求,维护公司和客户的合法权益和声誉。通过实施本政策,希望建立一个安全、合规的数据处理环境,从而促进业务的可持续发展。
二、适用范围
本政策适用于公司的所有员工、临时员工、外包员工、第三方合作伙伴及其他访问公司信息资源的人员。所有人员必须严格遵守本政策,所有涉及数据处理的活动都必须遵守本政策,确保公司数据和信息的安全。
三、数据合规制度体系
1、数据分类分级保护制度
根据数据的重要性和敏感性,对数据进行分类和分级管理。根据数据的重要程度、对国家安全、公共利益或者个人、组织合法权益造成的危害程度等因素,按照就高从严原则进行分类分级。不同级别的数据将采用相应的保护措施,确保数据得到适当的安全防护。
2、重要数据、核心数据保护制度
对业务活动中涉及的重要数据与核心数据,形成数据清单。实施更加严格的合规管理制度,明确管理职责、操作规范、审批要求、备案机制等事项,建立日常记录和容灾备份机制,强化重要数据与核心数据的安全保障。数字化转型网www.szhzxw.cn
3、安全技术保护措施
根据数据分类分级情况,采取匿名化、备份、加密、访问控制、入侵防范等数据安全保护措施,加强对数据处理系统、数据传输网络、数据存储环境、数据访问接口等物理和网络环境的安全防护,将数据安全技术保护覆盖到数据处理的全过程。
4、权限控制
对数据访问实施严格的控制措施。所有数据访问权限应根据岗位职责进行分配,未经授权不得访问敏感数据。针对重要数据和核心数据,设置严格的数据处理权限、配备风险阻断机制、明确安全审计流程、落实访问和操作留痕等方式,实现权限最小化管控。定期审查和调整权限,确保数据访问的合理性和安全性。
-权限管理:设置和审核数据访问权限,确保每位员工只能访问其职责所需的数据。
-访问监控:记录和监控数据访问情况,定期审查访问日志,检测和预防未经授权的访问。
-异常处理:检测和处理异常访问行为,,发现违规行为时,立即采取纠正措施并进行调查。
5、申报数据安全审查
审查数据处理活动是否影响或者可能影响国家安全,符合法律法规规定条件的,应当按照国家有关规定,向网络安全审查办公室申报网络安全审查。
6、合规风险评估机制
每年至少开展一次数据合规风险评估,对数据分类分级保护情况、数据安全技术保护措施有效性、关键基础设施安全水平、数据处理合规情况、法律法规变化和监管动态落实情况、数据安全预警和应急事件处置能力、数据安全问题整改和监管执法响应情况等内容进行评估,并形成数据合规风险评估报告。涉及处理重要数据的,还应对重要数据的处理情况作出评估,并向有关主管部门报送风险评估报告。对新上线业务、第三方数据合作业务以及重点存量业务,企业可以不定期开展合规风险评估。
7、数据泄露应急预案
-识别和报告:数据泄露的识别和内部报告流程,所有员工需报告任何疑似数据泄露事件。
-应急响应:当发生数据安全事件时,按照应急预案及时采取处置措施,防止危害扩大,消除安全隐患,记录事件内容,保留相关证据,组建应急响应团队协调和实施应急措施。包括初步评估、隔离受影响系统、恢复数据等。数字化转型网www.szhzxw.cn
-通知机制:通知受影响的个人和相关监管机构,告知安全事件情况、危害后果、已采取的补救措施等信息。无法逐一告知的,可采取公告方式告知。数字化转型网www.szhzxw.cn
-后续改进:分析数据泄露原因并采取改进措施,防止类似事件再次发生。
四、数据全生命周期合规
(一)数据收集和使用
1、提供产品、服务过程中收集个人信息,仅收集与实现产品或服务的业务功能直接相关的个人信息。不得因个人不同意提供非必要个人信息,而拒绝向其提供基本功能或服务。数字化转型网www.szhzxw.cn
超出必要范围收集用户个人信息的,应当征得个人同意。如需使用在提供产品、服务过程中收集到的数据,应当事先获得相关数据主体的授权同意。
2、保证自动化决策的透明度,公示其自动化决策的基本原理、目的意图和主要运行机制等信息。自动化决策的结果可能对个人权益造成显著影响的,应当对此种影响及可能产生的后果予以说明,并为个人提供拒绝自动化决策的选项。
通过自动化决策方式进行信息推送、商业营销的,同时提供不针对个人特征的选项,并向个人提供便捷的拒绝方式。数字化转型网www.szhzxw.cn
3、向第三方购买、交换、共享等方式收集数据的,应当符合法律、法规要求,对第三方的资质以及获取和持有数据的合规性进行审查,要求其作出数据来源合法性的必要证明。
4、对个人权益有重大影响的数据处理活动开展个人信息保护影响评估,持续检验、监控个人信息处理活动的合法合规程度,形成和保存个人信息保护影响评估报告和处理情况记录,并采取相应改进措施。
5、采用自动化工具收集数据时,遵守法律法规、行业自律公约,事前评估对网络服务的性能、功能可能带来的影响,避免干扰网络服务的正常功能或妨碍计算机信息系统正常运行。
6、禁止以不正当的方式获取他人持有的数据。数字化转型网www.szhzxw.cn
(二)数据存储
1、根据分类分级规范对不同类型、风险等级和重要、敏感程度的数据进行分级分域管理,对不同数据进行物理隔离或强逻辑隔离,并采取安全保护措施和访问控制机制,维护数据的完整性、保密性、可用性。
通过加密存储、访问控制、校验技术等措施强化对重要数据和敏感个人信息的保护。
2、使用第三方云平台进行数据存储,应当要求云服务提供商定期报告云平台运行状态、安全状况等信息,并定期对第三方云平台的稳定性和采取的安全保护措施等进行审计,确保其具备充分的数据安全保护能力。数字化转型网www.szhzxw.cn
终止使用云平台存储服务时,云服务提供商应当按照约定方式删除、销毁云平台存储的数据及副本。
3、存储数据时采取加密、去标识化、匿名化处理等安全技术措施,降低个人信息被篡改、破坏、泄露或者非法获取、非法利用等风险。经过去标识化处理的个人信息与其他个人信息分开存储,并严格控制访问权限。
4、建立重要数据和个人信息的备份与恢复机制,并定期对备份数据进行恢复测试和完整性校验,防范数据意外损毁、丢失等风险。
(三)数据传输和提供
1、向第三方提供或共享、委托处理数据时,对数据接收方进行事前资格审查并评估其数据安全保护能力。涉及提供重要数据、敏感数据的,应当留存相应的日志记录。数字化转型网www.szhzxw.cn
通过合同等形式与数据接收方约定处理数据的目的、范围、方式、限制与应采取的安全保护措施等事项,明确双方权利和义务,并对数据接收方的处理活动进行必要监督。发现数据接收方违反法律、法规规定或双方约定处理数据的,立即要求其停止相关行为并采取必要的补救措施;必要时应当暂停或终止向其提供数据,并监督数据接收方及时返还、删除、销毁已获得的数据。
2、向第三方提供或共享、委托处理个人信息时,需向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并征得个人单独同意。数字化转型网www.szhzxw.cn
3、定期对合作方进行合规检查和审计,并结合风险特征对合作方进行分级、分类管控,对不同风险级别的合作方采取相适应的合规管理措施。发现合作方存在严重违法、违规、违约行为或发生重大数据安全事故、丧失数据安全保障能力、故意不履行数据安全保护职责等情形的,应及时终止与其合作。
4、第三方接入场景/SDK的合规要求。在产品或服务中接入由第三方提供的软件开发工具包,事前对接入第三方进行安全检测,评估是否存在已知的安全漏洞以及可能引起数据泄露等安全事件的行为,建立相应的接入第三方合规管理机制,通过签署开发者服务协议等形式明确双方的权利和义务、采取的安全保护措施、发生数据安全事件时的补救与应急处置措施以及责任承担等事项,并留存第三方接入日志记录。
(四)数据交易
1、确保数据获取手段合法合规、数据来源链路清晰,并经过所涉主体明确授权同意,不存在侵犯国家、公共利益或其他组织、个人合法权益的情况。数字化转型网www.szhzxw.cn
2、不得交易含有以下内容的数据产品或服务:
(一)含有未经授权的个人信息的;
(二)含有侵犯他人知识产权或商业秘密的内容的;
(三)含有未经依法开放的公共数据的;数字化转型网www.szhzxw.cn
(四)含有国家核心数据或国家秘密的;
(五)含有法律、法规规定禁止交易的其他数据的。
(五)数据删除和销毁
1、定期对存储数据进行盘点,对于对实现处理目的不再必要的数据,及时进行删除或匿名化处理。
2、数据删除和销毁的操作规程和管理制度,明确删除和销毁的对象、权限、流程和技术等要求,确保被销毁数据不可恢复,并对相关活动进行记录和留存。
数据存储设备和介质进行报废,事先采取格式化、重复删除、介质消磁等方式删除其中存储的数据,并采取物理损毁等方式对介质进行彻底销毁。
(六)数据出境合规
1、数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数字化转型网www.szhzxw.cn
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;数字化转型网www.szhzxw.cn
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。数字化转型网www.szhzxw.cn
2、与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。数字化转型网www.szhzxw.cn
3、向境外提供个人信息,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定的各项权利的方式和程序等事项,并取得个人的单独同意。数字化转型网www.szhzxw.cn
向境外提供个人信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;数字化转型网www.szhzxw.cn
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
五、培训、安全评估与举报机制
1、员工培训
公司将定期组织员工进行信息安全和数据合规培训,提高员工的合规意识和技能,确保全员了解并遵守本政策及相关制度。同时,通过内部沟通渠道传达最新的合规要求和信息安全动态。
-培训内容:包括数据保护法律法规和公司政策,具体合规操作流程和注意事项。
-培训频率:定期培训和更新,每年至少一次,遇到重大法规变化时增加培训频率。
-考核机制:通过考核检验培训效果,确保员工理解和掌握数据保护知识。数字化转型网www.szhzxw.cn
2、数据安全评估与审计
公司将定期进行数据安全评估和审计,确保数据保护措施的有效性。评估与审计包括:
-评估方法:使用多种方法评估数据安全,如风险评估、漏洞扫描、渗透测试等。
-审计频率:定期进行审计,至少每年一次,根据业务需求和风险情况增加审计频率。
-整改措施:根据评估和审计结果采取整改措施,及时修补安全漏洞和改进数据保护措施。
3、举报与调查机制
公司设立数据合规举报机制,鼓励和支持员工对涉嫌或实际存在的数据不合规行为进行举报。
收到举报后,数据合规管理部门将结合举报线索的真实性、有效性及时启动调查程序,确保调查过程的独立性、公正性,形成调查结果报告并采取相应处理和改进措施,持续完善数据合规管理制度体系。
六、职责与监督(根据公司内部实际情况描述,仅供参考)
公司合规部门负责监督本政策的实施,确保所有数据处理活动符合公司政策和法律要求。合规部门应定期向管理层汇报合规情况,并提出改进建议。数字化转型网www.szhzxw.cn
-责任划分:明确各部门和岗位的合规责任,确保合规工作有人负责。
-监督机制:合规部门定期检查各部门的合规情况,发现问题及时报告并督促整改。
任何违反本政策的行为将受到相应的处罚,包括警告、停职、解职等纪律处分。企业将严格审查违规行为,并依法处理,维护公司的合规和安全环境。数字化转型网www.szhzxw.cn
通过建立和执行上述政策,公司致力于保护信息资产,确保数据处理活动的合法性和合规性,维护公司和客户的利益。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于容慧合规资讯;编辑/翻译:数字化转型网Jerry。
