XX数据安全管理办法.docx

PAGE 2 XX数据安全管理办法 一级制度 XX公司 2021年8月 目录 TOC \o 1-3 \h \z \u 第一章 总则 2 第二章 责任体系 3 第三章 数据分类分级 9 第四章 生命周期各环节安全要求 10 第五章 合作方管理 16 第六章 数据安全技术管控 17 第七章 数据安全合规性评估 20 第八章 数据安全态势信息报备 21 第九章 事件应急处理及上报机制 21 第十章 投诉处理机制 23 第十一章 数据安全教育培训 23 第十二章 监督检查机制 24 第十三章 问责制度 24 第十四章 附则 25 第一章 总则 第一条 为加强中国XX网络通信有限公司北京市分公司（以下简称“XX”）数据安全管理水平和规范性，明确数据安全管理责任、管理要求，防范重要数据被违法使用和传播的风险，根据国家《网络安全法》、《数据安全法》、《电信和互联网用户个人信息保护规定》(工业和数字化部令第24号) 、《XX网络与信息安全管理办法》以及《XXIT系统数据安全管理办法》（XX集团【2019】171号）等法律法规及制度要求，特修订XX数据安全管理办法。 第二条 数据安全管理范畴包括在企业生产经营和管理活动中产生、采集、加工、使用或管理的用户相关数据、企业重要数据和企业其他数据。数据的载体包括电子和纸质两种形式。 第三条 本管理办法适用于XX，各部门可根据具体情况制定相应的补充规定。 第二章 责任体系 第四条 数据安全管理应严格遵循以下原则，确保数据安全风险可管可控： （一）主体责任明确原则：遵循“谁生成谁负责、谁使用谁负责、谁存储谁负责、谁运营谁负责、谁受益谁负责、谁审批谁监管”的原则，实行分层管理和“一把手”责任制,各数据来源部门和公司内外部的数据使用者都应遵守国家法律法规、公司数据安全和保密相关规定，承担本部门职责范围内生成和使用的数据安全责任，防止数据的丢失、泄露。 （二）分类分级管控原则：对数据进行分类分级，根据类别属性、重要及敏感程度等差异性，采取适当的、与数据安全风险相适应的管理措施和技术手段，保障数据安全。 （三）安全三同步原则：在承载数据的相关平台系统设计、建设和运行过程中，应做到数据安全保护措施的同步规划、同步建设、同步运行。 （四）敏感数据不出网原则：除获得明确授权外，客户信息等敏感数据不得开放给他人或合作方企业，未经脱敏处理的敏感数据不可离开公司网络与计算环境，敏感数据在数据域内系统加密独立存储，数据服务提供不含敏感数据的数据产品。 （五）安全与发展并重原则：坚持保障数据安全与发展并重，鼓励在合法合规、安全可信的条件下积极推进数据资源的开发利用。 第五条 XX数据安全管理体系由XX网络安全领导小组下设的内网及数据安全组构成，内网及数据安全组包括1个组长部门、4个副组长部门和各成员部门。 第六条 内网及数据安全组的组长部门（以下简称：组长部门）为数字化部，是XX数据安全的统筹管理部门，负责制定公司数据安全管理整体方针策略，完善公司数据安全管理制度，制定公司数据分类分级策略及管控标准，协调建立数据安全技术保障措施，牵头做好数据安全合规性评估、安全审计管理、数据安全事件应急处置、教育培训等工作，指导检查组内各单位管理领域的责任落实。具体工作包括： （一）负责数据安全的牵头管理工作，制定统一的数据安全保护管理办法，指导相关单位开展数据资产分级管控； （二）牵头制定数据安全各项管理机制，监督检查组内各单位职责履行、数据安全管理制度的落实情况； （三）负责公司数据分类分级工作的统筹和决策，包括制定数据分类分级工作的目标、内容、标准规范等。明确数据分级和分类策略，制定差异化管控要求，统筹组织、监督XX数据分类分级工作的落实，牵头组织XX数据分类分级工作的评价； （四）负责制定XX数据安全管理技术标准，建设数据安全技术保障平台，监督并落实数据安全技术保障； （五）负责公司数据和系统安全审计工作的标准制定和监督落实； （六）负责收集、汇总、上报数据安全相关事件，牵头组织数据安全相关事件的落实和应急处置； （七）安排、布置、分解、督办工信部、通管局、集团等上级管理部门的工作任务； （八）牵头制定数据安全合规性评估制度规范，督办各部门完成数据安全合规性评估； （九）牵头制定数据安全态势信息报备制度，督办各部门完成数据安全态势报备； （十）负责组织公司数据安全教育培训工作； （十一）参与数据对外输出的安全合规性评审； （十二）负责XX数据安全各项工作的监督管理和考核落实。 第七条 内网及数据安全组副组长部门（以下简称：副组长部门）为网安部、网络部、市场部、政企部，主要职责为： 网安部职责： 负责与集团及外部监督单位的数据安全管理对接；