一、数据资产等级分类及责任部门
1、一级:重要敏感数据, 包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务外包平台操作的数据,泄露后对公司可能造成全面损失。这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员:服务部、如涉及财务数据由财务部共同承担安全管理责任。
标记为D1,主要包括:
-
业务结果数据
-
客户信息数据
-
系统或网络安全控制配置数据,防火墙数据
-
业务帐号安全配置数据
-
业务运行配置数据
-
敏感客户业务原始数据
-
录音记录数据
-
财务帐目数据
-
其他敏感信息数据
2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员:服务部承担安全管理责任。
标记为D2,主要包括:
-
业务过程数据
-
启通宝通话记录
-
客探系统数据
-
系统运行日志数据
-
其他重要数据
3、三级:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。
标记为D3,主要包括:
-
员工通讯录
-
话述信息数据
-
系统测试业务数据
-
项目施工测试数据
-
项目施工过程数据
-
销售业绩数据
-
其他非敏感数据
4、四级:普通数据,除上述数据以外的其他数据,包括公司可公开数据,可对外发布的各类信息,所有部门均可公开使用,如电话号段记录,城市区号记录。由相关使用部门人员承担安全管理责任。
标记为D4,主要包括:
-
通用电话号码
-
区号
-
其他普通数据
二、管理部门职责:
1、IT服务部:
-
对公司经营或运营数据资产进行统一编号。
-
负责制定公司数据资产安全管理制度。
-
负责对一级业务结果数据资产进行安全管理,标注一级数据资产及其介质,在传输时须进行加密传输,并由专人保管。
-
负责对二级业务过程数据进行安全管理,标注二级数据资产及其介质,由专人保管。
-
制定维护数据资产清单。
-
数据调阅管控:签发审批单,做好审批记录。
-
对四级服务外包数据资产及其介质分级标注。
-
操作计算机只安装允许配置的软件,并制定和维护允许安装的软件清单。
-
存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性删除。删除前须经过主管审批通过,执行删除时须经过至少二人确认。
-
对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
-
在数据管理软件中配置和控制登录权限,打开操作日志等。
-
对数据存储服务器控制和配置帐号权限。
-
在业务系统软件中配置和控制登录权限,打开操作日志等。
-
对数据操作使用的环境场地进行安全配置。
-
对数据操作使用的网络安全环境进行安全配置。
-
对服务器网络和计算机只打开需要的设备和端口。
-
数据操作进行监控,必要时安装监控设备。
-
对移动介质存储数据进行管理和控制。
-
对于一二三级相关系统和业务数据进行数据备份管理。
-
保证项目实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
-
保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或丢失。
-
保证项目实施过程中的其他数据的安全。
2、软件研发部
-
对于一级业务敏感数据须加密传输,制定加密方案和安全的传输方式。
-
对配置文件中的一级敏感数据,制定安全方案,采取安全措施。
-
开发代码中对数据库访问采取加强的安全控制措施。
3、系统测试部
-
保证测试实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
-
保证项目测试过程中二级数据的安全操作,防止二级数据被损坏或丢失。
-
保证测试实施过程中的其他数据的安全。
-
存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性删除。删除前须经过主管审批通过,执行删除时须经过至少二人确认。
4、市场销售部
-
制定销售相关数据资产安全管理制度
-
制定和维护销售相关数据资产清单。
-
对销售线索数据等一级数据负有安全管理责任,防止被非法复制传播。
-
对客户信息数据等销售相关二级数据具有保密义务。
-
存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性删除。删除前须经过主管审批通过,执行删除时须经过至少二人确认。
5、财务部
-
制定财务数据资产安全管理制度。
-
制定和维护财务数据资产安全管理清单。
-
对财务管理报表等一级财务数据资产执行严格的管理规定,防止外泄、遗失和损坏。
三、数据资产使用监管单位:IT服务部、总经办
-
总经办对一级财务数据资产和其他相关数据资产负有监督和安全管理跟踪和检查责任。
-
服务部对公司运营过程中的数据资产负有监督和安全管理跟踪和检查责任。