第一章 总则
第一条 为规范业务数据管理工作,降低数据被非法生成、变更、泄露丢失及破坏的风险,提高数据流转效率和支持业务需求的力度,依照工信部颁布的《中华人民共和国网络安全法》中关于信息服务、能源、交通水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,防止数据泄露的规定,特制定本制度。
第二条 本制度中的数据,包括并不限定于,公司信息系统数据、公司后台数据库数据、员工个人办公电脑中的各种公司业务数据及业务所涉及第三方的数据、文档、报表。
第三条 本制度适用于公司各部门进行数据统计、收集、审查、使用、保管、共享各环
第二章业务数据的安全性级别
第四条 业务数据按照重要性程度以及隐私性的要求,暂时由低至高划分
为四个级别:
L1公司可对外公开数据;
L2 公司对内公开数据;
L3公司部门内隐私数据、员工个人隐私数据、业务所涉及第三方对公司公开数据;
L4业务所涉及到的第三方隐私数据。
第三章 业务数据保存和销毁管理
第五条 业务数据的保存方式,分为:总部后台底层服务器、部门或区域应用层服务器、个人办公电脑及(移动)硬盘、U盘、光盘、书面记录、打印、复印版等
。
第六条 对于与财务报告相关的各种业务数据,须保存5年
。
第七条 业务数据的保存时间,在符合各业务需求和相关法律法规的规定下,必须尽量保证较长期限的留存
,原则上不小于三年。
第八条 L3以及L4级别的业务数据,需要保证存放数据的介质必须在安全的地方,非授权人员(公司最高管理层、相关部门负责人(直线业务总监--直线业务总经理一直线业务经理--直线业务管
)、相关工作具体责任人)不得进入相关区域。L2及以上级别的数据,不允许通过保存在电子设备上或通过书面的方式携带出公司
,或在公司区域外公开讨论。如有特需,必须通过部门数据安全负责人或总经理级批准,并上报信息技术部并记录在案
第九条 数据各份的计划和管理,按各业务需求进行
。
第十条 原则上通过电子方式保存的数据不需要进行销毁
。书面记录、打印复印版的数据,在超过数据保存时间的要求后,可以选择性销毁,L2及以上级别的业务数据,销毁时必须由责任人、直线管理层或部门数据安全负责人通过粉碎机粉碎。
四章 数据的导入、录入和修改管理
第十一条 数据的录入,指各部门逐一将业务数据备案的过程
。数据录入必须由相关部门总经理级提前向信息技术部报备,涉及到委外日还款数据上传的应填写《委外日还款数据上传记录表》。
第十二条 数据修改,指软件部门、数据部门改变备案系统中已有的数据的过程
。数据修改必须通过相关部门总经理级的审批,上报信息技术部并记录在案,由部门指定的专人操作。
第五章 数据的查看、提取、报表的制作和发放的管理
第十三条 数据查看或提取,信息技术部应根据数据拥有部门或公司管理层的要求,对公司业务数据进行查看或导出的过程。
第十四条 数据和报表的需求,需要通过相关业务总经理级汇总书面提出,由数据部和信息技术部进行沟通、讨论后反馈。
第十五条 数据和报表的查看或提取,由使用人向上级层层申请,获得批准后方可进行查看和提取。
第十六条 L4级别数据,只有相关工作具体责任人和直线上级可以进行查看,任何人不得提取或发放。
第六章 数据传输管理
第十七条 安全性的数据输式为通过公司邮或更高级的方式进行传输。
第十八条 L3和L4级别的数据传输,必须通过安全性高的传输方式,以保证传输过程中不被泄露。
第十九条 L2级别的数据传输,必须通过点对点的方式、或在特定的群组内传输,减少数据外流风险。
第二十条 必要时要在2以上的数据传输过程中设置加密
第七章 附则
第二十一条 本制度由信息技术部负责解释和修订,并不定期核查实行效果。
第二十二条 每半年各部汇总部数据安全负责人名单(如职岗,可特殊报备),并依照需求召开信息技术部、业务督导部等部门经理和部门数据安全负责人会议,协商讨论业务数据管理制度,如有个别临时性问题由区总级反馈至信息技术部。