ISMS-C-24业务系统数据安全制度

参考模版,仅供参考

1. 目的

为了提高公司业务数据的安全性,最大限度的防止资料流失。特制定本制度。

2. 范围

本制度适用于组织的所有业务数据。

3. 职责

3.1 信息部

  1. 负责制定本规范;
  2. 与审计部、运营管理部一起对信息安全事件进行调查、处理及纠正措施管理;

3.2 运营管理部

  1. 参与制定本规范;
  2. 负责从运营管理层面检查各运营中心的信息安全规范执行情况;
  3. 负责审批各运营中心提出的特殊权限申请及信息安全规范例外申请;
  4. 与审计部、信息部一起对信息安全事件进行调查、处理及纠正措施管理;

3.3 审计部

  1. 参与制定本规范;
  2. 与信息部、运营管理部一起对信息安全事件进行调查、处理及纠正措施管理;
  3. 负责从审计层面检查信息部、运营管理部及各运营中心的信息安全规范执行情况,提出管理改进要求;

3.4 各运营中心

  1. 严格按本规范要求开展日常工作;
  2. 配合调查和处理信息安全事件;按要求完成信息安全不符合事项的整改;

4. 内容

4.1 数据的定义

业务数据指各个系统在生产、经营和管理过程中所产生的所有数据,其范围包括电子、纸质以及图片。

4.2 数据的分类

业务数据均属于公司内部生产数据,数据的可用性、完整性和机密性要求较高。

4.3 数据的使用

4.3.1 工作中使用数据最小化:

  1. 在工作中尽量将数据操作控制在最小需求范围内,即使权限许可,也应避免执行大范围查询操作;

4.3.2 数据披露必须要经过审批:

  1. 对公司外部披露运营中心、公司相关经营数据、对外部人员发送公司内部文件、报表等,必须获得VP及以上级别审批才能执行;转发公司官方文章、微信、微博或其他公开资料时,评论文字不得涉及公司业务数据、业务细节描述及与具体客户相关描述;严禁在未经授权的情况下,将公司的任何数据(包括但不限于系统界面数据、报表数据、经营数据等)发布到公司之外的任何媒介;

4.3.3 导出数据必须要脱敏和授权:

  1. 员工不得私自从系统导出任何数据任何从系统中导出的文件、电子表格,原则上不允许包含客户敏感信息(姓名、性别、住址、身份证号、电话号码等能辨识用户身份的任何信息);如因业务需要必须导出这些信息的,需要先获得运营管理部备案,由信息部技术支持组进行权限设置后方可执行;导出的信息只应包含对应其工作职责的数据,多余数据不允许导出。

4.3.4 数据使用完后必须要销毁:

  1. 数据在使用完后,包括电子文档、纸质文档或存在U盘(含其他存储方式)中的数据必须要销毁,防止2次泄漏。

4.3.5 数据使用人员的管理

  1. 所有需要使用信息系统的员工,都必须在签署保密协议之后才能上岗;
  2. 应负责保障系统中本运营中心员工信息的正确性;
  3. 应确保员工上岗前做好权限分配;在员工转岗前做好权限修改;在员工离职时及时取消权限并关闭账号;
  4. 应定期对存活账号进行清理,保证账号权限的合理和无滥用情况。

5. 责任

对于以上信息安全行为规范,如有违反并造成影响的,依据ISO27001信息安全体系中的:《ISMS-C-20信息安全事件管理制度》和《ISMS-C-21信息安全奖惩管理制度》2个制度进行处理。

⭐您的支持将鼓励我继续创作⭐