ISMS-C-24业务系统数据安全制度

参考模版,仅供参考

  1. 目的
    为了提高公司业务数据的安全性,最大限度的防止资料流失。特制定本制度。

  2. 范围
    本制度适用于组织的所有业务数据。

  3. 职责
    3.1 信息部
    负责制定本规范;
    与审计部、运营管理部一起对信息安全事件进行调查、处理及纠正措施管理;
    3.2 运营管理部
    参与制定本规范;
    负责从运营管理层面检查各运营中心的信息安全规范执行情况;
    负责审批各运营中心提出的特殊权限申请及信息安全规范例外申请;
    与审计部、信息部一起对信息安全事件进行调查、处理及纠正措施管理;
    3.3 审计部
    参与制定本规范;
    与信息部、运营管理部一起对信息安全事件进行调查、处理及纠正措施管理;
    负责从审计层面检查信息部、运营管理部及各运营中心的信息安全规范执行情况,提出管理改进要求;
    3.4 各运营中心
    严格按本规范要求开展日常工作;
    配合调查和处理信息安全事件;按要求完成信息安全不符合事项的整改;

  4. 内容
    4.1 数据的定义
    业务数据指各个系统在生产、经营和管理过程中所产生的所有数据,其范围包括电子、纸质以及图片。

4.2 数据的分类
业务数据均属于公司内部生产数据,数据的可用性、完整性和机密性要求较高。

4.3 数据的使用
4.3.1 工作中使用数据最小化:
在工作中尽量将数据操作控制在最小需求范围内,即使权限许可,也应避免执行大范围查询操作;
4.3.2 数据披露必须要经过审批:
对公司外部披露运营中心、公司相关经营数据、对外部人员发送公司内部文件、报表等,必须获得VP及以上级别审批才能执行;转发公司官方文章、微信、微博或其他公开资料时,评论文字不得涉及公司业务数据、业务细节描述及与具体客户相关描述;严禁在未经授权的情况下,将公司的任何数据(包括但不限于系统界面数据、报表数据、经营数据等)发布到公司之外的任何媒介;
4.3.3 导出数据必须要脱敏和授权:
员工不得私自从系统导出任何数据任何从系统中导出的文件、电子表格,原则上不允许包含客户敏感信息(姓名、性别、住址、身份证号、电话号码等能辨识用户身份的任何信息);如因业务需要必须导出这些信息的,需要先获得运营管理部备案,由信息部技术支持组进行权限设置后方可执行;导出的信息只应包含对应其工作职责的数据,多余数据不允许导出。
4.3.4 数据使用完后必须要销毁:
数据在使用完后,包括电子文档、纸质文档或存在U盘(含其他存储方式)中的数据必须要销毁,防止2次泄漏。
4.3.5 数据使用人员的管理
所有需要使用信息系统的员工,都必须在签署保密协议之后才能上岗;
应负责保障系统中本运营中心员工信息的正确性;
应确保员工上岗前做好权限分配;在员工转岗前做好权限修改;在员工离职时及时取消权限并关闭账号;
应定期对存活账号进行清理,保证账号权限的合理和无滥用情况。

  1. 责任
    对于以上信息安全行为规范,如有违反并造成影响的,依据ISO27001信息安全体系中的:《ISMS-C-20信息安全事件管理制度》和《ISMS-C-21信息安全奖惩管理制度》2个制度进行处理。
⭐您的支持将鼓励我继续创作⭐