文件编码：XXX-XXXX-023 数据资产安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日北京思度咨询科技有限公司 文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为规范北京思度咨询科技有限公司数据资产管理和信息系统资产 安全管理，明确管理范围和属性，规范数据资产的产生、存储、恢复、使用、 保管、销毁等行为，确保数据资产的完整性、保密性和可用性，特制定本规范 。 第二条 本规范适用于XXX发展有限公司生产数据、业务数据、办公数据 、 测试数据、系统数据以及数据的使用、传输、存储、备份等操作的规范及管理 。 第二章 职责权限 第三条 数据安全领导小组办公室履行职责有以下几个方面： （一）负责审核和审批数据资产安全管理员制定的数据资产安全管理规范 ； （二）负责审批数据的使用申请以及组织数据安全级别的审批； （三）负责数据的导入、导出、备份及销毁等过程的审核。 第四条 技术中心-数据资产管理岗，履行职责包括： （一）建立数据资产清单，明确数据资产接入管理范围和属性； （二）维护信息系统数据资产； （三）对于数据资产级别变更等过程组织数据安全级别评估； （四）定期协调审核和更新数据资产安全管理相关的安全规范、操作细则 ； （五）建立组织机构内的信息系统资产登记机制，形成整体的信息系统软 硬件资产清单，明确系统资产安全责任主体以及相关方，并及时更新系统资产 相关信息； （六）协助制定数据、系统等资产的安全管理制度，明确信息系统资产安 全管理目标和安全原则、信息系统资产的全生命周期管理要求，资产登记要求 和分类标记要求，并针对安全管理制度执行定期审核和更新； （七）对系统数据进行备份、保管。可用性检查、销毁以及提取导入控制 ； 第 3 页 共 6 页（八）完成领导交办的其他工作。 （九）负责制定数据资产安全管理过程中的数据安全管理策略； （十）负责组织处置数据资产安全管理过程中发生的数据安全事件。 第三章 数据资产安全管理 第五条 技术中心-数据资产管理岗人员针对数据的采集、传输、存储、使 用、共享、清理、恢复、修改等过程及存放数据的设备或介质的调拨、转让、 废弃或销毁等操作，制定数据管理策略和数据日常操作手册。 第六条 技术中心-数据资产管理岗人员根据数据资产分类分级结果，依据 数据资产全生命周期，根据不同级别数据制定对应的安全管理策略。 第七条 敏感数据识别管理 技术中心-数据资产管理岗人员制定数据资产统计策略，组织数据资产管理 员周期性扫描并识别敏感数据资产，扫描资产范围包括但不限于各业务系统平 台、服务器、个人终端等，对产生的数据资产进行分类分级管理。 第八条 数据资产分类分级管理 （一）技术中心-数据资产管理岗人员根据统计的数据资产清单，依据分类 分级管理制度进行数据资产的 初步定级，并为通过评审的分级数据制定对应的 数据安全管理策略； （二）当应用场景、分级对 象、社会认同、时间空间等方面发生变 化，导 致数据发生 泄漏、篡改、丢失或滥用后的影响对象、影响程度、影响范围发生 较大变化时，技术中心-数据资产管理岗人员应 当组织重新对数据进行 威胁影响 评估，如有必要需重新定级； （三）当数据因业务、时 间变更导致自身属性发生变 化时，例如数据资产 内容、分类、分级、标识、管理 者等变更时，技术中心 -数据资产管理岗人员及 时上报数据安全领导小组； 第 4 页 共 6 页（四）由技术中心-数据资产管理岗人员评估 是否需要数据资产类 型和级别 变更，如需变更，按照数据分类分级管理制度执行； （五）数据安全领导小组审核 需要变更的数据信息，通过 重新分类、定级 的评估操作，并 经过专家、主管评审通过 后，更新数据分类分级管理清单； （六）技术中心-数据资产管理岗人员进行周期性 巡检数据资产安全保护策 略，如发生数据资产安全等级变更时， 须报告至数据安全管理员， 由数据安全 领导小组批准 后，才可对安全策略修改。 第九条 技术中心-数据资产管理岗人员针对 需要接入的数据进行 梳理，形 成《数据接入资产清单 》，统计数据接入的 部门、对应表以及接入方 式和接入 频次等，保证所接入数据资产清 晰。 第十条 数据使用和保密管理 （一）各类数据 未经授权不得随意查询、记录、 携带、复制、传输、修改 、 删除； （二）在进行测试和 研发需要用到数据资产时， 需按照数据的敏感级别进 行审批，审批通过 后以脱敏形式进行测试和 研发，方式敏感数据 泄露； （三）涉及加密环节的敏感数据（ 例如各类密码和密 钥、各类校验算法、 加/解密算法和参数、终端设备识别 算法和参数、身份识别算法和参数等）及其 存放介质和技术资 料等，必须按照XXX发展有限公司密 钥和介质相关规定执行 。 第 5 页 共 6 页第四章 信息系统数据资产安全管理 第十一条 所有信息系统数据资产 需统一管理，建立信息系统资产登记机 制，形成数据资产清单。 第十二条 登记信息系统数据资产主要内 容包括系统 名称、系统类 型、系 统操作系统、 所属负责人、 配置信息和登记时 间等。 第十三条 对支持关键业务操作的设备， 需使用持续运行的不间断电源 （UPS），避免因电力中断或其他支持性设备失效导致业务中断。 第十四条 对信息处理设备 访问的口令管理需按照XXX发展有限公司数据 权限安全相关要求执行。 第十五条 当内部员工调离时，员工负责对应的信息系统数据资产应 移交 给对应的数据资产管理岗人员， 由相关负责人办理相关信息资产清单登记变更 手续后，确认签字。 第五章 附则 第十九条 本规范由数据安全领导小组办公室负责制定、 解释和修改。 第二十条 对违反本规范的人员， 按照北京思度咨询科技有限公司有关规 定进行处 罚。 第二十一条 本规范自发布之日起执行。 第 6 页 共 6 页