电信运营商行业中国联通数据安全管理办法.docx
《电信运营商行业中国联通数据安全管理办法.docx》由会员分享,可在线阅读,更多相关《电信运营商行业中国联通数据安全管理办法.docx(8页珍藏版)》请在冰豆网上搜索。
电信运营商行业中国联通数据安全管理办法
XX联通数据安全管理办法
(二级制度)
中国联合网络通信有限公司XX省分公司
2019年9月
第一章总则
第一条为提升中国联合网络通信集团有限公司XX省分公司(以下简称“XX联通”)数据安全管理水平,明确数据安全管理责任,防范和处置数据安全隐患及问题,降低网络数据被违规使用和传播的风险,根据《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规,以及《电信和互联网用户个人信息保护规定》(工信部24号令)等行业规定,制定本办法。
第二条本办法适用范围为XX联通省公司各部门、各地市分公司和各子公司在数据采集、生成、传输、存储、使用、交互、销毁等数据全生命周期活动中涉及的数据安全相关事项。
第三条本办法为XX联通数据安全总体管理办法,IT系统、基础网络、对外合作数据安全管理要求还需遵循《联通IT系统数据安全管理办法》、《XX联通基础网络数据安全保护管理办法(试行)》、《XX联通大数据对外合作支撑管理办法》中的相关规定。
第二章数据安全责任体系
第四条省公司信息安全部负责牵头全省数据安全管理工作,具体安全职责如下:
1、负责按照相关法律法规要求,制定公司数据安全管理整体方针策略。
2、负责规划数据安全技术保障措施,督促相关部门建设数据加密存储、数据防攻击、防窃取、防泄漏、数据备份和恢复等安全技术保障措施。
3、负责牵头做好数据安全事件应急处置,组织开展应急演练。
4、负责组织开展数据安全评估,按照上级评估工作要求及评估要点,针对重点业务类型和场景,组织相关单位完成数据安全合规性自评估。
5、负责组织开展各类数据安全专项治理工作。
6、负责公司内部数据安全监督检查,定期对相关单位数据安全管理情况和落实效果进行监督检查,及时督促问题整改。
7、配合电信主管部门、集团公司开展数据安全监督检查。
8、负责组织教育培训等工作。
第五条省公司信息化专业是公司IT系统数据安全的管理责任部门,负责本省IT系统数据全生命周期管理;制定本省IT系统安全制度;负责建设本省IT系统安全保障平台;负责本省大数据平台数据采集、数据服务的业务评估以及安全合规性审核;其他本省范围IT系统数据安全管理相关工作。
第六条省公司网络运营部是公司基础网络数据安全理责任部门,负责本单位网络数据安全管理情况的具体落实;建立完善本单位网络数据安全管理体系;组织开展本单位网络数据监督检查工作;结合本省实际情况制定本单位网络数据安全保护实施细则,并贯彻落实各项网络数据管理要求。
第七条省公司市场部负责用户授权相关政策落实,通过用户协议和隐私政策明示收集目的、方式和范围。
第八条省公司政企客户事业部总体牵头大数据业务数据安全管理,负责统筹大数据对外业务发展规划、产品引入评审管理、产品化管理、资费管理、营销管理、培训管理、考核评价管理等工作。
第九条省公司客户服务部负责建立健全数据安全投诉处理机制,受理用户投诉。
第十条各数据运营、使用单位具体安全职责如下:
1、遵守执行公司各数据安全管理办法,负责本单位建设的系统全生命周期数据安全。
2、负责制定本单位数据安全技术保障要求,搭建本单位数据安全保障平台。
3、负责本单位的数据使用管理和安全审核,明确数据使用时间、用途和使用范围,对接收到的数据在约定的范围内使用。
4、负责本单位数据使用的人员管理,遵守公司数据安全相关规定。
5、负责本单位与外部合作伙伴的数据合作安全保障,遵守国家法律法规及联通对外合作的相关管理规定,按照合作关系签订数据合作协议,明确相关数据保密责任。
第十一条省公司各部门、子公司和地市分公司应至少配备一名数据安全管理员,负责本单位数据安全相关工作。
第三章数据分级分类
第十二条根据数据在生产、经营和管理中的重要性,结合有关保密规定,按照内网IT系统数据、基础网络数据分别制定分级分类管理标准。
内网IT系统数据由省公司信息化专业管理;基础网络数据由省公司网络运营部管理。
第十三条按照数据的重要程度和一旦发生相关数据安全事件对公司所带来的危害程度,对数据实行分级管理。
数据原则上分为关键级、重要级、较重要级、一般级4个级别,省公司信息化专业、网络运营部要根据实际情况予以细分,具体分级如下:
1、关键级:
具有最高安全等级的数据。
此类数据或涉及用户的个人隐私、核心业务数据、组合信息,不正当使用会对用户或公司造成极为严重的影响。
2、重要级:
具有较高安全等级的数据。
此类数据或涉及用户的特征信息和日常业务数据,不正当使用会对用户或公司造成较为严重的影响。
3、较重要级:
具有较低数据安全等级的数据。
此类数据不正当使用会对用户或公司造成一定的影响
4、一般级:
是指不具安全敏感度,可以公共访问和对外发布的数据,并且不会产生任何安全问题
第十四条按照数据的重要程度和一旦发生相关数据安全事件对公司所带来的危害程度,对数据实行分级管理。
数据原则上分为关键级、重要级、较重要级、一般级4个级别,省公司信息化专业、网络运营部要根据实际情况予以细分,具体分级如下:
第十五条省公司信息化专业、网络运营部要根据数据内容涉及的主体(个人客户、公司客户等)、颗粒度(明细、汇总等)、完整性(全量、样本等)、真实性、数据量、数据位置等属性进行分类管理。
第十六条针对较重要级以上的数据和用户信息数据,相关部门要制定加密、脱敏等具体的安全管控措施,避免数据泄露、被窃取、篡改和滥用等事件发生。
第四章数据安全基础管理
第十七条按照“谁生成谁负责,谁使用谁负责,谁存储谁负责,谁运营谁负责、谁受益谁负责,谁审批谁监管”的原则,各单位应承担相关数据全生命周期的数据安全责任,防止数据的丢失、泄露。
第十八条各单位应遵循操作权限最小化原则,建立数据访问权限控制体系,应限制批量查询、复制、转移数据的操作权限。
记录数据访问权限审批日志、数据访问操作行为日志,并定期审计。
第十九条数据应避免手工离线操作,数据生命周期活动应在系统上实现,最大限度避免手工或离线方式进行数据生命周期活动。
第二十条数据系统化保障原则,各级数据系统必须建立数据安全保障系统架构,建立涵盖网络数据全生命周期的各个环节的数据安全保障平台,具备系统化的数据安全保护能力。
第二十一条各单位应定期开展数据安全风险监测巡查,对操作日志开展安全审计,发现和处置非授权访问、批量复制或转移等异常情况,及时消除安全隐患。
第二十二条涉及较重要级(含)以上数据的系统应按照网络安全防护工作要求,定期开展风险评估工作,对其中发现的安全风险事项及时进行整改;定期进行漏洞扫描,及时发现所使用的操作系统、中间件、数据库以及程序本身的高危安全漏洞,及时修补发现的安全漏洞以及配置不符合项。
第二十三条涉及较重要级(含)以上数据的系统应实现网络安全域划分,不同安全域之间使用防火墙进行隔离和访问控制,并具备入侵检测系统等防护手段。
防火墙设备的访问策略应设置为默认拒绝,只对特定的业务所必须的系统或维护终端开放访问权限。
第二十四条涉及较重要级(含)以上数据的用户权限申请、密码初始化申请等,必须严格按照相关管理要求,经相关流程审核批复后方可予以配置。
第二十五条对于能处理较重要级(含)以上数据的操作维护终端,应统一安装防病毒软件,定期进行安全扫描和加固,限制无线网络的使用,应有统一的接入控制,执行统一的安全策略。
第二十六条各单位应强化数据安全风险防控意识,积极推动对员工和第三方合作单位的数据安全风险意识教育、培训。
第五章数据生命周期各环节安全要求
第二十七条各单位应围绕数据生命周期五个环节,持续提升整体的数据安全保障能力。
数据采集/生成:
指新的数据产生或现有数据内容发生显著改变或更新的环节。
数据传输:
指数据通过网络在系统之间进行流动的环节。
数据存储:
指非动态数据以任何数据格式进行物理存储的环节。
数据使用:
指动态数据在系统自身内部进行的一系列活动的环节。
数据销毁:
指利用物理或者技术手段使数据永久或临时性的不可用的环节。
第一节数据采集/生成过程安全要求
第二十八条各单位要在收集信息时明确告知用户收集和使用规则,包括信息共享机制,并取得用户授权同意,原则上统一使用集团公司《中国联通用户隐私政策》模板。
当收集的信息超出授权范围时,需要二次授权。
第二十九条数据采集/生成遵循“按需收集”的原则,数据采集前应进行业务评估。
第三十条收集/生成的数据必须在上级主管部门和业务主管部门要求范围之内,严禁擅自扩大数据收集/生成的范围。
第三十一条原则上不允许通过分光镜像方式进行数据收集。
如果确有需要,必须经过省公司网络信息安全管理部门审批。
第三十二条对外合作中采集的非本单位数据应合法获得,无接收系统的冗余数据应在采集环节及时删除。
第三十三条相关设备及系统要对收集/生成数据的操作进行日志记录,并对日志记录中的身份信息和鉴权信息进行模糊化处理。
第二节数据传输过程安全要求
第三十四条不得随意向其他单位或部门转移各类相关数据信息。
数据转移须在业务主管部门要求范围之内,严禁擅自扩大网络数据转移范围,或转移与业务无直接关系的内容。
第三十五条数据传输过程中,应建立完善的数据传输保护机制,包括数据加密、完整性校验等手段。
对于跨越互联网或不同等级安全域之间的数据传输,必须进行加密,以实现数据传输的安全。
第三十六条转移数据时,数据接收单位应具备信息保护技术能力,达到信息保护相关标准要求。
第三十七条要强化传输接口安全管控,采取系统间接口的设备鉴权、通过MAC地址、IP地址或端口号绑定、访问控制策略等方式限制违规设备接入。
第三十八条数据接收单位应在访问和使用完成后,及时通知数据输出单位收回相关权限。
第三十九条相关设备及系统应对数据的转移操作进行日志记录,并对日志记录中的敏感信息进行模糊化处理。
第三节数据存储过程安全要求
第四十条要采取加密、鉴权、数字签名等安全措施保障数据存储安全,防止对数据传输介质的未授权访问、损害和干扰。
原则上,关键级数据要加密存储,并按照有关规定选择适当的数据加密算法;较重要级(含)以上数据在存储时是否需要采取加密措施,在风险评估时予以明确。
第四十一条对于较重要级(含)以上数据,按照实际系统需要,在存储时要充分利用模糊化等脱敏措施。
第四十二条对于数据备份,要按照各专业相关管理规定执行,每年制定数据备份计划,并按照备份计划严格执行。
第四十三条数据必须存储在本地,并具备容灾备份,如需采用云端存储作为异址备份,则应选用联通自有云端存储。
第四节数据使用过程安全要求
第四十四条对于较重要级(含)以上数据,要通过数据需求单位申请、数据输出单位及各专业线数据安全责任单位审批后方能使用。
第四十五条数据需求单位必须明确具体的数据内容和用途,并保证相关数据不泄露和被滥用。
第四十六条数据输出单位应建立数据使用审核机制,明确数据使用中的安全要求。
第四十七条禁止擅自向开发测试环境导入真实网络数据。
如因工作需要必须进行导入操作时,必须经过审批后方可实施,并对不必要的真实数据与信息进行模糊化脱敏处理。
第四十八条严禁第三方人员擅自接触生产系统所承载的数据,如工作需要必须通过审批后方可实施,操作过程中有局方陪同进行。
第四十九条相关设备及系统应对数据的使用操作进行日志记录,记录内容至少包括访问人员、访问对象、访问时间、访问操作等。
第五节数据销毁过程安全要求
第五十条公司内部数据使用者有义务根据服务协议的约定,定期销毁数据和相关载体,并接受相关部门的检查。
第五十一条对外数据合作方有义务配合XX联通数据安全管理工作,对约定到期的数据和相关载体进行销毁,对违反约定的行为XX联通有权进行追责并采取相关措施。
第五十二条数据删除和销毁的操作,必须经过审批后方可实施,并进行记录。
第五十三条下线报废设备,必须经过消磁、粉碎等不可逆技术手段对承载的数据及敏感数据进行销毁
升级会员 