1、共享知識分享快樂XXX數據安全管理規定編 制： _審 核： _批 準： _本文件中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明， 版權均屬XXX 所有， 受到有關產權及版權法保護。任何個人、機構未經XXX 的書面授權許可，不得以任何方式復制或引用本文件的任何片斷。卑微如螻蟻、堅強似大象共享知識分享快樂1. 分發控制分發對象文檔權限說明XXX 內部員工只讀2. 文件版本信息版本日期擬稿和修改說明3. 文件版本信息說明文件版本信息記錄本文件提交時的當前有效的版本控制信息，當前版本文件有效期將在新版本文檔生效時自動結束。文件版本小于1.0 時，表示該版本文件為草案，僅可

2、作為參照資料之目的。卑微如螻蟻、堅強似大象共享知識分享快樂第一章總則第一條為保證 XXX 信息系統核心數據安全，維護數據所有者權利，明確利益相關者的責任與義務，按照分類管理、分級保護、授權使用的原則，根據 XXX 信息系統安全管理規定及國家信息系統安全等級保護等有關要求，特制訂本規定。第二條本規定所管理的數據均為非涉密的數據，XXX 系統已標識密級的文件或已聲明密級的數據不納入本規定管理范疇。第三條本規定適用于全國XXX 信息系統環境中的數據安全管理工作。XXX 各單位、部門均應按本規定開展數據安全管理工作。第二章術語定義第四條本規定所稱數據所有者是指，對所管理業務領域內的信息或信息系統，有權

3、獲取、創建、維護和授權的業務主管。第五條本規定所稱利益相關者包括數據創建者、數據所有者、數據管理者、數據使用者及信息安全管理人員。第六條本規定所管理的數據涵蓋以紙質、電子等形式存在的文件和非文件形式的信息及其衍生物。其中，非文件形式的數據包括數據庫及配置文件中的數據、配置信息等。卑微如螻蟻、堅強似大象共享知識分享快樂第三章職責定義第七條數據創建者負責針對其所創建數據的內容和價值提出分類分級建議，提交對應級別數據所有者確認。第八條來自 XXX 信息系統以外的數據，數據承接者視同創建者行使提出分級分類建議的責任和義務。第九條數據所有者具有確認數據類別和敏感級別、確認銷毀、提出技術保障需求、審查自檢

4、和審計報告、做出安全事件處置決定等權利和義務。其中， XXX 業務數據的所有者為XXX 指定的相應業務部門。第十條各類數據的責任部門是該類數據的管理者。數據管理者作為數據所有者的代理者，代理數據所有者從事數據管理工作，負責其所管轄范圍內數據的安全管理工作。數據管理者的職責包括但不限于：數據類別和敏感級別的標識與聲明，根據級別進行管理與保護，數據使用培訓，執行銷毀操作并聲明，定期自查提交報告，配合數據安全違規調查等。第四章分類與分級第十一條數據按其內容和用途不同分為技術類數據、行政管理類數據、業務類數據以及安全運行類數據。第十二條數據分級應根據其價值、內容的敏感程度、影響及發放卑微如螻蟻、堅強似

5、大象共享知識分享快樂范圍進行確定。第十三條數據管理者負責制定其分管領域內數據敏感等級的劃分規則，并制定和發布本部門或本領域的數據敏感等級目錄。第五章標識與聲明第十四條數據的分類分級標識、聲明是數據不可分割的一部分，自其標識、聲明之日起，數據及其標識、聲明不得分離，數據管理者和數據使用者均須按照標識、聲明的類別和級別安全管理和使用數據。第十五條對于文件形式的數據，須由數據管理者在文件明顯位置標識其類別、敏感級別、失效日期等，且文件和標識不能分開。標識應該醒目，標識格式應統一，標識方法應便于審計。對于非文件形式的高敏感級別數據，如無法標識，須進行聲明。第十六條失效日期指數據敏感級別的有效性截止日期

6、。到達失效日期后，應對數據進行重定級。第十七條對于敏感級別高的數據， 須由管理者對數據名稱、 類別、敏感級別、失效日期等以聲明文件的形式進行聲明，聲明文件須由數據所有者審批簽字。聲明文件須跟隨數據一起保管和傳遞。（聲明文件模版詳見附件）卑微如螻蟻、堅強似大象共享知識分享快樂第十八條多個不同敏感級別的數據合并在一起時，按最高敏感級別給混合數據進行標識和聲明。第六章保管與保護第十九條數據管理者須按照數據的敏感級別實施對應的保管與保護措施，并確保滿足數據所有者對數據的安全要求。第二十條數據管理者在日常管理中，須對數據按敏感級別分級防護，采取對應的存儲、歸檔、設定保存期限等措施。第二十一條敏感級別高的

7、數據紙質文件須參照XXX 秘密級文件安全管理規定進行保管和保護。敏感級別高的電子數據須采用必要的訪問控制措施。第二十二條數據管理工作應該首選技術手段加管理要求實現。必須加強針對數據管理工作的技術手段的研究、選型、部署、維護等。第二十三條敏感級別高的數據自產生之日起，所有者提出的技術保障需求應同步到位。如技術上無法達到，技術部門應持續跟蹤技術進展，逐步使技術手段能夠滿足各項管理要求；對于已成熟并可采納的技術手段，技術部門應驗證其功能可靠性，逐步引入，持續優化技術保障工作。卑微如螻蟻、堅強似大象共享知識分享快樂第七章數據使用第二十四條數據使用者在使用數據時，須注意識別數據的敏感級別，按照其敏感級規

8、范數據操作使用行為；使用中發現問題及時反映，發現違規行為及時舉報，并積極配合違規事件的調查；自覺遵守數據管理規定。第二十五條數據使用者須保證其所使用數據來源的合法性，不私自拷貝、使用、傳播、保存與自己工作無關的數據。第二十六條數據使用者和數據管理者無權未經所有者批準向發布范圍以外的單位或個人提供中心數據或其衍生物，否則視為違規；如因工作原因需要對外提供的，應經數據所有者確認，并記錄、備案、備查。第二十七條XXX 業務數據須按主管業務部門授權或管理規定要求對外提供，否則視為違規，并需做好數據提供記錄，備案、備查。第二十八條數據管理者要對數據使用情況進行掌控和審計，發現違規行為及時制止，并依本規定

9、進行處置。第八章數據銷毀第二十九條數據管理者有按照數據所有者要求清理和銷毀原始數據的義務。第三十條數據使用者應具有數據安全清理和銷毀的意識，具有按卑微如螻蟻、堅強似大象共享知識分享快樂照數據管理者的要求清理和銷毀本地臨時數據、中間文件、過程文件的責任和義務。第三十一條數據管理者和數據使用者具有按照規定記錄清理和銷毀數據過程，并接受安全管理人員審計的義務。第三十二條數據管理者和數據使用者在清除和銷毀電子數據時，須保證清除和銷毀的徹底性。第九章安全檢查與審計要求第三十三條數據管理者有義務監督數據的安全使用，負責所管理數據的自查工作。周期性地檢查數據安全使用和管理情況，更新過期的標識或聲明信息，向數

10、據所有者匯報。第三十四條信息安全領導機構根據信息安全組織授權，獨立開展高敏感級別數據的第三方審計工作。檢查和審計數據所有者、數據管理者數據管理要求的執行情況，向信息安全組織匯報。第十章數據保護第三十五條數據保護應遵循適度保護、積極防范、突出重點、分級管理的原則，通過數據的分類分級進行區別保護、動態保護。卑微如螻蟻、堅強似大象共享知識分享快樂第三十六條X 系 X 統信息安全組織，應根據信息安全工作的實際需要，制定數據保護的具體技術和管理措施。第三十七條在數據的采集、決策分析、共享發布、存儲和廢棄的生命周期各階段，對數據的相應級別進行防護和處理。第三十八條應能夠檢測到系統管理數據、鑒別信息和重要業

11、務數據在傳輸和存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。第三十九條數據在存儲和傳輸過程中須根據數據的級別采用加密或其他手段確保其存儲安全。第四十條數據在使用過程中，須根據數據的級別進行控制，嚴禁非授權訪問、傳輸和修改。第四十一條數據交換過程中如涉及交換對象為非海關系統，應確保對端保護力度不低于海關系統數據保護力度。第四十二條數據的銷毀須嚴格按照XXX 系統相關標準、規范要求及國家的法律法規要求進行處理。第十一章附則第四十三條對在數據安全管理工作中做出貢獻和創造性地開展工作卑微如螻蟻、堅強似大象共享知識分享快樂的部門與個人予以表彰和獎勵；對違反本規定而引發事故的相關責任人，按照 XXX 違規違紀相關規定予以處罰。第四十四條本規定由 XXX 科技發展司負責解釋。第四十五條本規定自發布之日起執行。附件、聲明文件模板卑微如螻蟻、堅強似大象共享知識分享快樂附件、聲明文件模板分類分級說明數據名稱：失效日期