XX聯通數據安全管理辦法V1總則為提升中國聯合網絡通信集團有限公司XX省分公司（以下簡稱“XX聯通”）數據安全管理水平，明確數據安全管理責任，防范和處置數據安全隱患及問題，降低網絡數據被違規使用和傳播的風險，根據《中華人民共和國網絡安全法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等相關法律法規，以及《電信和互聯網用戶個人信息保護規定》（工信部24號令）等行業規定，制定本辦法。本辦法適用范圍為XX聯通省公司各部門、各地市分公司和各子公司在數據采集、生成、傳輸、存儲、使用、交互、銷毀等數據全生命周期活動中涉及的數據安全相關事項。本辦法為XX聯通數據安全總體管理辦法，IT系統、基礎網絡、對外合作數據安全管理要求還需遵循《聯通IT系統數據安全管理辦法》、《XX聯通基礎網絡數據安全保護管理辦法（試行）》、《XX聯通大數據對外合作支撐管理辦法》中的相關規定。數據安全責任體系省公司信息安全部負責牽頭全省數據安全管理工作，具體安全職責如下：1、負責按照相關法律法規要求，制定公司數據安全管理整體方針策略。2、負責規劃數據安全技術保障措施，督促相關部門建設數據加密存儲、數據防攻擊、防竊取、防泄漏、數據備份和恢復等安全技術保障措施。3、負責牽頭做好數據安全事件應急處置，組織開展應急演練。4、負責組織開展數據安全評估，按照上級評估工作要求及評估要點，針對重點業務類型和場景，組織相關單位完成數據安全合規性自評估。5、負責組織開展各類數據安全專項治理工作。6、負責公司內部數據安全監督檢查，定期對相關單位數據安全管理情況和落實效果進行監督檢查，及時督促問題整改。7、配合電信主管部門、集團公司開展數據安全監督檢查。8、負責組織教育培訓等工作。省公司信息化專業是公司IT系統數據安全的管理責任部門，負責本省IT系統數據全生命周期管理；制定本省IT系統安全制度；負責建設本省IT系統安全保障平臺；負責本省大數據平臺數據采集、數據服務的業務評估以及安全合規性審核；其他本省范圍IT系統數據安全管理相關工作。省公司網絡運營部是公司基礎網絡數據安全理責任部門，負責本單位網絡數據安全管理情況的具體落實；建立完善本單位網絡數據安全管理體系；組織開展本單位網絡數據監督檢查工作；結合本省實際情況制定本單位網絡數據安全保護實施細則，并貫徹落實各項網絡數據管理要求。省公司市場部負責用戶授權相關政策落實，通過用戶協議和隱私政策明示收集目的、方式和范圍。省公司政企客戶事業部總體牽頭大數據業務數據安全管理，負責統籌大數據對外業務發展規劃、產品引入評審管理、產品化管理、資費管理、營銷管理、培訓管理、考核評價管理等工作。省公司客戶服務部負責建立健全數據安全投訴處理機制，受理用戶投訴。各數據運營、使用單位具體安全職責如下：1、遵守執行公司各數據安全管理辦法，負責本單位建設的系統全生命周期數據安全。2、負責制定本單位數據安全技術保障要求，搭建本單位數據安全保障平臺。3、負責本單位的數據使用管理和安全審核，明確數據使用時間、用途和使用范圍，對接收到的數據在約定的范圍內使用。4、負責本單位數據使用的人員管理，遵守公司數據安全相關規定。5、負責本單位與外部合作伙伴的數據合作安全保障，遵守國家法律法規及聯通對外合作的相關管理規定，按照合作關系簽訂數據合作協議，明確相關數據保密責任。省公司各部門、子公司和地市分公司應至少配備一名數據安全管理員，負責本單位數據安全相關工作。數據分級分類根據數據在生產、經營和管理中的重要性，結合有關保密規定，按照內網IT系統數據、基礎網絡數據分別制定分級分類管理標準。內網IT系統數據由省公司信息化專業管理；基礎網絡數據由省公司網絡運營部管理。按照數據的重要程度和一旦發生相關數據安全事件對公司所帶來的危害程度，對數據實行分級管理。數據原則上分為關鍵級、重要級、較重要級、一般級4個級別，省公司信息化專業、網絡運營部要根據實際情況予以細分，具體分級如下：1、關鍵級：具有最高安全等級的數據。此類數據或涉及用戶的個人隱私、核心業務數據、組合信息，不正當使用會對用戶或公司造成極為嚴重的影響。2、重要級：具有較高安全等級的數據。此類數據或涉及用戶的特征信息和日常業務數據，不正當使用會對用戶或公司造成較為嚴重的影響。3、較重要級：具有較低數據安全等級的數據。此類數據不正當使用會對用戶或公司造成一定的影響4、一般級：是指不具安全敏感度，可以公共訪問和對外發布的數據，并且不會產生任何安全問題按照數據的重要程度和一旦發生相關數據安全事件對公司所帶來的危害程度，對數據實行分級管理。數據原則上分為關鍵級、重要級、較重要級、一般級4個級別，省公司信息化專業、網絡運營部要根據實際情況予以細分，具體分級如下：省公司信息化專業、網絡運營部要根據數據內容涉及的主體（個人客戶、公司客戶等）、顆粒度（明細、匯總等）、完整性（全量、樣本等）、真實性、數據量、數據位置等屬性進行分類管理。針對較重要級以上的數據和用戶信息數據，相關部門要制定加密、脫敏等具體的安全管控措施，避免數據泄露、被竊取、篡改和濫用等事件發生。數據安全基礎管理按照“誰生成誰負責，誰使用誰負責，誰存儲誰負責，誰運營誰負責、誰受益誰負責，誰審批誰監管”的原則，各單位應承擔相關數據全生命周期的數據安全責任，防止數據的丟失、泄露。各單位應遵循操作權限最小化原則，建立數據訪問權限控制體系，應限制批量查詢、復制、轉移數據的操作權限。記錄數據訪問權限審批日志、數據訪問操作行為日志，并定期審計。數據應避免手工離線操作，數據生命周期活動應在系統上實現，最大限度避免手工或離線方式進行數據生命周期活動。數據系統化保障原則，各級數據系統必須建立數據安全保障系統架構，建立涵蓋網絡數據全生命周期的各個環節的數據安全保障平臺，具備系統化的數據安全保護能力。各單位應定期開展數據安全風險監測巡查，對操作日志開展安全審計，發現和處置非授權訪問、批量復制或轉移等異常情況，及時消除安全隱患。涉及較重要級（含）以上數據的系統應按照網絡安全防護工作要求，定期開展風險評估工作，對其中發現的安全風險事項及時進行整改；定期進行漏洞掃描，及時發現所使用的操作系統、中間件、數據庫以及程序本身的高危安全漏洞，及時修補發現的安全漏洞以及配置不符合項。涉及較重要級（含）以上數據的系統應實現網絡安全域劃分，不同安全域之間使用防火墻進行隔離和訪問控制，并具備入侵檢測系統等防護手段。防火墻設備的訪問策略應設置為默認拒絕，只對特定的業務所必須的系統或維護終端開放訪問權限。涉及較重要級（含）以上數據的用戶權限申請、密碼初始化申請等，必須嚴格按照相關管理要求，經相關流程審核批復后方可予以配置。對于能處理較重要級（含）以上數據的操作維護終端，應統一安裝防病毒軟件，定期進行安全掃描和加固，限制無線網絡的使用，應有統一的接入控制，執行統一的安全策略。各單位應強化數據安全風險防控意識，積極推動對員工和第三方合作單位的數據安全風險意識教育、培訓。數據生命周期各環節安全要求各單位應圍繞數據生命周期五個環節，持續提升整體的數據安全保障能力。數據采集/生成：指新的數據產生或現有數據內容發生顯著改變或更新的環節。數據傳輸：指數據通過網絡在系統之間進行流動的環節。數據存儲：指非動態數據以任何數據格式進行物理存儲的環節。數據使用：指動態數據在系統自身內部進行的一系列活動的環節。數據銷毀：指利用物理或者技術手段使數據永久或臨時性的不可用的環節。數據采集/生成過程安全要求各單位要在收集信息時明確告知用戶收集和使用規則，包括信息共享機制，并取得用戶授權同意，原則上統一使用集團公司《中國聯通用戶隱私政策》模板。當收集的信息超出授權范圍時，需要二次授權。數據采集/生成遵循“按需收集”的原則，數據采集前應進行業務評估。收集/生成的數據必須在上級主管部門和業務主管部門要求范圍之內，嚴禁擅自擴大數據收集/生成的范圍。原則上不允許通過分光鏡像方式進行數據收集。如果確有需要，必須經過省公司網絡信息安全管理部門審批。對外合作中采集的非本單位數據應合法獲得，無接收系統的冗余數據應在采集環節及時刪除。相關設備及系統要對收集/生成數據的操作進行日志記錄，并對日志記錄中的身份信息和鑒權信息進行模糊化處理。數據傳輸過程安全要求不得隨意向其他單位或部門轉移各類相關數據信息。數據轉移須在業務主管部門要求范圍之內，嚴禁擅自擴大網絡數據轉移范圍，或轉移與業務無直接關系的內容。數據傳輸過程中，應建立完善的數據傳輸保護機制，包括數據加密、完整性校驗等手段。對于跨越互聯網或不同等級安全域之間的數據傳輸，必須進行加密，以實現數據傳輸的安全。轉移數據時，數據接收單位應具備信息保護技術能力，達到信息保護相關標準要求。要強化傳輸接口安全管控，采取系統間接口的設備鑒權、通過MAC地址、IP地址或端口號綁定、訪問控制策略等方式限制違規設備接入。數據接收單位應在訪問和使用完成后，及時通知數據輸出單位收回相關權限。相關設備及系統應對數據的轉移操作進行日志記錄，并對日志記錄中的敏感信息進行模糊化處理。數據存儲過程安全要求要采取加密、鑒權、數字簽名等安全措施保障數據存儲安全，防止對數據傳輸介質的未授權訪問、損害和干擾。原則上，關鍵級數據要加密存儲，并按照有關規定選擇適當的數據加密算法；較重要級（含）以上數據在存儲時是否需要采取加密措施，在風險評估時予以明確。對于較重要級（含）以上數據，按照實際系統需要，在存儲時要充分利用模糊化等脫敏措施。對于數據備份，要按照各專業相關管理規定執行，每年制定數據備份計劃，并按照備份計劃嚴格執行。數據必須存儲在本地，并具備容災備份，如需采用云端存儲作為異址備份，則應選用聯通自有云端存儲。數據使用過程安全要求對于較重要級（含）以上數據，要通過數據需求單位申請、數據輸出單位及各專業線數據安全責任單位審批后方能使用。數據需求單位必須明確具體的數據內容和用途，并保證相關數據不泄露和被濫用。數據輸出單位應建立數據使用審核機制，明確數據使用中的安全要求。禁止擅自向開發測試環境導入真實網絡數據。如因工作需要必須進行導入操作時，必須經過審批后方可實施，并對不必要的真實數據與信息進行模糊化脫敏處理。嚴禁第三方人員擅自接觸生產系統所承載的數據，如工作需要必須通過審批后方可實施，操作過程中有局方陪同進行。相關設備及系統應對數據的使用操作進行日志記錄，記錄內容至少包括訪問人員、訪問對象、訪問時間、訪問操作等。數據銷毀過程安全要求公司內部數據使用者有義務根據服務協議的約定，定期銷毀數據和相關載體，并接受相關部門的檢查。對外數據合作方有義務配合XX聯通數據安全管理工作，對約定到期的數據和相關載體進行銷毀，對違反約定的行為XX聯通有權進行追責并采取相關措施。數據刪除和銷毀的操作，必須經過審批后方可實施，并進行記錄。下線報廢設備，必須經過消磁、粉碎等不可逆技術手段對承載的數據及敏感數據進行銷毀。下線再利用設備，必須通過技術手段對其承載的數據進行脫敏處理，消除信息識別性內容，確保處理后的數據不可還原。對于系統所更換下來的數據存儲介質，必須采用有效的手段由維護人員負責徹底刪除涉及客戶信息等敏感數據，才可離開其所在的安全區域。不再使用的數據存儲介質，應通過消磁、粉碎等技術手段由維護人員負責及時銷毀。需要銷毀的電子信息存儲介質類型包括：硬盤、軟盤、光盤、U盤以及各種存儲芯片等。數據共享合作安全管理數據共享合作前應簽訂數據安全協議，明確規定合作各方數據使用權限、安全保護責任、必要的安全保護措施以及違約責任和處罰條款。原則上，各單位不對非中國聯通集團所屬單位提供較重要級（含）以上數據。特殊情況，需對外提供較重要級（含）以上數據的，必須經過公司相應業務主管部門和網絡信息安全管理部門審批。較重要級（含）以上數據共享合作前，必須對數據共享需求進行風險評估，制定能夠有效控制風險的數據共享方案，并通過OA正式公文或電子工單經過本單位領導審批通過后方可實施。數據提供部門要建立業務合作方風險監督管理機制，加強對業務合作方數據安全風險的監督管理，嚴禁業務合作方超出合同約定目的和范圍使用分析數據。相關系統數據共享接口要遵循最小化原則，不得在無實際需求的情況下，提供數據。各單位應加強第三方人員安全管理，嚴格第三方人員賬號和權限管理，加強對第三方人員操作的安全審計，明確規定第三方人員的數據安全責任及安全責任的懲處規定。數據安全評估參照公司新技術新業務信息安全評估管理辦法，執行“業務部門自評+信安部門復評”二級數據安全評估制度。涉及較重要級（含）以上數據數據采集/生成、傳輸、存儲、使用、銷毀的業務，在上線前必須經過評估。評估內容包括但不限于數據安全風險情況、數據合規使用提供情況、數據安全保障措施合規與完善程度、合作方數據安全保護水平。對于評估結論為“風險較大”的業務，業務部門需立即下線整改，直至重新通過評估后方可上線。數據安全應急響應各級數據安全管理部門應建立應急響應機制，制定應急預案和流程，定期開展應急演練。當數據發生或者可能發生泄漏、毀損、丟失的，應立即采取補救措施；造成或者可能造成嚴重后果的，應當立即向上級主管部門報告，并配合調查處理。數據安全應急工作堅持“統一指揮、分級分工負責、及時預警、密切協同、快速處置、確保恢復”的原則。對于上級主管部門通知或社會披露的與本單位相關的數據安全風險信息，如系統漏洞、業務漏洞、數據泄露等，應立即