目 录第一章 总则 … 1第二章 组织架构与职责 … 3第三章 数据分类分级与目录管理 … 8第四章 数据全生命周期安全管理 … 15第五章 数据安全技术防护 … 28第六章 风险评估与应急处置 … 34第七章 监督检查与责任追究 … 40第八章 培训与宣传教育 … 45第九章 附则 … 48附 件 1数据分类分级标准实施细则 … 50附 件 2国央企数据安全管理优秀范本核心要点 … 56附 件 3数据安全管理成功案例汇编 … 60第一章 总则第一条 为规范[企业名称]以下简称“企业”数据处理活动加强数据安全管理防范数据安全风险保障数据资产安全促进数据合规开发利用保护个人、组织的合法权益维护国家安全、经济运行、社会稳定和企业核心利益依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中央企业数据分类分级指南》《能源行业数据安全管理办法(试行)》等法律法规及国家有关数据安全管理要求结合企业生产经营、科研创新、管理服务实际制定本办法。本办法作为企业数据安全管理的纲领性文件贯穿数据全生命周期覆盖所有数据处理主体和环节是企业落实数据安全主体责任、应对监管检查、防范安全风险的核心依据与企业数字化转型战略深度衔接兼顾合规性与实操性确保数据安全工作有序推进、落地见效。第二条 本办法适用于企业总部各部门、各子公司、分公司、全资及控股企业以下统称“各单位”所有数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期各个环节同时覆盖参与数据处理活动的全体员工、外包服务商、合作单位、科研伙伴及其他相关关联人员。本办法的适用范围严格参照国家能源局《能源行业数据安全管理办法(试行)》《中央企业数据安全管理指引》的界定原则全面覆盖企业经营管理、生产运营、科研创新、客户服务等所有核心环节重点聚焦涉及国家安全、国民经济命脉、重大公共利益的相关数据处理活动。特别明确将外包服务商、合作科研单位、第三方技术供应商等第三方主体纳入管理范围实现“全员覆盖、全流程管控、全方位防护”确保数据安全管理无盲区、无死角、无责任空白。对于境外子公司、境外合作单位的数据处理活动除遵循本办法外还需严格遵守所在国家或地区的数据安全相关法律法规同时报企业数据安全工作领导小组备案确保跨境数据处理合规可控。第三条 本办法所称数据是指企业在生产经营、管理服务、科研创新、客户服务等各类活动中收集、产生、存储、使用的各类结构化、半结构化和非结构化数据包括但不限于业务数据、管理数据、科研数据、客户数据、员工数据、外部获取数据等。根据数据重要程度、影响范围和泄露后造成的危害程度本办法将企业数据分为核心数据、重要数据和一般数据三级具体分类分级标准详见本办法附件1《数据分类分级标准实施细则》由企业数据安全办公室负责动态更新和解释。结合国央企数据管理特点参照《能源行业数据安全管理办法(试行)》《中央企业数据分类分级指南》中数据分类分级的核心思路本办法所指数据不仅包括企业内部生产经营、管理服务产生的各类数据还涵盖外部获取的公共数据、合作单位共享数据、科研合作产生的联合数据、政府采购数据等同时明确数据分级与国家数据安全分级要求保持一致核心数据对应国家核心数据范畴重要数据参照行业重要数据目录执行确保与国家监管标准无缝衔接切实保障数据安全与国家利益、企业利益相统一。第四条 数据安全管理遵循“安全优先、合规可控、统筹兼顾、权责统一、创新赋能、全程闭环”的原则坚持统筹发展和安全正确处理数据安全与数据开发利用的关系实现数据安全与业务发展、数字化转型协同推进确保数据处于有效保护和合法利用的状态充分发挥数据要素对企业高质量发展的支撑作用。本原则借鉴了中国石化、国家电网、中国电信等顶尖央企数据安全管理的优秀实践突出国央企“安全与发展并重”的核心导向具体内涵如下安全优先将数据安全作为企业生存发展的底线优先保障核心数据、重要数据安全坚决防范各类数据安全风险杜绝因数据安全问题影响国家安全、企业运营和公共利益合规可控所有数据处理活动严格遵循国家数据安全相关法律法规、行业监管要求和企业内部管理制度确保数据处理全程可追溯、可监管、可审计杜绝违规处理数据行为统筹兼顾统筹协调企业总部与各子公司、各部门的数据安全工作兼顾数据安全与数据开发利用、业务发展与合规管理避免“重安全、轻利用”或“重发展、轻安全”的极端情况权责统一明确各层级、各岗位的数据安全职责将数据安全责任落实到每一个岗位、每一个环节、每一个人员实现“谁经手、谁负责谁管理、谁负责谁审批、谁负责”创新赋能在保障数据安全的前提下推动数据资源开发利用探索数据赋能业务、创新管理的新模式发挥数据要素价值助力企业数字化转型和高质量发展全程闭环建立数据全生命周期安全管理体系实现数据收集、存储、使用、加工、传输、提供、公开、销毁等各环节的安全管控闭环确保数据安全管理无漏洞、无脱节。该原则与国家能源局提出的“促进数据开发利用保护个人、组织的合法权益维护国家安全和发展利益”的核心目标高度一致符合国央企数据安全管理的核心需求。第五条 企业数据安全工作实行统一领导、分级负责、全员参与、协同联动的管理体制建立“决策层统筹、管理层监管、执行层落实、监督层督查”的四级管理体系明确各层级、各岗位数据安全职责将数据安全责任纳入各单位、各岗位绩效考核形成“层层抓落实、全员共参与”的数据安全工作格局。参照国家能源局《能源行业数据安全管理办法(试行)》中“分级负责、权责明确”的管理体制结合央企“集团统筹、分级落实”的管理模式本办法明确的四级管理体系与国家能源局明确的“国家能源主管部门、省级能源主管部门、能源数据处理者、基层执行单位”四级管理架构相呼应确保决策层、管理层、执行层、监督层权责清晰、协同高效。同时建立数据安全责任追溯机制对所有数据处理活动进行全程记录一旦发生数据安全问题可精准追溯责任主体切实将数据安全责任落到实处确保数据安全工作有序推进。第二章 组织架构与职责第六条 企业成立数据安全工作领导小组作为企业数据安全工作的最高决策机构统筹协调企业数据安全重大事项推动数据安全工作落地见效。领导小组组成人员由企业主要负责人董事长/总经理担任组长分管数据管理、网络安全、生产经营的副总经理担任副组长总部各部门、各子公司、分公司主要负责人为成员。领导小组下设办公室以下简称“数据安全办公室”设在企业指定职能部门如信息技术部、数据管理部配备专职数据安全管理人员负责日常工作开展。领导小组主要职责包括一贯彻落实国家数据安全法律法规、方针政策及行业监管要求审定企业数据安全发展战略、总体规划、年度工作计划和重大政策措施确保企业数据安全工作与国家要求同频同步二统筹协调企业数据安全重大事项研究解决数据安全管理中的重大问题如重大数据安全隐患、重大数据安全事件、数据安全重大投入等部署数据安全重点工作任务三审定数据安全管理制度、数据分类分级标准、数据安全应急预案、数据安全评估报告等重要文件确保相关文件符合法律法规要求和企业实际四监督检查各单位数据安全责任落实情况考核评价各单位数据安全工作成效将数据安全工作纳入各单位绩效考核体系对数据安全工作成效显著的单位和个人予以表彰对工作不力的予以问责五协调处理重大数据安全事件组织开展应急处置工作及时向上级主管部门及相关监管机构如国家能源局、网信部门报告数据安全重大情况和重大事件六审议企业数据安全重大投入计划保障数据安全技术防护体系建设、培训宣传、应急处置等工作的经费投入七指导企业数据安全文化建设推动全员数据安全意识提升营造“人人重视数据安全、人人守护数据安全”的良好氛围。【国央企优秀范本借鉴】本领导小组设置参照国家能源局《能源行业数据安全管理办法(试行)》中“能源数据处理者主要负责人对数据安全负主体责任”的要求同时借鉴国家电网、中国电信等央企的组织架构设置经验明确由企业主要负责人担任组长确保数据安全工作的权威性和统筹性。国家电网作为央企数据安全管理的标杆其数据安全工作领导小组由董事长担任组长统筹全局数据安全工作明确各部门、各单位的责任分工将数据安全与电网生产、调度、营销等核心业务深度融合形成了“决策统一、权责清晰、协同高效”的管理格局。本办法借鉴其经验强化了领导小组的决策职能和统筹协调能力重点强化了重大事项决策、监管考核、事件上报等核心职责确保企业数据安全工作与国家监管要求同频同步与企业业务发展深度衔接。第七条 数据安全办公室作为数据安全工作领导小组的日常工作执行机构承担数据安全日常管理、协调推进、监督检查等职责确保领导小组部署的各项工作任务落到实处。数据安全办公室主要职责包括一牵头制定和修订企业数据安全管理制度、操作规程、数据分类分级标准、数据安全技术规范等组织推动各项制度、规范的落地执行定期对制度执行情况进行检查评估根据业务发展和监管要求及时修订完善二负责数据安全日常管理工作统筹协调各单位开展数据安全风险排查、风险评估、隐患整改等工作建立数据安全工作台账记录数据安全工作开展情况、风险隐患及整改情况三组织建立健全企业数据安全技术防护体系推进数据安全技术手段建设和升级如身份认证系统、数据加密系统、安全监测预警系统、数据备份恢复系统等保障数据全生命周期安全四组织开展数据安全培训、宣传教育活动制定年度培训计划针对不同岗位、不同人群开展差异化培训提升全员数据安全意识和操作技能定期组织数据安全宣传活动营造良好的数据安全文化氛围五负责数据安全事件的监测、预警、上报和应急处置的组织协调工作建立数据安全事件监测机制及时发现数据安全异常行为发出预警信息协调相关单位开展应急处置跟踪事件处置进度形成事件处置报告六建立数据安全工作台账定期向数据安全工作领导小组汇报数据安全工作情况包括年度工作进展、风险隐患排查整改情况、数据安全事件处置情况等为领导小组决策提供依据七负责与上级主管部门、监管机构、行业协会等的沟通对接配合开展数据安全检查、评估、调研等工作及时传达上级工作要求上报企业数据安全工作情况八负责企业重要数据目录的建立、更新和上报工作统筹协调各单位梳理重要数据建立企业重要数据目录按规定向上级主管部门报送九负责数据安全技术服务商、第三方检测机构的筛选、管理和评估工作确保其符合数据安全相关要求为企业数据安全工作提供技术支撑。【国央企优秀范本借鉴】数据安全办公室的设置参考了《能源行业数据安全管理办法(试行)》中“数据处理者应明确数据安全管理机构和人员”的要求借鉴中国石化数据安全管理办公室的运行模式明确其作为日常执行机构的核心职责。中国石化作为能源行业央企标杆其数据安全办公室设在信息技术部配备专职数据安全管理人员牵头制定数据安全管理制度和技术规范统筹推进数据安全技术防护体系建设定期开展数据安全风险评估和培训宣传形成了“制度健全、技术先进、管理规范”的工作模式。本办法借鉴其经验重点强化了制度制定、技术防护、培训宣传、应急协调等实操性工作同时增加了与上级监管机构沟通对接、重要数据目录管理、第三方服务商管理等职责确保企业数据安全工作主动贴合监管要求及时落实国家能源局等主管部门的工作部署提升数据安全管理的规范化、专业化水平。第八条 各单位是本单位数据安全工作的责任主体负责本单位数据全生命周期的安全管理落实企业数据安全管理制度和工作要求防范本单位数据安全风险。各单位主要职责包括一贯彻落实企业数据安全管理制度和工作要求结合本单位业务实际制定具体的数据安全管理细则和操作规程明确本单位数据处理各环节的安全要求和操作规范确保制度在本单位落地执行二明确本单位数据安全负责人和专职/兼职数据安全管理员数据安全负责人由本单位主要负责人担任专职/兼职数据安全管理员负责本单位数据安全日常管理工作对接企业数据安全办公室及时上报本单位数据安全相关情况三组织开展本单位数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期的安全管理落实数据分类分级保护要求对本单位的数据进行梳理、识别和标注建立本单位数据清单采取相应的安全防护措施四组织本单位员工开展数据安全培训和宣传教育落实岗位数据安全责任定期组织本单位员工学习数据安全法律法规、企业管理制度和操作规程提升员工数据安全意识和操作技能五配合数据安全办公室开展数据安全风险排查、评估、应急处置等工作及时上报本单位数据安全隐患和数据安全事件按照要求完成隐患整改参与应急处置工作六负责本单位合作单位包括外包服务商、合作伙伴、科研单位等的数据安全管理明确合作单位数据安全责任与合作单位签订数据安全合作协议监督合作单位履行数据安全义务定期对合作单位数据安全情况进行检查评估七建立本单位数据安全工作台账记录本单位数据安全工作开展情况、风险隐患及整改情况、员工数据安全培训情况等定期向数据安全办公室报送本单位数据安全工作情况。【国央企优秀范本借鉴】各单位职责设置参照国家能源局《能源行业数据安全管理办法(试行)》中“能源数据处理者应履行的数据安全责任”结合中国建筑、中国中铁等央企的基层单位管理经验突出“属地管理、责任到人”。中国建筑作为建筑行业央企其基层单位均明确了数据安全负责人和专职数据安全管理员结合建筑行业数据特点制定了针对性的数据安全管理细则重点加强了项目数据、客户数据、施工数据的安全管理同时强化了合作单位的数据安全监管确保数据安全管理在基层落地生根。本办法借鉴其经验明确要求各单位设置专职/兼职数据安全管理员同时强化合作单位管理职责这与《能源行业数据安全管理办法(试行)》中“加强对合作单位数据安全管理”的要求高度契合确保数据安全管理层层落实、不留死角。第九条 全体员工是数据安全工作的直接参与者应当严格履行数据安全义务自觉遵守数据安全管理制度和操作规程主动防范数据安全风险维护企业数据安全。全体员工应当履行以下数据安全义务一严格遵守企业数据安全管理制度和操作规程不得擅自收集、存储、使用、传输、复制、泄露、篡改、损毁企业数据不得将企业数据用于与工作无关的用途二树立数据安全意识主动学习数据安全知识和技能配合企业开展数据安全培训和检查工作积极参与数据安全宣传教育活动提升自身数据安全素养三发现数据安全隐患、违规行为或数据安全事件时应当立即停止相关操作采取补救措施防止风险扩大并及时向本单位数据安全管理员或数据安全办公室报告不得隐瞒、拖延报告四妥善保管个人数据访问账号、密码、密钥等身份认证信息不得转借、泄露给他人定期更换密码确保身份认证信息安全五在工作中使用的个人设备如电脑、手机、U盘等不得存储企业核心数据、重要数据不得通过未加密的网络、邮件、即时通讯工具等传输企业核心数据、重要数据六离职时应当按规定交还所有存储企业数据的设备和介质如电脑、U盘、硬盘、光盘等删除个人设备中存储的所有企业数据履行数据安全交接手续签订数据安全保密承诺书不得带走企业任何数据。【国央企优秀范本借鉴】员工义务参照国家能源局对能源行业从业人员的要求借鉴国家电网、中国电信等央企的员工数据安全管理规范。国家电网针对员工数据安全管理制定了详细的员工数据安全行为规范明确了员工在数据收集、使用、传输等环节的义务特别强化了离职员工的数据交接和保密要求有效防范了员工离职导致的数据泄露风险。本办法借鉴其经验增加了“离职数据交接”“身份认证信息保管”“个人设备数据管理”等具体要求同时明确员工对数据安全隐患的报告义务与《能源行业数据安全管理办法(试行)》中“发现数据安全缺陷、漏洞等风险时应立即采取补救措施”的要求保持一致强化全员数据安全意识筑牢数据安全第一道防线。第十条 合作单位包括外包服务商、技术服务商、合作伙伴、科研单位、供应商等应当严格遵守企业数据安全管理要求履行数据安全责任保障企业数据在其自身系统中的安全防范第三方数据安全风险。合作单位应当遵守以下数据安全要求一与企业签订正式的数据安全合作协议明确数据安全责任、义务和违约责任协议中应当明确数据访问权限、使用范围、存储要求、销毁要求等核心内容未签订数据安全合作协议的不得开展任何数据处理活动二按照协议约定和企业要求开展数据处理活动不得超出授权范围处理企业数据不得擅自收集、存储、使用、传输、泄露企业数据不得将企业数据用于与合作无关的任何用途三建立健全自身数据安全管理制度和技术防护体系配备必要的数据安全技术设备和软件采取加密存储、访问控制、安全监测等安全措施保障企业数据在其自身系统中的安全定期对自身数据安全情况进行检查和整改四配合企业开展数据安全检查、评估和应急处置工作及时提供相关数据和资料不得拒绝、阻碍检查工作对检查中发现的问题应当按照要求及时完成整改五不得将企业数据泄露给任何第三方不得将企业数据转让、出租、出借他人使用确需委托第三方处理企业数据的应当事先征得企业书面同意并对第三方的数据安全工作进行监督管理六合作终止后应当按企业要求在规定期限内删除或返还所有企业数据包括存储在其系统、设备、介质中的所有企业数据及备份数据并提供书面证明确保企业数据不可恢复七定期向企业数据安全办公室和合作对接单位报送自身数据安全工作情况及时上报数据安全隐患和数据安全事件配合企业开展应急处置工作。【国央企优秀范本借鉴】合作单位管理借鉴《能源行业数据安全管理办法(试行)》中“对合作单位数据安全管理”的相关要求结合中国石化、中国石油等央企的合作单位管理经验。中国石化在与第三方合作过程中建立了严格的合作单位准入、评估、退出机制要求所有合作单位必须签订数据安全合作协议明确违约责任定期对合作单位数据安全情况进行评估对不符合要求的合作单位及时终止合作有效防范了第三方数据安全风险。本办法借鉴其经验明确要求合作单位签订数据安全合作协议明确违约责任同时增加“合作终止后数据删除/返还”的书面证明要求与《能源行业数据安全管理办法(试行)》中“确保能源行业重要数据、核心数据处于有效保护和合法利用的状态”的要求相衔接进一步规范合作单位数据安全管理防范第三方数据泄露风险。【数据安全成功案例1】国家能源集团某子公司合作单位数据安全管理案例国家能源集团某子公司作为能源行业重点央企下属单位主要负责电力生产、能源供应等业务涉及大量核心数据、重要数据其合作单位包括技术服务商、外包运营商等多家第三方主体。该子公司在数据安全管理工作中严格按照类似本办法的要求建立了完善的合作单位数据安全管理体系有效防范了第三方数据安全风险其经验做法被国家能源局作为行业典型案例推广。具体做法如下一是建立合作单位准入机制对所有合作单位进行数据安全资质审核筛选具备良好数据安全管理能力的合作单位未通过审核的单位一律不得合作二是与所有合作单位签订详细的数据安全合作协议明确数据访问权限、使用范围、安全要求和违约责任协议中明确约定“违规存储核心数据将追究违约责任情节严重的终止合作并要求赔偿损失”三是建立合作单位定期检查机制每季度组织开展合作单位数据安全检查重点检查数据存储、访问控制、数据加密等情况及时发现和整改安全隐患四是建立合作单位退出机制对数据安全管理不符合要求、存在违规行为的合作单位及时终止合作并要求其删除所有企业数据提供书面证明。在一次季度检查中该子公司发现某技术服务商违规将企业核心数据存储在外部公共云平台违反了合作协议和数据安全管理要求。该子公司立即启动整改程序责令该服务商在24小时内删除违规存储的数据整改完成后提交书面整改报告并依据合作协议追究其违约责任扣除相应服务费用。同时对该服务商进行约谈要求其完善数据安全技术防护体系加强员工数据安全培训后续每月度开展一次专项检查确保不再出现类似问题。通过此次整改有效防范了第三方数据泄露风险确保了企业核心数据安全。该案例充分证明了明确合作单位数据安全责任、强化准入审核、定期检查和违约追责的重要性为同类国央企合作单位数据安全管理提供了可借鉴的经验。第三章 数据分类分级与目录管理第十一条 企业按照“分类科学、分级合理、动态调整、全程管控”的原则对数据进行分类分级管理明确不同类别、不同级别数据的安全保护要求和管理措施实现数据安全精准管控兼顾数据安全与开发利用确保数据资源在安全的前提下发挥最大价值。本原则严格遵循《能源行业数据安全管理办法(试行)》《中央企业数据分类分级指南》中“建立数据分类分级保护制度”的要求借鉴国家电网、中国电信、中国石化等央企的分类分级管理经验结合企业业务实际确保数据分类贴合业务场景能够准确反映数据的来源、用途和类型数据分级符合国家监管标准能够精准体现数据的重要程度和危害等级。同时建立数据分类分级动态调整机制根据企业业务发展、数据变化、技术升级和监管要求定期对数据分类分级结果进行复核和调整确保分类分级管理的科学性、时效性和针对性与《能源行业数据安全管理办法(试行)》中“数据分类分级结果应根据业务发展和监管要求动态更新”的要求保持一致。数据分类分级工作由数据安全办公室牵头各单位配合开展明确分工、协同推进确保分类分级工作有序开展、落地见效。第十二条 数据分类应当结合企业业务特点按照数据来源、用途、类型、载体等进行科学划分确保分类清晰、全面无遗漏贴合企业生产经营、科研创新、管理服务实际便于数据安全管理和开发利用。结合国央企业务特点企业数据主要分为以下五大类具体范围如下一业务数据指企业在生产经营、业务运营过程中产生的各类数据是企业核心业务开展的重要支撑包括但不限于生产数据、营销数据、采购数据、财务数据、供应链数据、项目数据等。生产数据涉及企业生产运营核心环节的数据如生产计划、生产进度、生产参数、设备运行数据、质量检测数据、安全生产数据等营销数据涉及企业产品销售、客户服务等环节的数据如销售业绩、客户订单、营销策略、市场调研数据、客户反馈数据等采购数据涉及企业物资采购、供应商管理等环节的数据如采购计划、采购合同、供应商信息、采购价格、采购验收数据等财务数据涉及企业财务管理、资金运作等环节的数据如财务报表、资金往来、成本核算、税务数据、预算数据等供应链数据涉及企业供应链管理、物流配送等环节的数据如供应链计划、物流信息、库存数据、配送记录等项目数据涉及企业各类项目如重大工程、科研项目、投资项目的相关数据如项目方案、项目进度、项目预算、项目验收数据等。二管理数据指企业在内部管理过程中产生的各类数据是企业规范管理、提升效率的重要支撑包括但不限于人事数据、行政数据、审计数据、合规数据、安全管理数据等。人事数据涉及企业员工管理的相关数据如员工基本信息、薪酬福利、绩效考核、培训记录、劳动合同、离职信息等行政数据涉及企业行政管理的相关数据如公文流转、会议记录、办公耗材管理、固定资产管理、考勤数据等审计数据涉及企业审计监督的相关数据如审计计划、审计报告、审计整改记录、违规违纪记录等合规数据涉及企业合规管理的相关数据如合规检查记录、合规风险评估报告、法律法规台账、合规培训记录等安全管理数据涉及企业安全生产、网络安全、数据安全等管理环节的数据如安全检查记录、安全隐患整改记录、安全事件处置记录等。三科研数据指企业在科研创新、技术研发过程中产生的各类数据是企业提升核心竞争力、推动技术进步的重要支撑包括但不限于研发数据、试验数据、专利数据、技术文档数据等。研发数据涉及企业技术研发的相关数据如研发方案、研发进度、研发成果、技术参数、研发人员信息等试验数据涉及企业科研试验、产品测试的相关数据如试验方案、试验过程记录、试验结果、测试报告等专利数据涉及企业专利申请、维护、运用的相关数据如专利申请书、专利证书、专利年费记录、专利转让信息等技术文档数据涉及企业技术资料、技术规范的相关数据如技术手册、操作规范、设计图纸、技术报告等。四客户数据指企业收集的客户基本信息、业务往来信息等是企业开展客户服务、维护客户关系的重要支撑包括但不限于个人客户信息、企业客户信息。个人客户信息涉及个人客户的相关数据如姓名、身份证号、联系方式、地址、消费记录、业务办理记录等需严格遵守《中华人民共和国个人信息保护法》相关要求企业客户信息涉及企业客户的相关数据如企业名称、统一社会信用代码、联系方式、地址、业务合作记录、合同信息等。五其他数据指不属于上述类别的其他数据包括但不限于外部获取的数据、公共数据、合作单位共享数据、科研合作产生的联合数据、政府采购数据等。外部获取数据企业从外部机构、平台获取的数据如行业数据、市场数据、政策数据、第三方统计数据等公共数据从政府部门、公共服务平台获取的公共服务数据如政务数据、公共资源数据等合作单位共享数据与合作单位开展业务合作过程中共享的相关数据其他各类未纳入上述类别的数据。【国央企优秀范本借鉴】数据分类参照《能源行业数据安全管理办法(试行)》中“能源行业数据按来源、用途分类”的思路结合中国石化、国家电网等央企的分类标准。国家电网结合电力行业特点将数据分为生产数据、营销数据、管理数据、客户数据、科研数据五大类每类数据又细化为多个子类明确了各类数据的具体范围贴合电力行业业务实际便于数据安全管理和开发利用。本办法借鉴其经验细化了各类数据的具体范围增加了科研数据、供应链数据、项目数据等子类的详细界定贴合国央企科研创新、重大项目建设、供应链管理的核心业务特点同时将外部获取数据、公共数据、合作单位共享数据纳入“其他数据”范畴确保分类全面无遗漏与国家能源局对能源行业数据的分类要求相衔接提升数据分类的科学性和实用性。第十三条 数据分级按照数据重要程度、影响范围和泄露后造成的危害程度分为核心数据、重要数据和一般数据三级不同级别数据采取差异化的安全保护措施确保数据安全与管理成本相匹配实现精准管控。一核心数据指关系国家安全、企业核心利益一旦被泄露、篡改、损毁可能直接影响政治安全、经济运行、社会稳定或导致企业重大损失、核心竞争力丧失的数据主要包括关系国家安全重点领域的数据、关系国民经济命脉和重大公共利益的数据以及经评估确定的其他核心数据。核心数据是企业数据安全保护的重中之重需采取最高等级的安全保护措施实行全程严格管控严禁擅自对外提供、传输确保核心数据绝对安全。二重要数据指特定领域、特定群体、特定区域或达到一定精度和规模的数据一旦被泄露、篡改、损毁可能危害企业正常运营、造成较大经济损失或影响公共利益的数据仅影响组织自身或公民个体的数据一般不作为重要数据。重要数据需采取较高等级的安全保护措施明确访问权限和使用范围加强风险监测和管控确保数据安全可控。三一般数据指除核心数据、重要数据以外的其他数据泄露、篡改、损毁后对企业和社会造成的危害较小不会影响国家安全、企业核心利益和公共利益。一般数据采取常规的安全保护措施规范数据处理流程确保数据合规使用即可。【数据分类分级标准细则】结合《能源行业数据安全管理办法(试行)》《中央企业数据分类分级指南》中数据分级要求结合企业实际业务特点制定以下具体分类分级标准细则作为本办法的配套执行依据由数据安全办公室负责解释和动态更新各单位严格遵照执行。一、核心数据具体范围及判定依据核心数据的判定核心是“是否直接关系国家安全、企业核心利益和重大公共利益”一旦泄露、篡改、损毁将造成不可挽回的损失具体范围及判定依据如下国家安全相关数据涉及国家能源安全、产业安全、经济安全、公共安全等重点领域的数据是核心数据的核心组成部分包括但不限于1企业参与国家重大项目如重大能源工程、重大基础设施建设、重大科研项目的核心技术参数、关键设备信息、项目进度数据、核心方案设计数据等2涉及国家秘密的相关数据参照《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施条例》进行界定包括但不限于涉密科研数据、涉密业务数据、涉密管理数据等3影响国家能源供应、产业布局、经济运行的核心数据如企业核心产能数据、重大能源调度数据、行业关键指标数据等4涉及国家应急保障的核心数据如应急物资储备数据、应急处置方案、应急响应数据等。判定依据是否直接关系国家安全和重大公共利益一旦泄露、篡改、损毁是否会影响国家政治安全、经济运行、社会稳定。企业核心经营数据关系企业生存发展、核心竞争力的核心数据一旦泄露、篡改将导致企业重大经济损失、核心竞争力丧失包括但不限于1企业年度经营战略、中长期发展规划、重大投资决策数据、核心业务布局数据等2核心财务数据如企业年度营收、利润、重大资金往来数据、核心资产数据、融资数据等3核心技术数据如核心技术专利核心参数、核心技术配方、核心算法、未公开的研发成果数据等4核心客户数据即涉及国民经济命脉、重大公共利益的企业客户的核心信息如大型国企、重点民生企业的核心合作数据、合同核心条款、合作机密等5企业核心商业秘密数据如未公开的商业模式、营销策略、核心竞争力分析数据等。判定依据一旦泄露、篡改是否会导致企业重大经济损失、核心竞争力丧失是否会影响企业正常生存发展。重大公共利益相关数据涉及公共服务、民生保障、公共安全等领域的核心数据一旦泄露、损毁将影响社会稳定、公共安全包括但不限于1企业承担的公共基础设施建设核心数据如重大交通、能源、水利等基础设施的建设参数、运营数据、安全监测数据等2涉及民生保障的核心数据如公共服务供给数据、民生补贴数据、群众诉求核心数据等3公共安全相关数据如安全生产核心监测数据、重大安全隐患数据、应急处置核心数据等。判定依据一旦泄露、损毁是否会影响社会稳定、公共安全是否会损害广大群众的合法权益。二、重要数据具体范围及判定依据重要数据的判定核心是“一旦泄露、篡改、损毁是否会危害企业正常运营、造成较大经济损失或影响公共利益”具体范围及判定依据如下业务运营重要数据支撑企业主要业务运营的重要数据一旦泄露、篡改将影响企业正常运营造成较大经济损失或不良影响包括但不限于1企业主要业务流程数据如生产流程、营销流程、采购流程、供应链流程的关键数据不涉及核心技术参数和核心商业秘密的部分2批量客户信息非核心客户如普通个人客户、中小微企业客户的基本信息、业务往来记录、消费记录等需严格遵守个人信息保护相关要求3业务营收明细数据如各业务板块营收明细、月度/季度营收数据、客户消费明细等不涉及企业年度核心财务数据的部分4采购招标核心数据如采购招标公告、投标文件、中标结果、采购价格明细等不涉及核心商业秘密的部分5生产运营关键参数非核心技术参数如设备日常运行参数、生产工艺常规参数、质量检测常规数据等6供应链关键数据如供应链节点信息、库存明细数据、物流配送明细数据等。判定依据一旦泄露、篡改是否会影响企业正常运营是否会造成较大经济损失或不良社会影响是否会影响业务开展的连续性。管理重要数据支撑企业内部管理的重要数据一旦泄露、篡改将影响企业内部管理秩序造成不良影响包括但不限于1企业人事档案核心信息非涉密如员工薪酬明细、绩效考核结果、培训记录、晋升信息等2审计监察关键数据如审计整改记录、违规违纪处理记录、审计线索数据等3合规管理核心数据如合规风险评估报告、合规检查记录、法律法规执行情况记录等4内部管理制度核心内容如企业内部管理规定、操作规程、绩效考核办法等不涉及核心商业秘密的部分5企业固定资产核心数据如固定资产台账、设备采购合同、设备维护记录等6安全管理关键数据如安全检查记录、安全隐患整改记录、安全培训记录等不涉及核心安全数据的部分。判定依据一旦泄露、篡改是否会影响企业内部管理秩序是否会造成不良影响是否会影响管理工作的正常开展。科研重要数据支撑企业科研创新的重要数据一旦泄露、篡改将影响科研项目推进造成较大损失包括但不限于1科研项目常规数据如科研项目进度明细、试验常规数据、研发过程记录等不涉及核心技术参数的部分2专利相关辅助数据如专利检索报告、专利分析数据、专利维护记录等不涉及核心专利参数的部分3技术文档辅助数据如技术手册常规内容、操作规范常规条款、设计图纸辅助数据等4科研合作常规数据如科研合作协议常规条款、合作进度明细等不涉及核心科研成果的部分。判定依据一旦泄露、篡改是否会影响科研项目推进是否会造成较大科研损失是否会影响科研成果的正常转化。其他重要数据除上述三类以外的其他重要数据包括但不限于1外部获取的重要行业数据、市场数据如行业发展报告、市场调研核心数据等2合作单位共享的重要数据如合作单位提供的业务数据、技术数据等不涉及核心秘密的部分3政府采购相关重要数据如政府采购合同、采购验收数据等不涉及核心秘密的部分。判定依据一旦泄露、篡改是否会影响企业业务开展、科研创新或管理工作是否会造成较大损失或不良影响。三、一般数据具体范围及判定依据一般数据的判定核心是“泄露、篡改、损毁后对企业和社会造成的危害较小不会影响国家安全、企业核心利益和公共利益”具体范围及判定依据如下业务运营一般数据企业业务运营过程中产生的常规数据危害程度较低包括但不限于1业务流程辅助数据如业务办理日志、流程审批记录等2普通客户辅助信息如客户咨询记录、服务反馈明细等不涉及客户核心信息的部分3生产运营辅助数据如设备日常维护记录、生产车间环境数据等4采购、销售辅助数据如采购单据、销售小票等不涉及核心价格和核心客户的部分。管理一般数据企业内部管理过程中产生的常规数据危害程度较低包括但不限于1员工日常考勤数据、加班记录等2办公耗材采购、使用记录等3公文流转辅助数据、会议纪要常规内容等4内部培训辅助数据如培训签到记录、培训课件常规内容等。科研一般数据企业科研创新过程中产生的辅助数据危害程度较低包括但不限于1科研项目辅助记录如科研会议记录、研发人员考勤记录等2试验辅助数据如试验耗材使用记录、试验环境数据等3技术文档辅助内容如技术资料借阅记录、文档修改日志等。其他一般数据除上述三类以外的其他一般数据包括但不限于1外部获取的常规数据如行业新闻、公共信息等2合作单位共享的常规数据如合作单位基本信息、合作联络记录等3企业内部公开的常规信息如企业简介、招聘信息等。判定依据泄露、篡改、损毁后是否仅造成轻微影响或无影响是否不会影响国家安全、企业核心利益、公共利益和企业正常运营。四、分类分级管理要求核心数据实行“专人负责、全程加密、严格管控、禁止外泄”的管理要求明确核心数据管理责任人建立核心数据专门台账采取加密存储、严格访问控制、全程审计等最高等级安全措施严禁擅自对外提供、传输核心数据核心数据的处理活动需经数据安全工作领导小组审批。重要数据实行“分级管控、权限明确、全程可追溯”的管理要求建立重要数据台账采取加密存储、访问权限管控、安全监测等较高等级安全措施重要数据的传输、提供需经本单位负责人和数据安全办公室审批确保数据安全可控。一般数据实行“规范管理、合规使用、全程记录”的管理要求规范数据处理流程采取常规安全防护措施确保数据合规使用做好数据处理记录便于追溯。五、动态调整机制数据安全办公室每年度组织各单位开展一次数据分类分级复核工作根据企业业务发展、数据变化、技术升级和监管要求对数据分类分级结果进行调整完善当企业业务发生重大调整、数据用途发生变化或国家监管要求发生更新时相关单位应及时向数据安全办公室提出数据分类分级调整申请数据安全办公室审核后报数据安全工作领导小组审定数据分类分级调整后数据安全办公室应及时更新数据分类分级标准细则、企业数据清单和重要数据目录并向各单位和相关人员通报确保各单位严格按照调整后的标准执行。【国央企优秀范本借鉴】本分类分级标准细则借鉴了国家电网《数据分类分级管理办法》、中国石化《数据安全分类分级实施细则》的核心内容结合企业实际进行了优化完善。国家电网作为央企数据分类分级管理的标杆其数据分类分级细则明确了各级各类数据的具体范围、判定依据和管理要求建立了动态调整机制同时结合电力行业特点细化
国央企数据安全管理办法 (模板)
目 录第一章 总则 … 1第二章 组织架构与职责 … 3第三章 数据分类分级与目录管理 … 8第四章 数据全生命周期安全管理 … 15第五章 数据安全技术防护 … 28第六章 风险评估与应急处置 … 34第七章 监督检查与责任追究 … 40第八章 培训与宣传教育 … 45第九章 附则 … 48附 件 1数据分类分级标准实施细则 … 50附 件 2国央企数据安全管理优秀范本核心要点 … 56附 件 3数据安全管理成功案例汇编 … 60第一章 总则第一条 为规范[企业名称]以下简称“企业”数据处理活动加强数据安全管理防范数据安全风险保障数据资产安全促进数据合规开发利用保护个人、组织的合法权益维护国家安全、经济运行、社会稳定和企业核心利益依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中央企业数据分类分级指南》《能源行业数据安全管理办法(试行)》等法律法规及国家有关数据安全管理要求结合企业生产经营、科研创新、管理服务实际制定本办法。本办法作为企业数据安全管理的纲领性文件贯穿数据全生命周期覆盖所有数据处理主体和环节是企业落实数据安全主体责任、应对监管检查、防范安全风险的核心依据与企业数字化转型战略深度衔接兼顾合规性与实操性确保数据安全工作有序推进、落地见效。第二条 本办法适用于企业总部各部门、各子公司、分公司、全资及控股企业以下统称“各单位”所有数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期各个环节同时覆盖参与数据处理活动的全体员工、外包服务商、合作单位、科研伙伴及其他相关关联人员。本办法的适用范围严格参照国家能源局《能源行业数据安全管理办法(试行)》《中央企业数据安全管理指引》的界定原则全面覆盖企业经营管理、生产运营、科研创新、客户服务等所有核心环节重点聚焦涉及国家安全、国民经济命脉、重大公共利益的相关数据处理活动。特别明确将外包服务商、合作科研单位、第三方技术供应商等第三方主体纳入管理范围实现“全员覆盖、全流程管控、全方位防护”确保数据安全管理无盲区、无死角、无责任空白。对于境外子公司、境外合作单位的数据处理活动除遵循本办法外还需严格遵守所在国家或地区的数据安全相关法律法规同时报企业数据安全工作领导小组备案确保跨境数据处理合规可控。第三条 本办法所称数据是指企业在生产经营、管理服务、科研创新、客户服务等各类活动中收集、产生、存储、使用的各类结构化、半结构化和非结构化数据包括但不限于业务数据、管理数据、科研数据、客户数据、员工数据、外部获取数据等。根据数据重要程度、影响范围和泄露后造成的危害程度本办法将企业数据分为核心数据、重要数据和一般数据三级具体分类分级标准详见本办法附件1《数据分类分级标准实施细则》由企业数据安全办公室负责动态更新和解释。结合国央企数据管理特点参照《能源行业数据安全管理办法(试行)》《中央企业数据分类分级指南》中数据分类分级的核心思路本办法所指数据不仅包括企业内部生产经营、管理服务产生的各类数据还涵盖外部获取的公共数据、合作单位共享数据、科研合作产生的联合数据、政府采购数据等同时明确数据分级与国家数据安全分级要求保持一致核心数据对应国家核心数据范畴重要数据参照行业重要数据目录执行确保与国家监管标准无缝衔接切实保障数据安全与国家利益、企业利益相统一。第四条 数据安全管理遵循“安全优先、合规可控、统筹兼顾、权责统一、创新赋能、全程闭环”的原则坚持统筹发展和安全正确处理数据安全与数据开发利用的关系实现数据安全与业务发展、数字化转型协同推进确保数据处于有效保护和合法利用的状态充分发挥数据要素对企业高质量发展的支撑作用。本原则借鉴了中国石化、国家电网、中国电信等顶尖央企数据安全管理的优秀实践突出国央企“安全与发展并重”的核心导向具体内涵如下安全优先将数据安全作为企业生存发展的底线优先保障核心数据、重要数据安全坚决防范各类数据安全风险杜绝因数据安全问题影响国家安全、企业运营和公共利益合规可控所有数据处理活动严格遵循国家数据安全相关法律法规、行业监管要求和企业内部管理制度确保数据处理全程可追溯、可监管、可审计杜绝违规处理数据行为统筹兼顾统筹协调企业总部与各子公司、各部门的数据安全工作兼顾数据安全与数据开发利用、业务发展与合规管理避免“重安全、轻利用”或“重发展、轻安全”的极端情况权责统一明确各层级、各岗位的数据安全职责将数据安全责任落实到每一个岗位、每一个环节、每一个人员实现“谁经手、谁负责谁管理、谁负责谁审批、谁负责”创新赋能在保障数据安全的前提下推动数据资源开发利用探索数据赋能业务、创新管理的新模式发挥数据要素价值助力企业数字化转型和高质量发展全程闭环建立数据全生命周期安全管理体系实现数据收集、存储、使用、加工、传输、提供、公开、销毁等各环节的安全管控闭环确保数据安全管理无漏洞、无脱节。该原则与国家能源局提出的“促进数据开发利用保护个人、组织的合法权益维护国家安全和发展利益”的核心目标高度一致符合国央企数据安全管理的核心需求。第五条 企业数据安全工作实行统一领导、分级负责、全员参与、协同联动的管理体制建立“决策层统筹、管理层监管、执行层落实、监督层督查”的四级管理体系明确各层级、各岗位数据安全职责将数据安全责任纳入各单位、各岗位绩效考核形成“层层抓落实、全员共参与”的数据安全工作格局。参照国家能源局《能源行业数据安全管理办法(试行)》中“分级负责、权责明确”的管理体制结合央企“集团统筹、分级落实”的管理模式本办法明确的四级管理体系与国家能源局明确的“国家能源主管部门、省级能源主管部门、能源数据处理者、基层执行单位”四级管理架构相呼应确保决策层、管理层、执行层、监督层权责清晰、协同高效。同时建立数据安全责任追溯机制对所有数据处理活动进行全程记录一旦发生数据安全问题可精准追溯责任主体切实将数据安全责任落到实处确保数据安全工作有序推进。第二章 组织架构与职责第六条 企业成立数据安全工作领导小组作为企业数据安全工作的最高决策机构统筹协调企业数据安全重大事项推动数据安全工作落地见效。领导小组组成人员由企业主要负责人董事长/总经理担任组长分管数据管理、网络安全、生产经营的副总经理担任副组长总部各部门、各子公司、分公司主要负责人为成员。领导小组下设办公室以下简称“数据安全办公室”设在企业指定职能部门如信息技术部、数据管理部配备专职数据安全管理人员负责日常工作开展。领导小组主要职责包括一贯彻落实国家数据安全法律法规、方针政策及行业监管要求审定企业数据安全发展战略、总体规划、年度工作计划和重大政策措施确保企业数据安全工作与国家要求同频同步二统筹协调企业数据安全重大事项研究解决数据安全管理中的重大问题如重大数据安全隐患、重大数据安全事件、数据安全重大投入等部署数据安全重点工作任务三审定数据安全管理制度、数据分类分级标准、数据安全应急预案、数据安全评估报告等重要文件确保相关文件符合法律法规要求和企业实际四监督检查各单位数据安全责任落实情况考核评价各单位数据安全工作成效将数据安全工作纳入各单位绩效考核体系对数据安全工作成效显著的单位和个人予以表彰对工作不力的予以问责五协调处理重大数据安全事件组织开展应急处置工作及时向上级主管部门及相关监管机构如国家能源局、网信部门报告数据安全重大情况和重大事件六审议企业数据安全重大投入计划保障数据安全技术防护体系建设、培训宣传、应急处置等工作的经费投入七指导企业数据安全文化建设推动全员数据安全意识提升营造“人人重视数据安全、人人守护数据安全”的良好氛围。【国央企优秀范本借鉴】本领导小组设置参照国家能源局《能源行业数据安全管理办法(试行)》中“能源数据处理者主要负责人对数据安全负主体责任”的要求同时借鉴国家电网、中国电信等央企的组织架构设置经验明确由企业主要负责人担任组长确保数据安全工作的权威性和统筹性。国家电网作为央企数据安全管理的标杆其数据安全工作领导小组由董事长担任组长统筹全局数据安全工作明确各部门、各单位的责任分工将数据安全与电网生产、调度、营销等核心业务深度融合形成了“决策统一、权责清晰、协同高效”的管理格局。本办法借鉴其经验强化了领导小组的决策职能和统筹协调能力重点强化了重大事项决策、监管考核、事件上报等核心职责确保企业数据安全工作与国家监管要求同频同步与企业业务发展深度衔接。第七条 数据安全办公室作为数据安全工作领导小组的日常工作执行机构承担数据安全日常管理、协调推进、监督检查等职责确保领导小组部署的各项工作任务落到实处。数据安全办公室主要职责包括一牵头制定和修订企业数据安全管理制度、操作规程、数据分类分级标准、数据安全技术规范等组织推动各项制度、规范的落地执行定期对制度执行情况进行检查评估根据业务发展和监管要求及时修订完善二负责数据安全日常管理工作统筹协调各单位开展数据安全风险排查、风险评估、隐患整改等工作建立数据安全工作台账记录数据安全工作开展情况、风险隐患及整改情况三组织建立健全企业数据安全技术防护体系推进数据安全技术手段建设和升级如身份认证系统、数据加密系统、安全监测预警系统、数据备份恢复系统等保障数据全生命周期安全四组织开展数据安全培训、宣传教育活动制定年度培训计划针对不同岗位、不同人群开展差异化培训提升全员数据安全意识和操作技能定期组织数据安全宣传活动营造良好的数据安全文化氛围五负责数据安全事件的监测、预警、上报和应急处置的组织协调工作建立数据安全事件监测机制及时发现数据安全异常行为发出预警信息协调相关单位开展应急处置跟踪事件处置进度形成事件处置报告六建立数据安全工作台账定期向数据安全工作领导小组汇报数据安全工作情况包括年度工作进展、风险隐患排查整改情况、数据安全事件处置情况等为领导小组决策提供依据七负责与上级主管部门、监管机构、行业协会等的沟通对接配合开展数据安全检查、评估、调研等工作及时传达上级工作要求上报企业数据安全工作情况八负责企业重要数据目录的建立、更新和上报工作统筹协调各单位梳理重要数据建立企业重要数据目录按规定向上级主管部门报送九负责数据安全技术服务商、第三方检测机构的筛选、管理和评估工作确保其符合数据安全相关要求为企业数据安全工作提供技术支撑。【国央企优秀范本借鉴】数据安全办公室的设置参考了《能源行业数据安全管理办法(试行)》中“数据处理者应明确数据安全管理机构和人员”的要求借鉴中国石化数据安全管理办公室的运行模式明确其作为日常执行机构的核心职责。中国石化作为能源行业央企标杆其数据安全办公室设在信息技术部配备专职数据安全管理人员牵头制定数据安全管理制度和技术规范统筹推进数据安全技术防护体系建设定期开展数据安全风险评估和培训宣传形成了“制度健全、技术先进、管理规范”的工作模式。本办法借鉴其经验重点强化了制度制定、技术防护、培训宣传、应急协调等实操性工作同时增加了与上级监管机构沟通对接、重要数据目录管理、第三方服务商管理等职责确保企业数据安全工作主动贴合监管要求及时落实国家能源局等主管部门的工作部署提升数据安全管理的规范化、专业化水平。第八条 各单位是本单位数据安全工作的责任主体负责本单位数据全生命周期的安全管理落实企业数据安全管理制度和工作要求防范本单位数据安全风险。各单位主要职责包括一贯彻落实企业数据安全管理制度和工作要求结合本单位业务实际制定具体的数据安全管理细则和操作规程明确本单位数据处理各环节的安全要求和操作规范确保制度在本单位落地执行二明确本单位数据安全负责人和专职/兼职数据安全管理员数据安全负责人由本单位主要负责人担任专职/兼职数据安全管理员负责本单位数据安全日常管理工作对接企业数据安全办公室及时上报本单位数据安全相关情况三组织开展本单位数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期的安全管理落实数据分类分级保护要求对本单位的数据进行梳理、识别和标注建立本单位数据清单采取相应的安全防护措施四组织本单位员工开展数据安全培训和宣传教育落实岗位数据安全责任定期组织本单位员工学习数据安全法律法规、企业管理制度和操作规程提升员工数据安全意识和操作技能五配合数据安全办公室开展数据安全风险排查、评估、应急处置等工作及时上报本单位数据安全隐患和数据安全事件按照要求完成隐患整改参与应急处置工作六负责本单位合作单位包括外包服务商、合作伙伴、科研单位等的数据安全管理明确合作单位数据安全责任与合作单位签订数据安全合作协议监督合作单位履行数据安全义务定期对合作单位数据安全情况进行检查评估七建立本单位数据安全工作台账记录本单位数据安全工作开展情况、风险隐患及整改情况、员工数据安全培训情况等定期向数据安全办公室报送本单位数据安全工作情况。【国央企优秀范本借鉴】各单位职责设置参照国家能源局《能源行业数据安全管理办法(试行)》中“能源数据处理者应履行的数据安全责任”结合中国建筑、中国中铁等央企的基层单位管理经验突出“属地管理、责任到人”。中国建筑作为建筑行业央企其基层单位均明确了数据安全负责人和专职数据安全管理员结合建筑行业数据特点制定了针对性的数据安全管理细则重点加强了项目数据、客户数据、施工数据的安全管理同时强化了合作单位的数据安全监管确保数据安全管理在基层落地生根。本办法借鉴其经验明确要求各单位设置专职/兼职数据安全管理员同时强化合作单位管理职责这与《能源行业数据安全管理办法(试行)》中“加强对合作单位数据安全管理”的要求高度契合确保数据安全管理层层落实、不留死角。第九条 全体员工是数据安全工作的直接参与者应当严格履行数据安全义务自觉遵守数据安全管理制度和操作规程主动防范数据安全风险维护企业数据安全。全体员工应当履行以下数据安全义务一严格遵守企业数据安全管理制度和操作规程不得擅自收集、存储、使用、传输、复制、泄露、篡改、损毁企业数据不得将企业数据用于与工作无关的用途二树立数据安全意识主动学习数据安全知识和技能配合企业开展数据安全培训和检查工作积极参与数据安全宣传教育活动提升自身数据安全素养三发现数据安全隐患、违规行为或数据安全事件时应当立即停止相关操作采取补救措施防止风险扩大并及时向本单位数据安全管理员或数据安全办公室报告不得隐瞒、拖延报告四妥善保管个人数据访问账号、密码、密钥等身份认证信息不得转借、泄露给他人定期更换密码确保身份认证信息安全五在工作中使用的个人设备如电脑、手机、U盘等不得存储企业核心数据、重要数据不得通过未加密的网络、邮件、即时通讯工具等传输企业核心数据、重要数据六离职时应当按规定交还所有存储企业数据的设备和介质如电脑、U盘、硬盘、光盘等删除个人设备中存储的所有企业数据履行数据安全交接手续签订数据安全保密承诺书不得带走企业任何数据。【国央企优秀范本借鉴】员工义务参照国家能源局对能源行业从业人员的要求借鉴国家电网、中国电信等央企的员工数据安全管理规范。国家电网针对员工数据安全管理制定了详细的员工数据安全行为规范明确了员工在数据收集、使用、传输等环节的义务特别强化了离职员工的数据交接和保密要求有效防范了员工离职导致的数据泄露风险。本办法借鉴其经验增加了“离职数据交接”“身份认证信息保管”“个人设备数据管理”等具体要求同时明确员工对数据安全隐患的报告义务与《能源行业数据安全管理办法(试行)》中“发现数据安全缺陷、漏洞等风险时应立即采取补救措施”的要求保持一致强化全员数据安全意识筑牢数据安全第一道防线。第十条 合作单位包括外包服务商、技术服务商、合作伙伴、科研单位、供应商等应当严格遵守企业数据安全管理要求履行数据安全责任保障企业数据在其自身系统中的安全防范第三方数据安全风险。合作单位应当遵守以下数据安全要求一与企业签订正式的数据安全合作协议明确数据安全责任、义务和违约责任协议中应当明确数据访问权限、使用范围、存储要求、销毁要求等核心内容未签订数据安全合作协议的不得开展任何数据处理活动二按照协议约定和企业要求开展数据处理活动不得超出授权范围处理企业数据不得擅自收集、存储、使用、传输、泄露企业数据不得将企业数据用于与合作无关的任何用途三建立健全自身数据安全管理制度和技术防护体系配备必要的数据安全技术设备和软件采取加密存储、访问控制、安全监测等安全措施保障企业数据在其自身系统中的安全定期对自身数据安全情况进行检查和整改四配合企业开展数据安全检查、评估和应急处置工作及时提供相关数据和资料不得拒绝、阻碍检查工作对检查中发现的问题应当按照要求及时完成整改五不得将企业数据泄露给任何第三方不得将企业数据转让、出租、出借他人使用确需委托第三方处理企业数据的应当事先征得企业书面同意并对第三方的数据安全工作进行监督管理六合作终止后应当按企业要求在规定期限内删除或返还所有企业数据包括存储在其系统、设备、介质中的所有企业数据及备份数据并提供书面证明确保企业数据不可恢复七定期向企业数据安全办公室和合作对接单位报送自身数据安全工作情况及时上报数据安全隐患和数据安全事件配合企业开展应急处置工作。【国央企优秀范本借鉴】合作单位管理借鉴《能源行业数据安全管理办法(试行)》中“对合作单位数据安全管理”的相关要求结合中国石化、中国石油等央企的合作单位管理经验。中国石化在与第三方合作过程中建立了严格的合作单位准入、评估、退出机制要求所有合作单位必须签订数据安全合作协议明确违约责任定期对合作单位数据安全情况进行评估对不符合要求的合作单位及时终止合作有效防范了第三方数据安全风险。本办法借鉴其经验明确要求合作单位签订数据安全合作协议明确违约责任同时增加“合作终止后数据删除/返还”的书面证明要求与《能源行业数据安全管理办法(试行)》中“确保能源行业重要数据、核心数据处于有效保护和合法利用的状态”的要求相衔接进一步规范合作单位数据安全管理防范第三方数据泄露风险。【数据安全成功案例1】国家能源集团某子公司合作单位数据安全管理案例国家能源集团某子公司作为能源行业重点央企下属单位主要负责电力生产、能源供应等业务涉及大量核心数据、重要数据其合作单位包括技术服务商、外包运营商等多家第三方主体。该子公司在数据安全管理工作中严格按照类似本办法的要求建立了完善的合作单位数据安全管理体系有效防范了第三方数据安全风险其经验做法被国家能源局作为行业典型案例推广。具体做法如下一是建立合作单位准入机制对所有合作单位进行数据安全资质审核筛选具备良好数据安全管理能力的合作单位未通过审核的单位一律不得合作二是与所有合作单位签订详细的数据安全合作协议明确数据访问权限、使用范围、安全要求和违约责任协议中明确约定“违规存储核心数据将追究违约责任情节严重的终止合作并要求赔偿损失”三是建立合作单位定期检查机制每季度组织开展合作单位数据安全检查重点检查数据存储、访问控制、数据加密等情况及时发现和整改安全隐患四是建立合作单位退出机制对数据安全管理不符合要求、存在违规行为的合作单位及时终止合作并要求其删除所有企业数据提供书面证明。在一次季度检查中该子公司发现某技术服务商违规将企业核心数据存储在外部公共云平台违反了合作协议和数据安全管理要求。该子公司立即启动整改程序责令该服务商在24小时内删除违规存储的数据整改完成后提交书面整改报告并依据合作协议追究其违约责任扣除相应服务费用。同时对该服务商进行约谈要求其完善数据安全技术防护体系加强员工数据安全培训后续每月度开展一次专项检查确保不再出现类似问题。通过此次整改有效防范了第三方数据泄露风险确保了企业核心数据安全。该案例充分证明了明确合作单位数据安全责任、强化准入审核、定期检查和违约追责的重要性为同类国央企合作单位数据安全管理提供了可借鉴的经验。第三章 数据分类分级与目录管理第十一条 企业按照“分类科学、分级合理、动态调整、全程管控”的原则对数据进行分类分级管理明确不同类别、不同级别数据的安全保护要求和管理措施实现数据安全精准管控兼顾数据安全与开发利用确保数据资源在安全的前提下发挥最大价值。本原则严格遵循《能源行业数据安全管理办法(试行)》《中央企业数据分类分级指南》中“建立数据分类分级保护制度”的要求借鉴国家电网、中国电信、中国石化等央企的分类分级管理经验结合企业业务实际确保数据分类贴合业务场景能够准确反映数据的来源、用途和类型数据分级符合国家监管标准能够精准体现数据的重要程度和危害等级。同时建立数据分类分级动态调整机制根据企业业务发展、数据变化、技术升级和监管要求定期对数据分类分级结果进行复核和调整确保分类分级管理的科学性、时效性和针对性与《能源行业数据安全管理办法(试行)》中“数据分类分级结果应根据业务发展和监管要求动态更新”的要求保持一致。数据分类分级工作由数据安全办公室牵头各单位配合开展明确分工、协同推进确保分类分级工作有序开展、落地见效。第十二条 数据分类应当结合企业业务特点按照数据来源、用途、类型、载体等进行科学划分确保分类清晰、全面无遗漏贴合企业生产经营、科研创新、管理服务实际便于数据安全管理和开发利用。结合国央企业务特点企业数据主要分为以下五大类具体范围如下一业务数据指企业在生产经营、业务运营过程中产生的各类数据是企业核心业务开展的重要支撑包括但不限于生产数据、营销数据、采购数据、财务数据、供应链数据、项目数据等。生产数据涉及企业生产运营核心环节的数据如生产计划、生产进度、生产参数、设备运行数据、质量检测数据、安全生产数据等营销数据涉及企业产品销售、客户服务等环节的数据如销售业绩、客户订单、营销策略、市场调研数据、客户反馈数据等采购数据涉及企业物资采购、供应商管理等环节的数据如采购计划、采购合同、供应商信息、采购价格、采购验收数据等财务数据涉及企业财务管理、资金运作等环节的数据如财务报表、资金往来、成本核算、税务数据、预算数据等供应链数据涉及企业供应链管理、物流配送等环节的数据如供应链计划、物流信息、库存数据、配送记录等项目数据涉及企业各类项目如重大工程、科研项目、投资项目的相关数据如项目方案、项目进度、项目预算、项目验收数据等。二管理数据指企业在内部管理过程中产生的各类数据是企业规范管理、提升效率的重要支撑包括但不限于人事数据、行政数据、审计数据、合规数据、安全管理数据等。人事数据涉及企业员工管理的相关数据如员工基本信息、薪酬福利、绩效考核、培训记录、劳动合同、离职信息等行政数据涉及企业行政管理的相关数据如公文流转、会议记录、办公耗材管理、固定资产管理、考勤数据等审计数据涉及企业审计监督的相关数据如审计计划、审计报告、审计整改记录、违规违纪记录等合规数据涉及企业合规管理的相关数据如合规检查记录、合规风险评估报告、法律法规台账、合规培训记录等安全管理数据涉及企业安全生产、网络安全、数据安全等管理环节的数据如安全检查记录、安全隐患整改记录、安全事件处置记录等。三科研数据指企业在科研创新、技术研发过程中产生的各类数据是企业提升核心竞争力、推动技术进步的重要支撑包括但不限于研发数据、试验数据、专利数据、技术文档数据等。研发数据涉及企业技术研发的相关数据如研发方案、研发进度、研发成果、技术参数、研发人员信息等试验数据涉及企业科研试验、产品测试的相关数据如试验方案、试验过程记录、试验结果、测试报告等专利数据涉及企业专利申请、维护、运用的相关数据如专利申请书、专利证书、专利年费记录、专利转让信息等技术文档数据涉及企业技术资料、技术规范的相关数据如技术手册、操作规范、设计图纸、技术报告等。四客户数据指企业收集的客户基本信息、业务往来信息等是企业开展客户服务、维护客户关系的重要支撑包括但不限于个人客户信息、企业客户信息。个人客户信息涉及个人客户的相关数据如姓名、身份证号、联系方式、地址、消费记录、业务办理记录等需严格遵守《中华人民共和国个人信息保护法》相关要求企业客户信息涉及企业客户的相关数据如企业名称、统一社会信用代码、联系方式、地址、业务合作记录、合同信息等。五其他数据指不属于上述类别的其他数据包括但不限于外部获取的数据、公共数据、合作单位共享数据、科研合作产生的联合数据、政府采购数据等。外部获取数据企业从外部机构、平台获取的数据如行业数据、市场数据、政策数据、第三方统计数据等公共数据从政府部门、公共服务平台获取的公共服务数据如政务数据、公共资源数据等合作单位共享数据与合作单位开展业务合作过程中共享的相关数据其他各类未纳入上述类别的数据。【国央企优秀范本借鉴】数据分类参照《能源行业数据安全管理办法(试行)》中“能源行业数据按来源、用途分类”的思路结合中国石化、国家电网等央企的分类标准。国家电网结合电力行业特点将数据分为生产数据、营销数据、管理数据、客户数据、科研数据五大类每类数据又细化为多个子类明确了各类数据的具体范围贴合电力行业业务实际便于数据安全管理和开发利用。本办法借鉴其经验细化了各类数据的具体范围增加了科研数据、供应链数据、项目数据等子类的详细界定贴合国央企科研创新、重大项目建设、供应链管理的核心业务特点同时将外部获取数据、公共数据、合作单位共享数据纳入“其他数据”范畴确保分类全面无遗漏与国家能源局对能源行业数据的分类要求相衔接提升数据分类的科学性和实用性。第十三条 数据分级按照数据重要程度、影响范围和泄露后造成的危害程度分为核心数据、重要数据和一般数据三级不同级别数据采取差异化的安全保护措施确保数据安全与管理成本相匹配实现精准管控。一核心数据指关系国家安全、企业核心利益一旦被泄露、篡改、损毁可能直接影响政治安全、经济运行、社会稳定或导致企业重大损失、核心竞争力丧失的数据主要包括关系国家安全重点领域的数据、关系国民经济命脉和重大公共利益的数据以及经评估确定的其他核心数据。核心数据是企业数据安全保护的重中之重需采取最高等级的安全保护措施实行全程严格管控严禁擅自对外提供、传输确保核心数据绝对安全。二重要数据指特定领域、特定群体、特定区域或达到一定精度和规模的数据一旦被泄露、篡改、损毁可能危害企业正常运营、造成较大经济损失或影响公共利益的数据仅影响组织自身或公民个体的数据一般不作为重要数据。重要数据需采取较高等级的安全保护措施明确访问权限和使用范围加强风险监测和管控确保数据安全可控。三一般数据指除核心数据、重要数据以外的其他数据泄露、篡改、损毁后对企业和社会造成的危害较小不会影响国家安全、企业核心利益和公共利益。一般数据采取常规的安全保护措施规范数据处理流程确保数据合规使用即可。【数据分类分级标准细则】结合《能源行业数据安全管理办法(试行)》《中央企业数据分类分级指南》中数据分级要求结合企业实际业务特点制定以下具体分类分级标准细则作为本办法的配套执行依据由数据安全办公室负责解释和动态更新各单位严格遵照执行。一、核心数据具体范围及判定依据核心数据的判定核心是“是否直接关系国家安全、企业核心利益和重大公共利益”一旦泄露、篡改、损毁将造成不可挽回的损失具体范围及判定依据如下国家安全相关数据涉及国家能源安全、产业安全、经济安全、公共安全等重点领域的数据是核心数据的核心组成部分包括但不限于1企业参与国家重大项目如重大能源工程、重大基础设施建设、重大科研项目的核心技术参数、关键设备信息、项目进度数据、核心方案设计数据等2涉及国家秘密的相关数据参照《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施条例》进行界定包括但不限于涉密科研数据、涉密业务数据、涉密管理数据等3影响国家能源供应、产业布局、经济运行的核心数据如企业核心产能数据、重大能源调度数据、行业关键指标数据等4涉及国家应急保障的核心数据如应急物资储备数据、应急处置方案、应急响应数据等。判定依据是否直接关系国家安全和重大公共利益一旦泄露、篡改、损毁是否会影响国家政治安全、经济运行、社会稳定。企业核心经营数据关系企业生存发展、核心竞争力的核心数据一旦泄露、篡改将导致企业重大经济损失、核心竞争力丧失包括但不限于1企业年度经营战略、中长期发展规划、重大投资决策数据、核心业务布局数据等2核心财务数据如企业年度营收、利润、重大资金往来数据、核心资产数据、融资数据等3核心技术数据如核心技术专利核心参数、核心技术配方、核心算法、未公开的研发成果数据等4核心客户数据即涉及国民经济命脉、重大公共利益的企业客户的核心信息如大型国企、重点民生企业的核心合作数据、合同核心条款、合作机密等5企业核心商业秘密数据如未公开的商业模式、营销策略、核心竞争力分析数据等。判定依据一旦泄露、篡改是否会导致企业重大经济损失、核心竞争力丧失是否会影响企业正常生存发展。重大公共利益相关数据涉及公共服务、民生保障、公共安全等领域的核心数据一旦泄露、损毁将影响社会稳定、公共安全包括但不限于1企业承担的公共基础设施建设核心数据如重大交通、能源、水利等基础设施的建设参数、运营数据、安全监测数据等2涉及民生保障的核心数据如公共服务供给数据、民生补贴数据、群众诉求核心数据等3公共安全相关数据如安全生产核心监测数据、重大安全隐患数据、应急处置核心数据等。判定依据一旦泄露、损毁是否会影响社会稳定、公共安全是否会损害广大群众的合法权益。二、重要数据具体范围及判定依据重要数据的判定核心是“一旦泄露、篡改、损毁是否会危害企业正常运营、造成较大经济损失或影响公共利益”具体范围及判定依据如下业务运营重要数据支撑企业主要业务运营的重要数据一旦泄露、篡改将影响企业正常运营造成较大经济损失或不良影响包括但不限于1企业主要业务流程数据如生产流程、营销流程、采购流程、供应链流程的关键数据不涉及核心技术参数和核心商业秘密的部分2批量客户信息非核心客户如普通个人客户、中小微企业客户的基本信息、业务往来记录、消费记录等需严格遵守个人信息保护相关要求3业务营收明细数据如各业务板块营收明细、月度/季度营收数据、客户消费明细等不涉及企业年度核心财务数据的部分4采购招标核心数据如采购招标公告、投标文件、中标结果、采购价格明细等不涉及核心商业秘密的部分5生产运营关键参数非核心技术参数如设备日常运行参数、生产工艺常规参数、质量检测常规数据等6供应链关键数据如供应链节点信息、库存明细数据、物流配送明细数据等。判定依据一旦泄露、篡改是否会影响企业正常运营是否会造成较大经济损失或不良社会影响是否会影响业务开展的连续性。管理重要数据支撑企业内部管理的重要数据一旦泄露、篡改将影响企业内部管理秩序造成不良影响包括但不限于1企业人事档案核心信息非涉密如员工薪酬明细、绩效考核结果、培训记录、晋升信息等2审计监察关键数据如审计整改记录、违规违纪处理记录、审计线索数据等3合规管理核心数据如合规风险评估报告、合规检查记录、法律法规执行情况记录等4内部管理制度核心内容如企业内部管理规定、操作规程、绩效考核办法等不涉及核心商业秘密的部分5企业固定资产核心数据如固定资产台账、设备采购合同、设备维护记录等6安全管理关键数据如安全检查记录、安全隐患整改记录、安全培训记录等不涉及核心安全数据的部分。判定依据一旦泄露、篡改是否会影响企业内部管理秩序是否会造成不良影响是否会影响管理工作的正常开展。科研重要数据支撑企业科研创新的重要数据一旦泄露、篡改将影响科研项目推进造成较大损失包括但不限于1科研项目常规数据如科研项目进度明细、试验常规数据、研发过程记录等不涉及核心技术参数的部分2专利相关辅助数据如专利检索报告、专利分析数据、专利维护记录等不涉及核心专利参数的部分3技术文档辅助数据如技术手册常规内容、操作规范常规条款、设计图纸辅助数据等4科研合作常规数据如科研合作协议常规条款、合作进度明细等不涉及核心科研成果的部分。判定依据一旦泄露、篡改是否会影响科研项目推进是否会造成较大科研损失是否会影响科研成果的正常转化。其他重要数据除上述三类以外的其他重要数据包括但不限于1外部获取的重要行业数据、市场数据如行业发展报告、市场调研核心数据等2合作单位共享的重要数据如合作单位提供的业务数据、技术数据等不涉及核心秘密的部分3政府采购相关重要数据如政府采购合同、采购验收数据等不涉及核心秘密的部分。判定依据一旦泄露、篡改是否会影响企业业务开展、科研创新或管理工作是否会造成较大损失或不良影响。三、一般数据具体范围及判定依据一般数据的判定核心是“泄露、篡改、损毁后对企业和社会造成的危害较小不会影响国家安全、企业核心利益和公共利益”具体范围及判定依据如下业务运营一般数据企业业务运营过程中产生的常规数据危害程度较低包括但不限于1业务流程辅助数据如业务办理日志、流程审批记录等2普通客户辅助信息如客户咨询记录、服务反馈明细等不涉及客户核心信息的部分3生产运营辅助数据如设备日常维护记录、生产车间环境数据等4采购、销售辅助数据如采购单据、销售小票等不涉及核心价格和核心客户的部分。管理一般数据企业内部管理过程中产生的常规数据危害程度较低包括但不限于1员工日常考勤数据、加班记录等2办公耗材采购、使用记录等3公文流转辅助数据、会议纪要常规内容等4内部培训辅助数据如培训签到记录、培训课件常规内容等。科研一般数据企业科研创新过程中产生的辅助数据危害程度较低包括但不限于1科研项目辅助记录如科研会议记录、研发人员考勤记录等2试验辅助数据如试验耗材使用记录、试验环境数据等3技术文档辅助内容如技术资料借阅记录、文档修改日志等。其他一般数据除上述三类以外的其他一般数据包括但不限于1外部获取的常规数据如行业新闻、公共信息等2合作单位共享的常规数据如合作单位基本信息、合作联络记录等3企业内部公开的常规信息如企业简介、招聘信息等。判定依据泄露、篡改、损毁后是否仅造成轻微影响或无影响是否不会影响国家安全、企业核心利益、公共利益和企业正常运营。四、分类分级管理要求核心数据实行“专人负责、全程加密、严格管控、禁止外泄”的管理要求明确核心数据管理责任人建立核心数据专门台账采取加密存储、严格访问控制、全程审计等最高等级安全措施严禁擅自对外提供、传输核心数据核心数据的处理活动需经数据安全工作领导小组审批。重要数据实行“分级管控、权限明确、全程可追溯”的管理要求建立重要数据台账采取加密存储、访问权限管控、安全监测等较高等级安全措施重要数据的传输、提供需经本单位负责人和数据安全办公室审批确保数据安全可控。一般数据实行“规范管理、合规使用、全程记录”的管理要求规范数据处理流程采取常规安全防护措施确保数据合规使用做好数据处理记录便于追溯。五、动态调整机制数据安全办公室每年度组织各单位开展一次数据分类分级复核工作根据企业业务发展、数据变化、技术升级和监管要求对数据分类分级结果进行调整完善当企业业务发生重大调整、数据用途发生变化或国家监管要求发生更新时相关单位应及时向数据安全办公室提出数据分类分级调整申请数据安全办公室审核后报数据安全工作领导小组审定数据分类分级调整后数据安全办公室应及时更新数据分类分级标准细则、企业数据清单和重要数据目录并向各单位和相关人员通报确保各单位严格按照调整后的标准执行。【国央企优秀范本借鉴】本分类分级标准细则借鉴了国家电网《数据分类分级管理办法》、中国石化《数据安全分类分级实施细则》的核心内容结合企业实际进行了优化完善。国家电网作为央企数据分类分级管理的标杆其数据分类分级细则明确了各级各类数据的具体范围、判定依据和管理要求建立了动态调整机制同时结合电力行业特点细化
