数据全生命周期安全管理细则模板.docx
《数据全生命周期安全管理细则模板.docx》由会员分享,可在线阅读,更多相关《数据全生命周期安全管理细则模板.docx(6页珍藏版)》请在第一文库网上搜索。
1、数据全生命周期安全管理第一节数据收集第一条数据安全专业管理部门、实施部门应规范数据采集渠道、数据格式、采集流程和采集方式,定期(至少每半年1次)开展数据采集合规性审查。利用外部数据源采集数据的,应对数据源的合法性进行确认,涉及个人信息的,应要求提供方说明个人信息来源与个人信息主体授权同意的范围。第二条在进行个人信息采集前,实施部门应通过隐私策略等方式,以通俗易懂、简单明了的方式向个人信息主体明示采集规则,如收集、使用个人信息的目的、方式和范围等,并获得个人信息主体的授权同意。收集个人信息遵循最小必要原则,收集的个人信息类型应与实现产品或服务的业务功能有直接关联。同时向用户提供查询、更正、删除等
2、多种参与用户个人信息处理的渠道,并予以公告。第三条实施部门应加强线上、线下等数据收集环节管控,通过配备技术手段、签署保密协议等措施,加强对数据收集人员、设备的管控,保障收集数据安全。通过第三方等其他途径获得的敏感数据,与直接收集的敏感数据负有同等的保护责任和义务。第四条实施部门不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。第五条在用户终止使用服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。针对违反双方约定收集、使用用户个人信息的,或收集、存储用户个人信
3、息有错误的情况,用户提出删除或更正要求的,实施部门应通知实施部门采取措施予以满足。第六条实施部门在用户同意收集保证网络产品核心业务功能运行的用户个人信息后,应当向用户提供核心业务功能服务,不得因用户拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。笫七条APP收集使用用户个人信息前,实施部门应发布独立性、易读性的隐私政策文本。隐私政策应至少包括以下内容:式、范围,并显著标注所收集用户个人信息类型;(二)明确运营者基本情况、用户个人信息存储地域、保存期限、超期处理方式以及收集用户个人信息、使用用户个人信息的规则;(三)明示用户个人信息保护措施和能力,用户查询、更正、删除用户
4、个人信息的途径和方法,用户投诉渠道和反馈机制;(四)隐私政策发布、生效或更新时间;(五)对外共享、转让、公开披露用户个人信息规则;(六)第三方SDK、CoOkieS技术等。第八条APP所申请的用户个人信息相关权限不应超出隐私政策中说明的范围。在收集权限时需征得用户自主选择明示同意。当用户同意APP收集某服务类型的最少信息时,APP不得因用户拒绝提供最少信息之外的用户个人信息而拒绝提供该类型服务。APP不得收集与所提供的服务无关的用户个人信息,不得通过捆绑多项业务功能方式要求用户一次性接受并捆绑授权。第二节数据传输第九条实施部门应根据业务流程、职责分工、安全风险等情况,合理划分安全域,区分域内、
5、域间等不同数据传输场景,并在安全边界上配置相应的访问控制策略及部署防火墙、WAF等安全措施。1 .访问控制策略:(1)默认情况下除允许通信外受控接口拒绝所有通信;(2)删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;(3)对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出等。2 .部署安全措施:如部署防火墙、入侵检测系统、入侵防御系统、防病毒网关、抗拒绝服务攻击设备、防病毒软件、数据防泄漏系统、终端管理系统等。第十条针对面向互联网域、外部接入域传输等存在潜在安全风险的环境,应对敏感信息的传输进行加密保护,并根据数据敏感级别采用相应的加密手
6、段。极敏感级、敏感级数据不得通过互联网传输,在XX公司网络与计算环境内可参考使用加密技术、数字签名技术、时间戳、数字凭证技术等手段进行传输加密保护;较敏感级和低敏感级数据应可参考使用3DES、AES、RSA、MD5等手段进行传输加密保护。采用密钥加密时,实施部门应对密钥的生成、分发、验证、更新、存储、备份、有效期、销毁进行管理。并应采用公认安全的、标准化公开的加密算法和安全协议。加密算法包括对称密码算法(3DES、IDEA等)、非对称密码算法(RSA、DSA等)、散列算法(MD5、SHAT等)。第三节数据存储第十一条实施部门应明确核心数据处理活动有关平台系统数据存储保护手段、制定数据存储介质安
7、全策略和管理规定等。与系统支撑运维人员签订保密协议,有效约束操作行为。第十二条实施部门应按数据敏感程度做好数据分类管理,对不同安全级别的数据采用差异化安全存储,包括差异化脱敏存储、加密存储、访问控制等。并做好加密算法、脱敏方法的安全性保密。第十三条实施部门应制定管理规定对存放敏感信息的电子文件或纸介质进行有效管理,明确存有敏感信息的物理介质(磁阵、硬盘和磁带等)的维护、更换、升级、转移和报废等操作要求,防止敏感信息泄漏。对于要离开系统的物理介质,必须采用有效的手段由专人彻底删除敏感数据后,才可离开其所在的安全区域。实施部门应采取有效的技术、管理手段加强对涉及敏感数据的系统使用电信存储介质的管控
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 生命周期 安全管理 细则 模板
