数据安全管理制度
第一章概述
一、为查一步规范公司软件系统、应用系统的数据安全管理工作,特制定本制度。
二、本制度主要针对公司内部各个系统应用、系统出现数据故障或异常情况,造成应用不可用导致影响业务的正常处理,并且通过常规的处理办法无法解决的情况。凡是数据安全值班人员通过各种渠道,不能在较短时间内(一般不超过五分钟)现场判断并处理,对生产造成影响的生产问题均属于应急问题,适用于本制度进行数据安全管理制度。
三、本制度用以规范数据中心的数据安全管理。
第二章工作机构
一、数据安全管理组
1)组长:由公司分管领导担任。
2)副组长:数据中心负责人。
3)组成员:由公司数据中心骨干组成。
4)协作人员:各相关业务部门业务主管。
二、工作职责
(一)组长职责
1)统一领导和指挥涉及生产中心信息系统突发事件应急处置工作;
2)对重大处置措施和重大新闻报道事项进行决策;
3)决策其他重要处置工作事项。
4)负责危机事件发生后对相关职能部门的垂直联络发起工作。
(二)副组长职责
1)在接到应急问题报告后,5分钟内,组织调度相关数据中心骨干到应急现场;
2)负责向公司领导汇报应急进行情况,建议采取相关紧急措施;
3)指挥数据中心人员实施应急处理;
4)做好生产应急问题处理后相关材料的搜集工作。
(三)组成员职责
1)听从应急组组长的调遣,做好生产应急问题数据解决方案的制定和数据中心实施工作;
2)向应急组组长汇报应急问题进行情况;
3)协助应急组组长,做好该生产应急问题发生的原因、处理过程和处理结果的书面总结工作。
第三章数据管理制度概述
一、公司现有网络与信息安全管理措施概述
通过与外部公司合作方式,我司建立起了比较完善的网络与信息安全管理体系,在主机安全、应用安全、数据安全、安全管理制度、安全咨询及应急响应等几个方面配套建立了相对完整的安全技术手段,并配套建立健全了相应的安全管理措施。
(一)在服务器安全方面
公司选择了使用青云服务器来部署平台。青云服务器100% 网络隔离,性能优异的防火墙及 DDoS 防护,保障业务服务对外稳定运行,提供达99.97% 的服务可用性,和99.9999% 的数据可靠性。安全可靠、秒级响应、弹性伸缩的计算资源。支持多种计费模式,助您实现灵活、高效的 IT 基础架构,显著降低了 IT 成本,简化运维工作,也更加适应公司网约车业务快速多变的特性。
在服务器访问权限上只有通过了公司严格审批流程授权的系统管理人员才能登录到云服务器上,并严格控制登录云服务器人员的权限并有着详细的日志记录,保证只有相应权限的人员只能接触到相应权限的数据,在发生安全问题时能保证有迹可查且便于分析异常流量。
(二)在网络安全方面
公司使用了云匣子服务。云匣子具有以下特性:
1.运维便捷性:云匣子支持任意终端、任意浏览器,特有的云匣子APP可让用户随时随地运维;
2.精准指令拦截:系统预置标准Linux字符命令库,并可以自定义命令,实现对指令和脚本的精准拦截;
3.满足等保要求:满足等保三级对用户身份鉴别、访问控制、安全审计等条款的要求;
4.异步动态授权:借鉴银行的授权机制,对敏感操作进行二次复核;
5.应用发布:针对不同应用资源(数据库类、Web应用类和客户端程序类等),提供访问入口,并实现对应用操作的审计。
(三)在应用安全方面
所有应用相关的数据在网络传输过程中都加密传输,同时在网络上通过防火墙严格控制数据的进出,在移动端应用和服务器平台之间使用SSL双向认证。
(四)在安全管理制度方面
建立了完善的流程制度,所有敏感数据的访问都必须经过严格的流程审批;所有可接触到数据的人员,必须签署数据保密协议以防重要数据泄露。
(五)在安全咨询与应急响应方面
与国内顶尖的安全机构建立长期的合作关系,定期进行数据安全评估,第一时间接收到行业安全风险分析与报告,加强数据保护措施;定期展开安全培训,加强全员的数据安全意识;在发生无法处理的安全事件时能提供紧急响应,协助解决数据安全问题。
二、网络数据分级分类管理措施说明
我司对公司所收集和产生的网络数据和用户个人信息进行了分级分类保护。具体的数据和用户个人信息分级分类模式是,首先对用户个人信息按照内容进行
分类,再依据各类信息的价值和安全风险,给与不同程度的保护。
(一)用户个人信息分类
用户个人信息按照内容可分为隐私信息、身份信息、日志信息和公开信息。需要纳入保护体系的主要包括身份信息和日志信息。
(二)用户个人信息分级
在分类的基础上,依据保护程度对各类用户个人信息进行分级,对应不同的管理要求。保护程度的划分主要考虑以下方面:
1.是否能依据该信息直接识别出特定用户;
2.与用户线下生活的紧密程度;
3.是否能通过该信息获得其他关联信息;
4.信息安全风险。
(三)网络数据和用户个人信息安全风险
基于以上四方面进行保护程度分级,对身份信息的保护程度高于日志信息。在各类身份信息中,对身份鉴权信息的保护程度最高,通讯录信息次之,用户基本资料第三,虚拟身份信息最低。
(四)用户个人信息相关管理制度
个人信息从用户流向最终的使用者并完成一个生命周期,需要经过收集、存储、使用、转移、删除五个环节。
web应用防护系统“告知和许可”的管理方式在收集环节需要严格执行。除此之外,转移环节的不同要求也是我司分级保护的重要内容:
1.身份鉴权信息严禁转移;
2.通讯录信息经用户和特定联系人明示同意才可转移;
3.其他身份信息的转移需用户许可,并告知转移的信息范围和用途;
4.非特定用户的日志信息,因不涉及特定用户,不会对用户造成不利影响,可以自由转移。
三、网络数据全生命周期安全管理措施情况
(一)数据收集
公司存在收集用户信息的APP包括专车Android乘客端、专车iOS乘客端、专车Android司机端。在收集过程中严格按照《移动互联网应用程序信息服务管
理规定》进行收集与使用,在用户注册前告知用户会对部分数据进行收集并需要用户的同意,并有相关的用户注册协议、用车服务协议、支付授权协议告知用户。
(二)数据传输
汽车APP及网站所产生的全部数据都是通过https加密传输,保存在中国境内机房服务器,不存在明文传输的情况。
(三)数据存储
汽车APP及网站所产生的所有数据保存在,具体位置为。服务器IP地址为。
(四)数据灾备
所有重要数据每天全量备份,以保证一旦发生问题可在最短时间内恢复。
(五)数据使用和共享
在数据共享管理方面,根据《信息系统安全等级保护顶级指南》、《信息系统安全等级保护基本要求》、《信息安全等级保护安全设计技术要求》等国标和已报批标准进行规划、设计。
某某某公司
2023年03月01日
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论