一、數據資產等級分類及責任部門
1、一級:重要敏感數據, 包括公司數據資產,主要用于公司直接營收的數據,如提交給客戶的客探結果數據,泄露會造成直接經濟損失。公司核心數據,經過加工的數據,有全方面的數據信息,需要嚴格管理,如客戶肖像庫,信息庫,客戶方提供的需要通過業務外包平臺操作的數據,泄露后對公司可能造成全面損失。這些數據被非法復制傳播后,可造成經濟上的重大損失和引發重大安全事故及涉訴事件。由所涉及到的部門人員:服務部、如涉及財務數據由財務部共同承擔安全管理責任。標記為D1,主要包括:
業務結果數據
客戶信息數據
系統或網絡安全控制配置數據,防火墻數據
業務帳號安全配置數據
業務運行配置數據
敏感客戶業務原始數據
錄音記錄數據
財務帳目數據
其他敏感信息數據
2、二級:非敏感重要數據,包括公司系統數據,由各種公司系統產生出的原始數據,限制范圍使用,泄露對公司有可能造成某方面損失。如啟通寶系統通話記錄,客探系統記錄,被非法復制傳播或丟失、損壞后,可造成一定的經濟損失或引發客戶投訴事件。由所涉及到的部門人員:服務部承擔安全管理責任。標記為D2,主要包括:
業務過程數據
啟通寶通話記錄
客探系統數據
系統運行日志數據
其他重要數據
3、三級:公司內部非敏感數據及第三方非敏感數據,不對外公開,但公開對公司無損失的信息,如話術列表、在項目施工中或開發測試中涉及到的客戶方提供的測試數據或業務數據。由所涉及到的部門人員:服務部、測試部,銷售部,研發部共同承擔安全管理責任。標記為D3,主要包括:
員工通訊錄
話述信息數據
系統測試業務數據
項目施工測試數據
項目施工過程數據
銷售業績數據
其他非敏感數據
4、四級:普通數據,除上述數據以外的其他數據,包括公司可公開數據,可對外發布的各類信息,所有部門均可公開使用,如電話號段記錄,城市區號記錄。由相關使用部門人員承擔安全管理責任。標記為D4,主要包括:
通用電話號碼
區號
其他普通數據
二、管理部門職責
1、IT服務部:
對公司經營或運營數據資產進行統一編號。
負責制定公司數據資產安全管理制度。
負責對一級業務結果數據資產進行安全管理,標注一級數據資產及其介質,在傳輸時須進行加密傳輸,并由專人保管。
負責對二級業務過程數據進行安全管理,標注二級數據資產及其介質,由專人保管。
制定維護數據資產清單。
數據調閱管控:簽發審批單,做好審批記錄。
對四級服務外包數據資產及其介質分級標注。
操作計算機只安裝允許配置的軟件,并制定和維護允許安裝的軟件清單。
存儲在任何介質中一二級的不用的、過時的或無效的數據須進行不可恢復性刪除。刪除前須經過主管審批通過,執行刪除時須經過至少二人確認。
對于二級系統和業務數據,須對登錄帳號配置相應的訪問角色權限。不同的角色訪問不同的數據。
在數據管理軟件中配置和控制登錄權限,打開操作日志等。
對數據存儲服務器控制和配置帳號權限。
在業務系統軟件中配置和控制登錄權限,打開操作日志等。
對數據操作使用的環境場地進行安全配置。
對數據操作使用的網絡安全環境進行安全配置。
對服務器網絡和計算機只打開需要的設備和端口。
數據操作進行監控,必要時安裝監控設備。
對移動介質存儲數據進行管理和控制。
對于一二三級相關系統和業務數據進行數據備份管理。
保證項目實施過程中一級數據中系統配置數據的安全使用,防止復制傳輸過程中被非法傳播、遺失、損壞。
保證項目實施過程中二級數據的安全操作,防止二級數據被損壞或丟失。
保證項目實施過程中的其他數據的安全。
2、軟件研發部
對于一級業務敏感數據須加密傳輸,制定加密方案和安全的傳輸方式。
對配置文件中的一級敏感數據,制定安全方案,采取安全措施。
開發代碼中對數據庫訪問采取加強的安全控制措施。?
3、系統測試部
保證測試實施過程中一級數據中系統配置數據的安全使用,防止復制傳輸過程中被非法傳播、遺失、損壞。
保證項目測試過程中二級數據的安全操作,防止二級數據被損壞或丟失。
保證測試實施過程中的其他數據的安全。
存儲在任何介質中一二級的不用的、過時的或無效的數據須進行不可恢復性刪除。刪除前須經過主管審批通過,執行刪除時須經過至少二人確認。
4、市場銷售部
制定銷售相關數據資產安全管理制度
制定和維護銷售相關數據資產清單。
對銷售線索數據等一級數據負有安全管理責任,防止被非法復制傳播。
對客戶信息數據等銷售相關二級數據具有保密義務。
存儲在任何介質中一二級的不用的、過時的或無效的數據須進行不可恢復性刪除。刪除前須經過主管審批通過,執行刪除時須經過至少二人確認。
5、財務部
制定財務數據資產安全管理制度。
制定和維護財務數據資產安全管理清單。
對財務管理報表等一級財務數據資產執行嚴格的管理規定,防止外泄、遺失和損壞。
?三、數據資產使用監管單位:IT服務部、總經辦
總經辦對一級財務數據資產和其他相關數據資產負有監督和安全管理跟蹤和檢查責任。
服務部對公司運營過程中的數據資產負有監督和安全管理跟蹤和檢查責任。
(部分內容來源網絡,如有侵權請聯系刪除)
