xx資料安全管理規範v1.0(模板)
目 錄
1.目的
2.範圍
3.規範性引用檔案
4.術語和定義
5.保密一級資料的安全管理要求
5.1. 資料生成
5.2. 資料傳輸
5.3. 資料使用
5.4. 資料儲存
5.5. 資料銷毀
6.保密二級資料的安全管理要求
6.1. 資料生成
6.2. 資料傳輸
6.3. 資料使用
6.4. 資料儲存
6.5. 資料銷毀
7.內部級資料的安全管理要求
7.1. 資料生成
7.2. 資料傳輸
7.3. 資料使用
7.4. 資料儲存
7.5. 資料銷毀
8.公開級資料的安全管理要求
8.1. 資料生成
8.2. 資料傳輸
8.3. 資料使用
8.4. 資料儲存
8.5. 資料銷毀
本規範旨在為xx控股集團****(以下簡稱「xx控股」)及各板塊公司的資料安全管理提供參考標準,以明確不同級別資料的安全管理要求,保障資料資產的安全性。
本規範適用於xx控股集團及各板塊公司的全體員工,含線下零售板塊、網際網路板塊、智慧型手機、智慧型製造、金融投資板塊、地產板塊以及電器各分公司。
下列檔案對於本檔案的應用是必不可少的。凡是注日期的引用檔案,僅註日期的版本適用於本檔案。凡是不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。
《gb/t 22239-2008 資訊系統安全等級保護基本要求》
《gbz 28828-2012 資訊保安技術公共及商用服務資訊系統個人資訊保護指南》
《電信和網際網路使用者個人資訊保護規定》(工業和資訊化部令第24號)
《iso 27001:2013 資訊科技 安全技術資訊保安管理體系要求》
《iso 27001:2013 資訊科技 安全技術資訊保安控制實用規則》
(1)保密一級:包含公司最高度敏感資料,關係公司未來發展的前途命運,如果一旦洩露會使公司受到嚴重損害,對公司根本利益有著決定性的影響。
(2)保密二級: 包含公司的敏感資料,如果一旦洩露會使公司的安全和利益受到嚴重損害。
(3)內部資料:僅能在公司內部或在公司內某一部門內公開的資料,對外擴散有可能對公司的利益造成損害。
(4)公開資料:可對社會及公眾公開的資料。
本項要求包括:
a) 保密一級資料的生成(或建立)應在公司內部安全的系統及環境中進行。
b) 保密一級資料的錄入應採取雙人機制,一人操作,另一人進行複核,並做好資料錄入的登記。
c) 保密一級資料的採集需求(含系統介面的呼叫、人工的資料收集或提取)應經相關責任人、部門負責人、公司領導及集團領導批准。
d) 對於個人資訊(含內部員工個人資訊、客戶資訊)的收集,應具有特定、明確、合理的目的。
e) 收集個人資訊前,應採用個人易知悉的方式,向個人明確告知和警示處理個人資訊的目的、收集方式和手段、收集的具體內容和留存時間、個人資訊的使用範圍等。
f) 應只收集能夠達到已告知目的的最少資訊。
g) 應採用已告知的手段和方式向個人收集,不採取隱蔽手段收集個人資訊。
本項要求包括:
a) 應用系統間需要傳輸保密一級資料的,應建立資料安全傳輸的相關方案,並經相關責任人、部門負責人、安全管理部門及公司領導批准,按照批准後的方案實施。
b) 保密一級的電子介質及紙質文件應以安全的方式,由專人負責傳遞,並做好傳送及接收的雙向登記。
c) 保密一級的電子文件在公司內部傳輸,應採取適當的加密方式(例如,壓縮加密等)進行傳輸。
d) 未經個人資訊的主體明確同意,或法律法規明確規定,或未經主管部門同意,不得向其他個人、組織披露本公司獲取及處理的個人資訊。
本項要求包括:
a) 應針對保密一級資料的使用建立逐級審批制度,明確保密一級資料在板塊公司內部、各板塊公司間及對外使用時的申請審批程式,並按照審批程式執行審批過程,並保留審批記錄。
b) 所有訪問保密一級資訊的內部員工和外部人員應在訪問資訊之前簽署保密協議,針對外部人員還應與其所屬組織簽訂保密協議。
c) 原則上,保密一級資料不得外發,確有需要,應按照逐級審批制度進行審批,最終應經集團領導批准,並保留審批記錄;適當時,應對保密一級資料進行脫敏處理,方可提供給外部組織或人員使用。
d) 保密一級資料應僅能被得到授權的極少數核心人員訪問,訪問者應與公司簽署保密保密。
e) 對保密一級資料的使用應得到相關責任人、部門負責人和本公司管理層的批准。
f) 對保密一級資料的使用應進行登記。
g) 對於可利用的保密一級紙質檔案禁止再利用。
h) 對於個人資訊的使用,應不違背收集階段已告知的使用目的,或超出告知範圍對個人資訊進行處理。
i) 保證個人資訊的使用過程中,個人資訊不被任何與使用目的無關的個人和組織獲取。
j) 應在人員調崗或離職時,及時收回其使用、保管的本公司資料資產。
本項要求包括:
a) 電子類文件應加密儲存在安全的計算機系統內;
b) 紙質類檔案應鎖在安全的保險櫃內,禁止以其他形式儲存或顯示。
c) 電子類文件應有專人進行定期(每週)備份,備份介質應放置在防磁櫃中保管並上鎖。
d) 紙質類檔案應保留其副本,並鎖在安全的保險櫃內。
本項要求包括:
a) 應建立儲存介質報廢及銷毀的相關管理制度及流程,並做好申請審批記錄及銷毀登記。
b) 保密一級資料的儲存介質的報廢應採用消磁機進行銷毀。
c) 保密一級的紙質檔案不再使用時,應採用碎紙機進行銷毀。
本項要求包括:
a) 保密二級資料的生成(或建立)應在公司內部安全的系統及環境中進行。
b) 保密二級資料的錄入可根據需要採取雙人機制,一人操作,另一人進行複核,並做好資料錄入的登記。
c) 保密二級資料的採集需求(含系統介面的呼叫、人工的資料收集或提取)應經相關責任人、部門負責人及公司領導批准。
d) 對於個人資訊(含內部員工個人資訊、客戶資訊)的收集,應具有特定、明確、合理的目的。
e) 收集個人資訊前,應採用個人易知悉的方式,向個人明確告知和警示處理個人資訊的目的、收集方式和手段、收集的具體內容和留存時間、個人資訊的使用範圍等。
f) 應只收集能夠達到已告知目的的最少資訊。
g) 應採用已告知的手段和方式向個人收集,不採取隱蔽手段收集個人資訊。
本項要求包括:
a) 應用系統間需要傳輸保密二級資料的,應建立資料安全傳輸的相關方案,並經相關責任人、部門負責人及安全管理部門批准,按照批准後的方案實施。
b) 保密二級的電子介質及紙質文件應以安全的方式,由專人負責傳遞,並做好接收登記。
c) 保密二級的電子文件在公司內部傳輸,應採取適當的加密方式(例如,壓縮加密等)進行傳輸。
本項要求包括:
a) 應針對保密二級資料的使用建立逐級審批制度,明確保密二級資料在板塊公司內部、各板塊公司間及對外使用時的申請審批程式,並按照審批程式執行審批過程,並保留審批記錄。
b) 所有訪問保密二級資訊的內部員工和外部人員應在訪問資訊之前簽署保密協議,針對外部人員還應與其所屬組織簽訂保密協議。
c) 適當時,應對保密二級資料進行脫敏處理,方可提供給外部組織使用。
d) 保密二級資料僅能被得到授權的少數重要人員訪問。
e) 對保密二級資料的使用應得到相關責任人、部門負責人的批准。
f) 對保密二級資料的使用應有登記。
g) 對於可利用的保密二級紙質檔案禁止再利用。
本項要求包括:
a) 電子類文件應設定密碼保護,並儲存在安全的計算機系統內,計算機系統應設定符合口令策略要求的高強度口令。
b) 紙質類檔案應放置在安全區域內的檔案櫃中保管並上鎖,禁止以其他形式儲存或顯示。
c) 電子類文件應有專人進行定期(每月)備份,備份介質應放置在檔案櫃中保管並上鎖。
d) 紙質類檔案應保留其副本,並放置在檔案櫃中保管並上鎖。
本項要求包括:
a) 應建立儲存介質報廢及銷毀的相關管理制度及流程,並做好申請審批記錄及銷毀登記。
b) 保密二級資料的儲存介質的報廢應採用消磁機、物理破壞等有效方式進行銷毀。
c) 保密二級的紙質檔案不再使用時,應採用碎紙機進行銷毀
unity 模型製作規範v1 0
1 模型應盡量面數少細節豐富 2 模型的命名要根據物體名稱序列命名,可用物體首字母加編號來命名 3 特殊模型 程式來動態呼叫的 要用特別命名方式方便程式查詢 4 物體命名中盡量使用字母加序號盡量少使用或不用標點符號 5 匯出之前必須檢查法線方向,不允許有翻轉面 6 同樣材質物體新增的材質必須重複使用...
Linux系統部署規範v1 0
linux系統部署規範v1.0 目的 1 盡可能減少線上操作 2 盡可能實現自動化部署 3 盡可能減少安裝服務和啟動的服務 4 盡可能使用安全 協議提供服務 5 盡可能讓業務系統單一 6 盡可能監控可監控的一切資訊 7 盡可能控制一切可控制的安全策略 8 盡可能定期更新補丁修補漏洞 具體規範 a 帳...
OA管理後台 v1 0
功能介紹 這是乙個公司內部的小型的oa系統,主要實現對公司人員的管理。公司辦公物品的管理與維護。還有財務管理。功能選單 公告 公告欄 公告頁 人員 人員維護 新增人員 人員審核 財務 財務記賬 財務明細 財務報表 銀行列表 賬戶金額 訊息中心 辦公 物品維護 入庫處理 庫存查詢 出庫處理 內部調撥 ...