探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
▽
写在开头:
文本制度之(三)数据分类政策
一、引言
数据分类将有助于确定保护数据的基本安全控制措施,并避免数据未经授权泄露、篡改或销毁对公司造成负面影响。
公司通过员工的行为遵守法律,因此遵守本政策是您的责任。本政策是对公司其他数据保护相关政策和程序的补充。
二、范围
本政策适用于公司、其代理机构、员工、数据所有者和数据托管人。具体可以结合公司情况予以完善。
三、法律冲突的解决(可写可不写)
本政策采用了公认的数据分类框架,但不取代代理机构、数据所有者、数据托管人和员工必须遵守的当地法律。这些法律可能有不同的要求。
如果XXX机构认为任何适用的当地法律或法规将阻止其实施本政策,应立即向XXX团队报告此冲突。在这种情况下,公司将向XXX机构提供指导,以达成保护公司利益并遵守适用数据保护法律和法规的解决方案。
四、定义
除非在本政策中另有定义,本政策中使用的术语与公司商业行为准则或公司数据保护政策中的定义相同。
五、数据分类表
每个公司数据应根据以下定义的五个类别之一进行分类(以下简称“数据分类表”)。
高度机密数据:任何非法/未经授权的披露或访问、篡改、不可用性或非法/未经授权处理此类数据将对公司、其客户、员工、数据主体和/或代理机构造成最大影响和/或不可挽回的损害。
机密数据:任何非法/未经授权的披露或访问、篡改、不可用性或非法/未经授权处理此类数据将对公司、其客户、员工、数据主体和/或代理机构造成重大影响和/或不可挽回的损害。
内部数据:此类数据不打算公开消费,而是供公司和代理机构内部使用。默认情况下,未分类的数据将被归类为内部数据。
公开数据:此类数据是专门准备并由管理层明确批准供公众消费的。任何非法/未经授权的披露或访问、篡改、不可用性或非法/未经授权处理此类数据将对公司、其客户、员工、数据主体和/或代理机构造成低影响和/或不可挽回的损害。
个人数据:与公司数据保护政策中定义的已识别或可识别的自然人相关的数据。根据中国网络安全法及其实施细则的要求,敏感个人数据是指泄露、非法提供或滥用可能损害个人和财产安全、非常容易导致个人声誉和健康损害、歧视性待遇等的个人数据。敏感个人数据应归类为个人数据。
六、数据处理指南
数据所有者应使用任何可用的手段优先使用数据分类工具,将公司数据分类为数据分类表中的相关类别。每个公司数据应在获取或创建时、发送、转移、打印或移动到存储介质或任何其他设备之前应用适当的标签。
数据所有者应定期评估用于分类公司数据的标签的相关性。
七、访问和共享权利
访问权:
只有获得批准访问权限的指定员工;
数据所有者;
必要时由相关数据所有者授权的数据托管人。
共享权:
数据所有者;
必要时由相关数据所有者授权的数据托管人。
八、保护措施
保护措施:
限制访问;
默认不转发;
跟踪邮件;
收件人不能修改标签;
收件人不能修改消息内容;
收件人不能复制文本;
加密数据;
编号。
九、角色和责任
为了使政策有效,定义了数据生命周期中每个参与者的角色和责任。具体可以结合公司情况予以完善,以下供小参考:
数据所有者
数据所有者负责:
使用数据分类表的相关标签对公司数据进行分类;
定期重新评估公司数据的分类;
根据数据分类表指定适当的控制措施;
授予公司数据的访问权限,并确保定期重新评估这些权限;
遵守本政策,并采取所有必要措施确保其有效性。
数据托管人
数据托管人负责根据数据分类表中指定的数据敏感性级别实施适当的组织和技术安全措施。
员工
所有公司员工都必须熟悉并遵守本政策。
十、例外情况
如果本政策与合法的业务需求和/或任何适用法律发生冲突,可以逐案授予例外情况。
十一、合规性(“奖惩机制”)
任何未能遵守本政策或其任何修订条款的用户、员工或其他受本政策约束的人,将受到适当的纪律或法律行动。
👉
END-
30万字数据安全合规实践经验分享、2000份+干货文件不限下载、定期举办安全合规实务交流会、790人+优质人脉圈
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...