第一條 總則
隨著信息技術的發展,我國汽車維修行業也已逐步邁入大數據時代,數據信息的掌控和應用對行業發展和企業提質增效的促進作用越發顯得尤為重要。鑒于中國汽車維修行業協會(簡稱協會)所開展的部分業務與行業信息數據密切相關,為保證這些數據信息的安全及合法使用,根據《中華人民共和國網絡安全法》等法律法規,以及協會《網絡及新媒體平臺管理辦法》、《信息發布管理辦法》等制度的相關規定,制定本辦法。
第二條 適用范圍
本辦法適用于協會秘書處各職能部門及分支機構。
本辦法適用于管理保存于計算機及備件、移動終端或存貯器具、互聯網系統等數據信息。
本辦法適用于數據信息的收集、加工、存貯保管、閱讀、傳送分發、修訂等應用過程。
第三條 數據信息基本范圍包括
(一)會員信息;
(二)財務信息;
(三)涉及協會工作的文檔(文件、協議、報告、其他過程資料等);
(四)協會組織的相關活動收集的企業及個人信息(各類競賽、調研、信用體系建設等);
(五)行業技術標準等資料信息;
(六)購置或項目合作中協會具有權限管理的信息;
(七)其他與協會工作相關的數據信息。
第四條 數據信息所有權
凡以協會及其分支機構名義采集、統計、匯總、制定的數據信息其所有權歸本協會,由協會相關職能部門負責管理,并在政策、法律框架內依規合理使用。任何機構或個人不得擅自扣留、調取、使用或對外擴散。
第五條 數據信息分級管理和使用
(一) 數據信息實行兩級分級管理:內部信息、公開信息。
(二) 內部信息是指協會不得對外公開發布傳送、閱讀,僅限于協會領導、秘書處或分支機構閱讀和執行的數據信息。包括并不限于以下信息:
1. 人事檔案資料;
2. 財務會計信息;
3. 會議紀要、內部文件函件和報告(不含標注為公開信息);
4. 協會業務中采集或加工的數據信息(不含標注為公開信息);
5. 協議、合同的正本、副本和附件內容;
6. 標準化工作中的過程文件、函件和報告,公開征求意見稿除外。
7. 會員信息資料的詳細內容(會員單位名稱和地址信息除外);
8. 協會接收的國家部委并標注機密、內部傳閱的文件、通知、報告等,以及向國家有關部委上報、提交的協會文件資料;
9. 協會認定或標注為內部的其他信息。
(三) 公開信息是指可公開發布傳送和不限制他人閱讀的協會信息。
1. 協會面向會員單位或行業發布的信息。包括協會章程、組織架構、相關制度,會員代表大會、理事會的會議通知和會議公告,協會各類活動通知,行業統計分析報告等;
2. 轉發的相關部委的文件等;
3. 對外宣傳資料;
4. 會員名錄(單位名稱和地址);
5. 協會制定的團體標準;
6. 官網、公眾號等發布的信息;
7. 協會認定為可公開發布的其他信息。
(四) 數據信息按照其項目類別由協會秘書處各職能部門負責管理,數據信息的調用應由使用者向職能部門提出申請,明確其用途、范圍、時限等,經部門審核后提交協會主管領導審批。
(五)內部信息僅針對特定對象進行傳送分發,禁止以微信群、論壇或其他即時信息群方式進行非特定對象的傳送分發。
第六條 數據信息的安全性要求
(一) 各部門及分支機構對本部門數據信息的完整性和安全性負責,防止數據信息丟失。個人電腦的數據信息應定期備份;網站服務器上的相關信息也應制定備份方案;
(二) 數據信息應建立信息安全機制,遵循技術經濟條件綜合因素之下,選擇實施包括并不限于物理隔離、按等級加密和定期備份數據保存、分級登錄和密碼管理、防攻擊和應急處理機制、災備、日志信息等,信息安全機制的內容需由信息管理部門向協會綜合部進行備案,實行部門/分支機構負責,責任到人。
(三) 加強網站服務器的安全防范措施,監測、防御、處置來源于境內外的數據安全風險和威脅,保護數據免受泄露、竊取、篡改、毀損、非法使用。
(四) 發生信息泄露、毀損、丟失等數據安全事件,或者發生數據安全事件風險明顯加大時,應當立即采取補救措施,并及時告知協會。
(五)一旦發生數據信息安全事故,且造成惡劣影響的,協會將根據實際情況對當事人及所在部門和分支機構進行處罰;涉及泄露國家秘密信息的數據活動,按照國家有關規定執行。
第七條 數據信息的項目管理要求
(一) 各部門及分支機構負責人為本單位數據信息安全第一責任人,對本部門或機構數據安全負責;
(二) 相關人員,包括業務(項目)執行人員,后臺維護管理人員,應對本人所負責的相關業務或項目的數據信息安全負責;
(三) 各部門、分支機構經批準或授權開展、參與協會信息數據相關業務的,應與協會簽署《信息數據安全管理責任書》。
(四) 涉及與協會相關的數據活動的項目,在項目啟動前由協會與數據活動合作方之間簽定相關的合同協議,內容中應明確數據信息安全責任。
涉及重要數據信息的項目應另行簽署保密協議,明確數據信息使用規范,對數據調取修改查閱存貯等重要功能性配置和使用,要制定明確的涉及責任人的安全性責任、量化信息接觸人和權限管理制度,并及時上報備案登記,分級管理責任到人;
(五) 公開收集的企業數據、行業數據或個人敏感信息的,應當明確數據安全責任人,并明確具體的目的、種類、數量、頻度、方式、使用范圍等;
(六) 各部門應提升工作人員數據信息安全風險防范責任意識,向外界傳遞相關數據信息前,應評估可能帶來的安全風險;
公開信息發布需經部門負責人同意;
內部信息發布需報協會負責人批準;
轉發的信息應對信息的來源、完整性和安全性承擔責任。
(七) 數據信息的發布應遵循本協會《信息發布管理辦法》相關規定。
第八條 本辦法由協會秘書處負責解釋。
第九條 本辦法自發布之日起施行。
附件:信息數據安全管理責任書
