第一条 总则
随着信息技术的发展,我国汽车维修行业也已逐步迈入大数据时代,数据信息的掌控和应用对行业发展和企业提质增效的促进作用越发显得尤为重要。鉴于中国汽车维修行业协会(简称协会)所开展的部分业务与行业信息数据密切相关,为保证这些数据信息的安全及合法使用,根据《中华人民共和国网络安全法》等法律法规,以及协会《网络及新媒体平台管理办法》、《信息发布管理办法》等制度的相关规定,制定本办法。
第二条 适用范围
本办法适用于协会秘书处各职能部门及分支机构。
本办法适用于管理保存于计算机及备件、移动终端或存贮器具、互联网系统等数据信息。
本办法适用于数据信息的收集、加工、存贮保管、阅读、传送分发、修订等应用过程。
第三条 数据信息基本范围包括
(一)会员信息;
(二)财务信息;
(三)涉及协会工作的文档(文件、协议、报告、其他过程资料等);
(四)协会组织的相关活动收集的企业及个人信息(各类竞赛、调研、信用体系建设等);
(五)行业技术标准等资料信息;
(六)购置或项目合作中协会具有权限管理的信息;
(七)其他与协会工作相关的数据信息。
第四条 数据信息所有权
凡以协会及其分支机构名义采集、统计、汇总、制定的数据信息其所有权归本协会,由协会相关职能部门负责管理,并在政策、法律框架内依规合理使用。任何机构或个人不得擅自扣留、调取、使用或对外扩散。
第五条 数据信息分级管理和使用
(一) 数据信息实行两级分级管理:内部信息、公开信息。
(二) 内部信息是指协会不得对外公开发布传送、阅读,仅限于协会领导、秘书处或分支机构阅读和执行的数据信息。包括并不限于以下信息:
1. 人事档案资料;
2. 财务会计信息;
3. 会议纪要、内部文件函件和报告(不含标注为公开信息);
4. 协会业务中采集或加工的数据信息(不含标注为公开信息);
5. 协议、合同的正本、副本和附件内容;
6. 标准化工作中的过程文件、函件和报告,公开征求意见稿除外。
7. 会员信息资料的详细内容(会员单位名称和地址信息除外);
8. 协会接收的国家部委并标注机密、内部传阅的文件、通知、报告等,以及向国家有关部委上报、提交的协会文件资料;
9. 协会认定或标注为内部的其他信息。
(三) 公开信息是指可公开发布传送和不限制他人阅读的协会信息。
1. 协会面向会员单位或行业发布的信息。包括协会章程、组织架构、相关制度,会员代表大会、理事会的会议通知和会议公告,协会各类活动通知,行业统计分析报告等;
2. 转发的相关部委的文件等;
3. 对外宣传资料;
4. 会员名录(单位名称和地址);
5. 协会制定的团体标准;
6. 官网、公众号等发布的信息;
7. 协会认定为可公开发布的其他信息。
(四) 数据信息按照其项目类别由协会秘书处各职能部门负责管理,数据信息的调用应由使用者向职能部门提出申请,明确其用途、范围、时限等,经部门审核后提交协会主管领导审批。
(五)内部信息仅针对特定对象进行传送分发,禁止以微信群、论坛或其他即时信息群方式进行非特定对象的传送分发。
第六条 数据信息的安全性要求
(一) 各部门及分支机构对本部门数据信息的完整性和安全性负责,防止数据信息丢失。个人电脑的数据信息应定期备份;网站服务器上的相关信息也应制定备份方案;
(二) 数据信息应建立信息安全机制,遵循技术经济条件综合因素之下,选择实施包括并不限于物理隔离、按等级加密和定期备份数据保存、分级登录和密码管理、防攻击和应急处理机制、灾备、日志信息等,信息安全机制的内容需由信息管理部门向协会综合部进行备案,实行部门/分支机构负责,责任到人。
(三) 加强网站服务器的安全防范措施,监测、防御、处置来源于境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用。
(四) 发生信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,应当立即采取补救措施,并及时告知协会。
(五)一旦发生数据信息安全事故,且造成恶劣影响的,协会将根据实际情况对当事人及所在部门和分支机构进行处罚;涉及泄露国家秘密信息的数据活动,按照国家有关规定执行。
第七条 数据信息的项目管理要求
(一) 各部门及分支机构负责人为本单位数据信息安全第一责任人,对本部门或机构数据安全负责;
(二) 相关人员,包括业务(项目)执行人员,后台维护管理人员,应对本人所负责的相关业务或项目的数据信息安全负责;
(三) 各部门、分支机构经批准或授权开展、参与协会信息数据相关业务的,应与协会签署《信息数据安全管理责任书》。
(四) 涉及与协会相关的数据活动的项目,在项目启动前由协会与数据活动合作方之间签定相关的合同协议,内容中应明确数据信息安全责任。
涉及重要数据信息的项目应另行签署保密协议,明确数据信息使用规范,对数据调取修改查阅存贮等重要功能性配置和使用,要制定明确的涉及责任人的安全性责任、量化信息接触人和权限管理制度,并及时上报备案登记,分级管理责任到人;
(五) 公开收集的企业数据、行业数据或个人敏感信息的,应当明确数据安全责任人,并明确具体的目的、种类、数量、频度、方式、使用范围等;
(六) 各部门应提升工作人员数据信息安全风险防范责任意识,向外界传递相关数据信息前,应评估可能带来的安全风险;
公开信息发布需经部门负责人同意;
内部信息发布需报协会负责人批准;
转发的信息应对信息的来源、完整性和安全性承担责任。
(七) 数据信息的发布应遵循本协会《信息发布管理办法》相关规定。
第八条 本办法由协会秘书处负责解释。
第九条 本办法自发布之日起施行。
附件:信息数据安全管理责任书