防止第三方数据被非法访问或披露的控制措施指南.doc

上海金俪新材料科技有限公司

文件编号

JLX-DATA-CONTROL-2025-V1

版本/版次

第A/0版

防止第三方数据被非法访问的控制措施

生效日期

2025年6月1日

页码

第

第PAGE1页共NUMPAGES2页

防止第三方数据被非法访问的控制措施

一、目的

为防止客户、顾客、供应商等第三方数据在本公司业务流程中遭受非法存取、非授权披露、数据滥用或泄露的风险，特制定本控制措施，确保所有敏感数据的访问受限于最小权限，符合《中华人民共和国数据安全法》《个人信息保护法》及ISO/IEC27001等标准。

二、数据控制范围说明

适用数据类型包括但不限于：

客户身份识别信息（联系人、邮箱、地址、电话）

客户订单、价格、付款记录、历史交易明细

供应商评估资料、审计报告、对账信息

客户反馈、投诉处理记录与合同副本

第三方审计结果与证书文件

三、访问控制措施

?1.组织层控制

措施类别

描述

岗位最小权限原则

员工访问客户数据，必须与其工作职责直接相关，岗位变动立即调整权限；

数据使用审批流程

涉及查询、下载、转发第三方信息的操作，需主管或数据管理员批准；

离职/调岗流程联动

离职人员账号即时停用；调岗人员数据访问权限重设；

必威体育官网网址协议签署制度

所有接触客户数据的岗位须签署《数据必威体育官网网址承诺书》；

?2.系统层控制

措施类别

描述

账号权限管理

所有系统账号必须实名登记、唯一绑定，定期审计权限清单；

访问日志留痕机制

ERP、邮件系统等关键平台启用访问记录追踪，保存12个月以上；

敏感信息加密存储

客户数据加密存储于专用数据库，不得保存在本地或移动设备；

下载/导出限制机制

部分数据视等级设定不可导出、仅可阅读、屏蔽复制功能；

?3.操作层控制

措施类别

描述

U盘/外网文件传输受控

办公电脑禁止U盘写入及通过QQ/私人邮箱等外部平台传输数据；

邮件收发控制

向外部客户发送含数据附件邮件，必须加入“数据共享编号”并加密压缩；

打印与复印控制

打印客户订单、价格清单等必须通过登记审批；敏感资料设立“打印水印”；

快递外发资料登记

所有第三方文件快递需登记“接收方、内容类型、是否加密、封装责任人”；

四、违规示例与禁止行为

?员工将客户数据表格导出后上传至微信、钉钉、个人邮箱；

?私自复印认证证书并转发他人；

?离职员工仍保有系统访问权限超3天未关闭；

?第三方审计人员使用临时工卡，自由进出打印区；

?使用未授权U盘下载报告、外发图纸无水印标识。

五、培训与监督机制

措施

内容

信息安全培训

新员工岗前培训+年度复训，涵盖客户数据必威体育官网网址、违规示例演练；

内部抽查

每季度抽查客户数据访问日志、邮件日志、打印登记记录；

审计机制

风控部与IT部每半年联合审查权限管理与访问日志合规性；

举报机制

设立“数据泄露举报通道”，保护举报人身份，调查及时回应；

编制/日期：张倩倩2025-06-01

审核/日期：张倩倩2025-06-01

批准/日期：严义豪2025-06-01

文件修订记录

生效日期

版本号

修订内容摘要

2025-06-01

第A/0版

程序文件新制定。