内部数据安全管理制度

第一章 总则

第一条 为进一步加强网络货运平台（下称“G7平台”）信息数据安全管理工作，确保信息系统数据的安全，防止数据的非法生成、变更、泄漏、丢失与被破坏，确保数据的有据性、准确性、完整性、及时性、保密性，特制订本制度。

第二条 本规定中所指企业内部数据是指在G7平台中，收集和生成的各类客户信息、交易信息、业务数据等电子数据。

第二章 组织管理

第三条 企业内部数据安全保护工作应按照“谁管理、谁负责，预防为主、综合管理，制度防范与技术防范相结合”的原则，逐级建立数据安全管理领导问责制和岗位责任制，加强制度建设，逐步实现数据安全管理的科学化、规范化。

第四条 数据管理者应承担保存或处理数据的保护职责，防止数据的丢失、误用或破坏；特殊或重要数据，应采用多种记录手段和异地保存备份，免遭意外风险；计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段，并具有在要求时间内恢复系统功能以及重要数据的能力。

第五条 数据使用者有权查阅被授权的数据，更正有关自身的任何不准确数据。

第三章 计算机系统安全管理

第六条 计算机信息系统及时进行系统升级或更新补丁，并定期进行病毒检验；

第七条 计算机信息系统与数据库主机必须建立在正规机房或成熟的云服务器上，避免因管理不规范或其他安全隐患导致数据库所在服务器的不稳定。

第八条 计算机信息系统主机或存储设备发生故障需要维修时，要避免存储数据的外泄，数据管理者应采取必要手段保护数据的安全。

第九条 严格计算机信息系统客户机接入管理。只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统，严禁未经批准接入外来笔记本电脑、计算机系统或其他配件。未经允许，不得接入移动存储设备。

第十条 对重要或涉密数据的存储和传输应进行加密处理。对重要或涉密数据的存储介质，应采取必要的安全保护措施，并建立相应的登记管理制度。对保密信息不得遗失、泄露。未经同意，涉密计算机不得使用Ｕ盘、移动硬盘、刻录机等相关设备。

第十一条 对废弃的内部数据要严格按照保密要求进行清零覆盖处理，应当确保处理后的数据不被恢复。

第十二条 接入互联网的计算机应具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。对计算机、服务器账户均应设置密码，各种账户和密码必须严格保密。根据信息的安全规定和权限，确定使用人员的存取、使用权限。通过网络传送的程序或信息，必须经过安全检测，方可使用。各类操作人员必须具有病毒防范意识，做好计算机病毒的预防、检测、清除工作，及时升级防病毒系统，定期进行病毒的查杀，发现病毒要及时处理，并做好记录。防止各类针对网络的攻击，保证数据安全。

第十三条 任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。

第四章 数据维护及备份

第十四条 系统管理员承担系统的运行维护和数据的安全管理工作。

第十五条 系统管理员要严格遵守数据备份策略，及时做好数据的备份工作。严格数据库管理员口令管理，要定期更换数据库管理员口令。在系统升级或数据有较大变动情况时必须备份；系统数据每天应作数据库的增量备份，每周应作数据库的完全备份；重要数据读入系统后应立即备份。

第十六条 系统出现故障和遭到破坏时，由系统管理员负责完成数据恢复工作，系统管理员必须保证备份数据能够及时、准确、完整地恢复。确因特殊原因不能恢复的，应及时向分管领导汇报，妥善处理。数据恢复后要认真填写数据管理日志。

第十七条 对数据的各项操作实行日志管理，严格监控操作过程，对发现的数据安全问题，要及时处理和上报。

第十八条 未经批准，系统管理员不得直接对后台数据库进行数据更改操作，确需后台操作的，必须上报分管领导批准，并事先对数据库进行备份后进行，同时，详细记录操作过程及数据更改情况存档备查。

第五章 数据使用

第十九条 无正当理由和有关批准手续，任何人不得通报数据内容，不得泄漏数据给内部或外部的无关人员，不得篡改数据库数据内容。

第二十条 所有数据的使用应遵循最小必要原则，严禁数据滥用。

第六章 修订与生效

第二十一条 本制度生效前发生的行为，适用当时的制度进行处理；本制度生效后发生的行为，适用本制度。

第二十二G7平台有权不时修订本制度并公示，修订后的制度于公示之日起满7日或公示内容指定生效日生效。

第二十三条 本制度于2020年4月15日发布/修改，自2020年4月 15日生效。