为保障本网站(http://www.jjwl.com/)的数据安全及用户信息安全,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网药品医疗器械信息服务备案管理规定》等法律法规,特制定本数据安全保障制度。
本制度适用于本网站在运营过程中涉及的各类数据处理活动,包括但不限于药品信息数据、用户提交的个人信息、系统运行数据等。
1. 本公司指定专人负责数据安全管理工作,统筹协调数据安全保护工作。
2. 数据安全管理人员职责包括:
(1)制定和完善数据安全管理制度及操作规程;
(2)组织开展数据安全教育培训;
(3)定期开展数据安全风险监测和评估;
(4)处置数据安全事件;
(5)配合监管部门的数据安全监督检查。
本网站将数据按照重要程度和泄露后可能造成的危害分为以下级别:
| 数据级别 | 数据类型 | 示例 | 保护措施 |
|---|---|---|---|
| 一级(高敏感) | 用户身份信息 | 姓名、联系电话、身份证号等 | 加密存储、严格访问控制、审计日志 |
| 二级(中敏感) | 用户反馈信息 | 留言内容、咨询记录等 | 访问控制、传输加密 |
| 三级(一般) | 药品公开信息 | 药品基本信息、新闻资讯等 | 完整性校验、防篡改 |
| 四级(低敏) | 访问日志数据 | IP地址、访问时间、页面记录等 | 匿名化处理、定期清理 |
本公司采取以下技术措施保障数据安全:
1. 网络安全:
(1)部署防火墙系统,防范网络攻击和非法访问;
(2)使用 HTTPS 加密协议传输数据,防止数据在传输过程中被窃取或篡改;
(3)定期进行漏洞扫描和安全评估,及时发现和修复安全隐患。
2. 服务器安全:
(1)服务器部署于具备安全防护能力的机房环境;
(2)实施严格的访问控制策略,采用最小权限原则;
(3)定期更新操作系统和应用软件的安全补丁;
(4)建立完善的备份恢复机制,确保数据的可恢复性。
3. 数据库安全:
(1)数据库访问实行身份认证和权限控制;
(2)敏感数据采用加密存储;
(3)数据库操作全程记录审计日志;
(4)定期进行数据库备份,备份数据异地存放。
4. 应用安全:
(1)对用户输入进行严格的验证和过滤,防范 SQL 注入、XSS 攻击等常见 Web 安全威胁;
(2)实施会话管理机制,防止会话劫持;
(3)对上传文件进行类型和大小限制,防止恶意文件上传。
1. 个人信息的收集遵循合法、正当、必要的原则,仅在实现服务目的的最小范围内收集。
2. 收集个人信息前,明确告知用户收集目的、方式和范围,并获得用户的同意(法律法规规定的除外)。
3. 个人信息的保存期限为实现处理目的所必需的最短时间,超出保存期限后将删除或匿名化处理。
4. 未经用户同意,不向第三方共享、转让用户的个人信息,法律法规要求或为维护公共利益的除外。
5. 详细个人信息保护政策请参阅《隐私政策》。
1. 建立数据安全事件应急预案,明确应急响应流程和责任分工。
2. 发生或可能发生数据安全事件时,立即启动应急预案,采取补救措施,防止损害扩大。
3. 涉及用户个人信息泄露的,及时通知受影响的用户,并向有关主管部门报告。
4. 数据安全事件处置结束后,总结经验教训,完善安全防护措施。
1. 建立日志审计制度,对系统操作、数据访问等关键行为进行记录和审计。
2. 审计日志保存期限不少于6个月。
3. 定期(每季度至少一次)开展数据安全检查,发现隐患及时整改。
4. 配合药品监督管理部门及其他有关部门的数据安全监督检查。
1. 与接触敏感数据的工作人员签署保密协议,明确保密义务和违约责任。
2. 对工作人员进行定期的数据安全教育和培训,提高安全意识和技能。
3. 工作人员离职时,及时回收其系统访问权限。
4. 违反数据安全管理制度的人员,将视情节轻重给予相应处分;造成严重后果的,依法追究法律责任。
1. 本制度自发布之日起施行。
2. 本制度由深圳市嘉俊物联科技有限公司负责解释和修订。
3. 本制度与国家法律法规不一致的,以国家法律法规为准。
4. 本制度的修订须经公司管理层审批通过后生效。
深圳市嘉俊物联科技有限公司
发布日期:2025年01月01日
最近更新:2025年01月01日