银行数据管理规定模版.docx

《银行数据管理规定模版.docx》由会员分享，可在线阅读，更多相关《银行数据管理规定模版.docx（10页珍藏版）》请在咨信网上搜索。

银行数据管理规定 第一章 总则 第一条 为规范数据管理行为，确保cc银行信息系统的安全、稳定、持续运行，防止因敏感数据外泄而造成损失，制定本规定。 第二条 所谓数据是指cc银行信息系统中所保存的信息。 第三条 cc银行信息系统数据的管理和使用均须按照本规定中的内容和流程严格执行。 第二章 岗位职责 第四条 系统安全员负责制定全行数据管理策略，负责恢复、抽检、清理、销毁等日常操作，负责监督其他人员的数据操作，定期检查和评估数据处理流程。 第五条 运行维护人员负责采集、存储、传输、分发、备份等操作，操作必须双人复核。 第六条 系统管理员负责数据的处理，保证处理的正确性。 第三章 安全等级 第七条 按照数据泄露对我行生产经营、内部制衡关系及社会公众造成的影响，将信息系统数据划分为四个等级： （1）一级：对我行生产经营有重大影响，丢失或泄露后严重影响我行形象，降低我行竞争力，或严重影响社会公众的数据（如客户信息、交易信息等）； （2）二级：对我行生产经营有较大影响，丢失或泄露后影响信息系统的正常运行，但不会对社会公众造成影响的数据（如财务信息、统计信息）； （3）三级：对我行生产经营有一定影响，丢失或泄露后对我行生产效率或内部制衡关系有影响的数据（如各营业机构营销数据、日志信息、配置信息等）； （4）四级：内部员工可以知晓，丢失或泄露后对我行造成很小影响（操作手册、制度规范等）。 第四章 数据的备份 第八条 备份策略需要结合日常系统运行情况制定。按数据备份时机和保存期限不同，数据备份策略包含定期备份（包括日常备份、月（年）度备份、特殊日备份等）、非定期备份（包括变更前备份、版本升级备份）；按照备份数据的保存期限可分为短期（1年以内）、中长期（1年以上、5年以内）和长期（5年以上）等。 第九条 根据系统性能、存储容量、数据量增长速度、备份方式、存储介质等因素，数据备份策略应包括应用名称、备份内容、备份时间、备份周期、存储介质、保存期限、是否需异地备份等内容。 第十条 关键应用系统应按照灾备等级要求实施异地备份或保存。异地备份数据的备份频度应符合相关应用系统灾备等级管理要求。 第十一条 数据管理岗或者运行维护岗按照运行操作日志或手册进行数据备份，并对数据备份结果进行检查，备份故障纳入日常生产事件管理。 第十二条 在应用系统升级等变更前，必须对变更涉及的生产数据进行版本升级备份。 第五章 数据的恢复和抽检 第十三条 核心业务系统日终批处理前后的备份数据需要在测试系统恢复的，必须经过数据脱敏处理，并经管理层审批后方可使用。 第十四条 核心备份数据每季度至少进行一次数据恢复性测试，数据库管理员需记录数据恢复的时间、步骤并检查测试结果。如测试过程中发现问题须立即向部门经理汇报，查找出现问题的原因并尽快解决，以保证备份数据的可用性。 第十五条 进行数据恢复前，需要由数据库管理员登记数据恢复报告，并由管理层进行审批。每次的数据恢复都应记录备案，数据恢复前，必须对原环境的数据进行备份或删除，防止有用数据的丢失。 第十六条 当信息系统发生重大事故且需要进行数据恢复时，须按照相应应急处置预案进行处理，以最快时间完成数据恢复操作。 第十七条 系统安全岗负责组织制定数据抽检计划，并根据数据抽检计划组织技术支持岗对数据存储介质进行抽检和恢复。 第十八条 数据抽检应遵循以下原则： （一）抽检内容包括备份介质可用性及备份数据有效性等； （二）抽检方式包括备份数据恢复、介质读取等。 第六章 数据的处理和分发 第十九条 客户的基本信息包括账户余额、身份证号码、用户姓名、联系电话等均为客户敏感数据，任何个人不得私自将客户信息泄漏给他人。 第二十条 新建或删除客户基本信息必须核实原因并经过科技发展部总经理审批后方可进行。 第二十一条 根据脱敏制度的要求，在开发及测试环境中使用真实业务数据或客户信息进行测试的，须经高管层审批，经过脱敏处理后方可使用，安全管理岗负有监督义务。 第二十二条 测试系统中的生产数据在使用前须对敏感数据进行脱敏处理，以防止开发或测试人员接触甚至泄露敏感数据而给我行带来经营风险。 第二十三条 对客户名称、账户资料等敏感数据执行相应的程序对其进行转换，对客户密码调用加密平台进行初始化生成测试密码，以保证生产数据的安全。 第二十四条 数据的分发需要由总行业务部门按照业务需求提出申请，科技发展部总经理审批后，制定详细的分发计划和流程，由运行维护人员进行分发，安全管理员进行全程监督。 第七章 数据的清理、转存和销毁管理 第二十五条 生产数据日常清理按照数据清理和转存策略实施。历次清理的备份数据要根据备份策略进行保存，并确保可用。 第二十六条 对于数据量异常增长影响正常业务的非常规清理，由安全管理岗提供清理方案，运行维护人员负责进行清理。对于新投产的业务系统，由开发人员提供清理方案，安全管理岗或运行维护岗人员负责按照清理方案进行清理。 第二十七条 数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。 第二十八条 为确保备份后的生产业务数据可恢复再用，长期保留的生产业务数据应定期转存。 第二十九条 转存的数据必须有详细的文档进行记录，记录信息应包括：备份数据名称、备份数据日期、转存日期、保存期限等。 第三十条 存储数据的设备在改变用途前，数据管理人员应对数据进行转存后清理。 第三十一条 存储数据的设备（包括存储介质）在闲置报废前，应对数据进行转存后销毁介质。 第八章 数据保密管理 第三十二条 任何人不得违规查询、记录、携带、复制、传输、修改、删除和泄露各类数据。 第三十三条 向外部单位（除公、检、法等有权机关和国家有关审计、监管部门要求敏感数据不能变形的情况外）提供我行业务数据时，对具备条件的单位必须对敏感数据进行变形处理。 第三十四条 技术部门借用数据备份介质时必须严格遵守备份介质借用审批流程，进行审批、登记、交接和归还，并保证备份数据完好无缺。 第三十五条 任何单位和个人发现使用数据的违规行为都有权阻止或举报。 第三十六条 涉及加密环节的重要数据（包括：各类密码和密钥、各类校验算法、加/解密算法和参数、终端设备识别算法和参数、身份识别算法和参数等）及其存放介质和技术资料等，必须同时按照信息系统安全管理的有关规定严格管理。 第九章 数据使用管理 第三十七条 行内数据使用管理，按照生产变更管理流程审批同意后提供。 第三十八条 行外数据使用管理： （一）对于行外有权单位（包括公、检、法等有权机关，审计署、银监会等国家审计、监管部门等）、我行聘请的外部审计机构和行内业务数据归属部门提出的数据查询要求，依照《cc银行信息系统变更管理办法》执行。 （二）对外提供数据的申请部门须对数据使用单位履行保密责任的情况进行监督，并承担相应的安全管理责任。 第十章 数据的继承和迁移 第三十九条 应特别重视历史数据在信息系统中的继承和迁移，迁移前制定迁移流程和方法，由业务部门进行全面测试，保证数据的有效性和兼容性。 第四十条 数据的继承和迁移应得到高管层的审批，得到批准后方可执行。 第十一章 日志管理 第四十一条 生产环境日志的留存时间须满足监管部门要求的最低限度。系统日志保存期限为一年，由硬件管理岗人员负责定期转存并清理。交易日志按各应用系统管理员制定的清理策略由数据中心运维人员执行。 第四十二条 对于需要定期整理的日志，运维人员应按时整理，转存时，日志文件须存放在指定的位置，按照统一的命名规则进行命名，整理日志应留存整理记录。 第四十三条 科技发展部应定期对主机系统、网络系统的安全审计跟踪记录及应用系统的日志进行检查，分析系统可能存在的安全隐患和漏洞；根据科技发展部与业务部门共同商议的结果，数据库、应用系统每季度形成日志分析报告，对发现的隐患和漏洞要及时研究补救措施，并报科技发展部总经理审批后实施。 第四十四条 日志清理的操作时间应尽量控制在正常营业时间之外。 第四十五条 系统管理员应每季度对系统环境的错误日志进行审阅，形成分析报告，报送科技发展部总经理审批。 第十二章 客户信息的管理 第四十六条 在收集、保存、使用客户个人金融信息时，要严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用，遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息。 第四十七条 明确规定各岗位和人员的管理责任，加强客户个人金融信息管理的权限设置，形成相互监督、相互制约的管理机制，切实防止信息泄露或滥用事件的发生。 第四十八条 按照我行要求配备完善的信息安全技术防范措施，确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。 第四十九条 按照文件要求加强对员工的培训，强化员工对客户个人金融信息的安全意识，防止员工非法使用、泄露、出售客户个人金融信息。 　　第五十条 使用客户个人金融信息时，要符合收集该信息的目的，不得发生篡改、违法使用客户个人金融信息行为。 第五十一条 通过接入中国人民银行征信系统、支付系统以及其他系统获取的客户个人金融信息，严格按照系统规定的用途使用，不得违反规定查询和滥用行为。 第五十二条 员工在日常工作中要互相监督，如若发现非法使用、泄露、出售客户个人金融信息的情况应立即制止并向上级领导报告。 第五十三条 对违反联社客户个人金融信息保护工作制度非法使用、泄露、出售客户个人金融信息的员工将根据有关规定追究法律后果。 第十三章 附则 第五十四条 本规定由cc银行科技发展部负责解释和修订。 第五十五条 本规定自发布之日起执行。