某银行信息科技数据安全管理办法_第1页
某银行信息科技数据安全管理办法_第2页
某银行信息科技数据安全管理办法_第3页
某银行信息科技数据安全管理办法_第4页
某银行信息科技数据安全管理办法_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

某银行信息科技数据安全治理方法XXX信息科技数据安全治理方法第一章总则第一条为提高XXX〔以下简称“我行”〕信息科技安全治理水平,实现数据安全标准化治理,确保信息系统安全、牢靠、稳定运行,依据《商业银行信息科技风险治理指引》、《信息安全技术网络安全等级保护根本要求》等制度,结合我行数据治理的实际状况,制定本方法。第三条本方法所称数据是指支持我行信息系统正常运行所需的数据,包括系统的数据库数据、配置数据、日志数据、项目文档、合同等数据。其次条本方法适用于我行信息科技数据安全治理相关的所有工作。其次章部门及职责第三条信息科技分管行长或首席信息官是我行数据安全的第一责任人,履行第一责任人职责。第四条总行信息科技部是我行数据安全治理的主管部门,负责本方法的制定、修订和审议,负责对我行重要或敏感数据的定义、分类、分级标准和访问把握、数据备份和恢复、生产数据安全防护等数据防护策略进展统一规划,负责本方法的落地和实施。第五条信息科技部平安治理岗是数据平安治理的主管岗位,其主要职责为:〔一〕负责我行数据平安治理举措的起草;〔二〕负责制定、修订和完善数据平安治理策略;〔三〕负责帮助其他岗位落实数据安全治理策略。XXX其他岗位负责涉及本岗位数据安全策略的执行,负责帮助安全治理岗完善数据安全治理策略。第三章数据分类分级第六条数据分类。我行信息科技类数据按其内容和用途不同分为业务类数据、技术类数据、行政治理类数据,具体分类如下:〔一〕业务类数据是指支撑我行各类业务正常开展的数据,包括账户、姓名、身份证号、联系方式、余额、发生额、期限、利率、账户状态等要素的客户数据;〔二〕技术类数据是指保障我行各类系统正常运行的数据,包括系统日志、需求设计、开发标准、上线手册、运维手册、安全策略、安全配置等;〔三〕行政治理类数据是指支持科技部门内部治理正常运行的数据,包括部门制度、合同、员工数据等。第七条数据分III类I类数据是指该类数据泄露、丧失会给我行带来不良社会影响,患病经济损失,担当法律责任或系统平安受到威逼等潜在风险的数据;敏感II类是指该类数据泄露、丧失会给我行带来较弱社会影响,患病较小的经济损失,但系统平安根本不受到威逼等风险的数据;非敏感类数据是指该数据泄露、丧失可能影响日常办公,但不会带来上述风险的数据。〔一〕I类数据包括:业务类数据中涉及客户隐私;技术类数据中的含有核心技术的设计文档、关键系统设置和安I类的数据。〔一〕敏感II类数据包括:业务类数据中非涉及客户隐私的数据;技术类数据中的非核心设计文档;行政治理类数据中的合同、制度及报表等数据。〔二〕非敏感类数据包括:对外公示的报表数据、产品信息等公开数据。第四章数据安全治理策略第八条本举措所指的数据平安治理策略按数据生命周期分类涵盖数据采集、数据处理、数据存储、数据传输、数据分发、数据备份、数据恢复、数据清算和数据销毁等阶段。第九条数据采集。关于分歧用户授予分歧的权限,使其只能访问授权范围内的数据,全部数据操作职员须严峻依据操作权限操作,严禁越权操作,各种操作职员要对本人用户名下的全部数据操作负责。第十条我行各类业务系统数据的采集由系统主管单位及其条线上的相关单位负责采集,数据采集应遵循具备事实依据、取得有权人授权、严格保密和准时录入的要求,必需遵循相应操作流程和制度标准。信息科技部系统治理员、数据库治理员等生产系统维护人员严禁擅自录入数据。其他任何无关的外部人员不得接触生产数据,不得使用自带设备接入生产系统。第十一条数据处理。我行的各类业务系统数据处理应通过相应的应用系统进展自动化处理,原则上不得进展人工干预。任何人员不得擅自进展数据录入、修改和更,假设确需对数XXX数据维护流程,并经信息科技部有权人批准前方可实施。第十二条数据存储。我行各类业务系统数据应存储在牢靠的存储介质上,同时需依据监管部门要求,做到同城数据备份或异地数据备份,以确保业务系统数据的可用性及完全性。第十三条数据传输。我行的生产数据在传输过程当中必需通过加密方式进展数据保护。我行系统后台需实行必要措施,检测系统治理数据、鉴别信息和紧急业务数据在传输过程当中完全性是否受到破坏,并在检测到完全性错误时实行必要的恢复措施。紧急生产数据传输需承受专用通信和谈或平安通信和谈效劳,避开来自基于通用通信和谈的进犯破坏数据完全性。第十四条数据分发。我行内部数据信息要严峻保密,不得擅自拷贝供给应外单元或个人,涉及敏感I类数据脱离生产环境时,原则上需进展脱敏处理。如因违规拷贝和违规传播而引发的纠纷和事故,由拷贝人或传播人担当全部法律责任。同时追究其部门负责人的责任。第十五条数据分发流程。数据分发应通过合规流程进展操作。数据提取方需按相关的数据提取审批流程提交数据提取XXX受理通过审批的数据提取单后,指派专人在生产环境依据标准的数据提取步骤进展数据提取,并通过安全合理的方式方法将数据分发至数据提取方。数据提取方应进展验证并在数据提取审批流程中确认。第十六条数据备份。我行应依据数据的分类和特点,分别制定相应的备份策略,包括日常备份、非凡日备份、版本升级备份以及各类数据的保存期限、备份方式、备份介质、数据清算周期等。同时通过“两地三中心”灾备模式完成数据异地备份,确保系统一旦发生故障时能够快速恢复。第十七条数据备份方式。全部生产数据库需运行在归档模式下,可通过全备份和增量备份实现数据库的完整恢复。数据库治理员可依据应用程序特性选择联机备份或冷备份。可依据数据库特性选择手工备份或利用备份治理器备份。数据库备份需有备份记录。第十八条数据备份周期。各生产数据库可依据数据量的大小制定适宜的备份周期〔增量备份与全备份相结合为一周期〕,但是备份周期不应超过一个月〔每三个月至少完成一次数据库完整的全备份〕;1次。第十九条数据恢复。为保证数据备份的有效性,应对生产数据库每一个月做一次恢复测试,检修备份的有效性。关于没有条件做恢复测试的特大型数据库,应每一个月做一次局部数据文件或归档日志的读出测试。在进展数据恢复前,必需对相关系统进展必要的备份,切实保护当前数据的平安,并按规定的操作流程和技术要求确认数据恢复过程和结果的正确性。其次十条数据清算。我行应依据生产数据的分类和特点,定期对可清算数据进展清算工作。信息科技部系统维护职员要定期查看数据库日志文件,定期查看数据库效劳器运行状态,定期对数据库进展优化,定期清算冗余数据,提升数据库存储空间的使用率和数据的存取效率。其次十一条数据清算方式。可清算的生产数据包括交易日志、〔补充〕。其次十二条数据销毁。生产数据的保存,依据备份策略,将在备份介质保存确定的期限。当保存期限到期后,将由信息科技部牵头,经生产系统所属业务部门确认后进展数据销毁。生产数据存储的介质因硬件故障,需送原厂商修理时,需经过消磁机做消磁处理,以防数据泄漏。生产数据的销毁需做得双人复核,由信息科技部指定人员负责操作,生产

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论