某银行信息科技数据安全管理办法

某银行信息科技数据安全管理办法（三）行政管理类数据是指支持我行行政管理工作的数据，包括人事档案、财务数据、采购合同、行政管理规定等。第七条数据分级。我行信息科技类数据按照其重要程度和敏感程度，分为三个级别：一般级、重要级和核心级。具体分级标准由总行信息科技部根据业务特点和安全风险评估结果进行制定，并报经行领导班子审定。各部门按照数据分级标准，对本部门涉及的数据进行分类分级，并建立相应的数据安全保护措施。第四章数据安全保护第八条数据访问控制。我行应在数据使用、存储、传输等方面建立完善的访问控制机制，确保数据的机密性、完整性和可用性。对于重要级和核心级数据，应采取更加严格的访问控制措施，例如双重认证、权限分级控制等。第九条数据备份和恢复。我行应制定完善的数据备份和恢复策略，确保数据在发生灾难性事件或系统故障时能够及时恢复。对于重要级和核心级数据，应采取多重备份和异地备份等措施，确保数据的安全性和可靠性。第十条生产数据安全防护。我行应建立完善的生产数据安全防护机制，包括加密传输、防病毒、防攻击等措施，确保生产数据的安全性和可靠性。第五章数据安全事件处置第十一条数据安全事件处置。我行应建立完善的数据安全事件处置机制，包括事件报告、事件评估、事件分类、事件响应等环节，确保数据安全事件能够及时得到处理，最小化损失。第六章附则第十二条本办法自颁布之日起施行。如本办法与其他规章制度不一致的，以本办法为准。本文规定了敏感数据的分类标准，包括敏感I类、敏感II类和非敏感类数据。敏感I类数据包括涉及客户隐私的业务类数据、含有核心技术的设计文档和关键系统设置等技术类数据，以及信息科技部认为达到敏感I类的数据。敏感II类数据包括非涉及客户隐私的业务类数据、非核心设计文档和行政管理类数据中的合同、制度及报表等数据。非敏感类数据包括对外公示的报表数据和产品信息等公开数据。数据安全管理策略按数据生命周期分类涵盖数据采集、数据处理、数据存储、数据传输、数据分发、数据备份、数据恢复、数据清理和数据销毁等阶段。对于不同用户授予不同的权限，使其只能访问授权范围内的数据，所有数据操作人员须严格按照操作权限操作，严禁越权操作，各种操作人员要对自己用户名下的所有数据操作负责。我行的各类业务系统数据采集由系统主管单位及其条线上的相关单位负责采集，数据采集应遵循具备事实依据、取得有权人授权、严格保密和及时录入的要求，必须遵循相应操作流程和制度规范。信息科技部系统管理员、数据库管理员等生产系统维护人员严禁擅自录入数据。其他任何无关的外部人员不得接触生产数据，不得使用自带设备接入生产系统。我行的各类业务系统数据处理应通过相应的应用系统进行自动化处理，原则上不得进行人工干预。任何人员不得擅自进行数据录入、修改和更新，如果确需对数据实施维护处理，或对数据库优化，应遵循xxxx银行数据维护流程，并经信息科技部有权人批准后方可实施。我行各类业务系统数据应存储在可靠的存储介质上，同时需根据监管部门要求，做到同城数据备份或异地数据备份，以确保业务系统数据的可用性及完整性。第十三条数据传输在我行的生产数据传输过程中，必须采用加密方式进行数据保护。我行的系统后台需要采取必要措施，检测系统管理数据、鉴别信息和重要业务数据在传输过程中完整性是否受到破坏，并在检测到完整性错误时采取必要的恢复措施。对于重要的生产数据传输，需要采用专用通信协议或安全通信协议服务，以避免基于通用通信协议的攻击破坏数据完整性。第十四条数据分发我行内部数据信息必须严格保密，不得擅自拷贝提供给外单位或个人。对于涉及敏感I类数据脱离生产环境的情况，原则上需要进行脱敏处理。如果因为违规拷贝和传播而引起的纠纷和事故，拷贝人或传播人需要承担全部法律责任。同时，还会追究其部门负责人的责任。第十五条数据分发流程数据分发必须通过合规流程进行操作。数据提取方需要按照相关的数据提取审批流程提交数据提取申请单至信息科技部。信息科技部受理通过审批的数据提取单后，指派专人在生产环境按照规范的数据提取步骤进行数据提取，并通过安全合理的方式将数据分发至数据提取方。数据提取方必须进行验证并在数据提取审批流程中确认。第十六条数据备份我行应根据数据的分类和特点，分别制定相应的备份策略，包括日常备份、特殊日备份、版本升级备份以及各类数据的保存期限、备份方式、备份介质、数据清理周期等。同时，通过“两地三中心”灾备模式实现数据异地备份，以确保系统一旦发生故障时能够快速恢复。第十七条数据备份方式所有生产数据库必须运行在归档模式下，可通过全备份和增量备份实现数据库的完整恢复。数据库管理员可以根据应用程序特性选择联机备份或冷备份。可以根据数据库特性选择手工备份或利用备份管理器备份。数据库备份必须有备份记录。第十八条数据备份周期各生产数据库可以根据数据量的大小制定合适的备份周期（增量备份与全备份相结合为一周期），但备份周期不应超过一个月（每三个月至少完成一次数据库完整的全备份）；数据库归档日志每天至少备份1次。第十九条数据恢复为保证数据备份的有效性，应对生产数据库每一个月做一次恢复测试，检验备份的有效性。对于没有条件做恢复测试的特大型数据库，应每一个月做一次部分数据文件或归档日志的读出测试。在进行数据恢复前，必须对相关系统进行必要的备份，切实保护当前数据的安全，并按规定的操作流程和技术要求确认数据恢复过程和结果的正确性。第二十条数据清理为提升数据库存储空间的利用率和数据的存取效率，我行应按照生产数据的分类和特点，定期对可清理数据进行清理工作。信息科技部系统维护人员应定期查看数据库日志文件和服务器运行状态，对数据库进行优化和清理冗余数据。第二十一条数据清理方式可清理的生产数据包括交易日志等。其他数据申请人员通过数据提取流程申请提取的涉及敏感I类和敏感II类数据在使用完毕后应及时销毁，禁止通过互联网传播。第二十二条数据销毁生产数据的保存应按照备份策略，在备份介质保存一定的期限。当保存期限到期后，由信息科技部牵头，经生产系统所属业务部门确认后进行数据销毁。生产数据存储的介质因硬件故障需送原厂商维修时，需经过消磁机做消磁处理，以防数据泄漏。生产数据的销毁需做得双人复核，由信息科技部指定人员负责操作，生产系