银行数据安全管理办法.docx
17页
xx 银行数据安全管理办法xx总发〔xx〕259号,xx年11月26日印发第一条第一章 总 则为加强系统数据、业务数据在存储、传输、使用过程中的安全管理,保证业务数据的保密性、完整性和可用性,同时规范信息数据的申请及使用管理,防止银行业务数据、客户隐私、信息科技技术资料等被不当使用或外泄,保证银行信息资产的安全,特制订本办法第二条本办法适用于 xx 银行科技部所有系统数据和业务数据的安全管理,以及科技部对业务部门及外部机构提供信息系统中存放的业务数据信息等的管理流程第三条本办法中的数据是指 xx 银行银行生产和办公系统运行时产生的业务数据、系统数据、应用数据和网络参数等各类各种配置数据,如权限设置、存储分配、网络地址、硬件配置 及其它系统配置参数等业务数据主要包括 xx 银行各业务系统的用户数据、业务数据、统计数据及 其它相关数据第四条数据管理对象是指数据备份、恢复、保管、抽检、使用、清理、转存和销毁的管理过程第五条第二章 组织与职责科技部分管领导在数据安全管理中的主要职责包括:(一)负责审批业务部门提交的信息科技数据申请单;(二)负责指定科技部相关科室审核具体需求的适当性;(三)负责对科技部提供的数据及资料进行最终审批。
第六条风险管理部在数据安全管理中负责外部机构数据需求管理第七条科技部在数据安全管理中的职责:(一)软件开发员和应用管理员在数据安全管理中的主要职责包括:1、负责在数据存储阶段保证数据完整性、保密性,并在数据安全管理中实现;2、负责审核业务部门数据需求的合理性;3、指定资料提供受理人;4、负责确定数据与资料的提交方式;5、按需要对数据进行脱敏处理二)数据提供受理人的主要职责: 负责按信息科技数据申请单完成数据准备三)信息安全管理员的主要职责包括: 负责审核最终的提供资料符合银行安全规定第八条 数据用户负责在使用数据阶段,按管理办法的数据信息资产管理要求,合理使 用数据第九条 数据申请人在数据安全管理中的主要职责包括:(一)负责填写信息科技数据申请单;(二)负责按照实际工作需要,整理详细需求清单;(三)负责按照银行信息安全管理要求,规范保管和使用获取的数据和资料第十条 数据申请人部门负责人在数据安全管理中负责审核信息科技数据申请单及详 细需求清单第十一条 数据所有者部门负责人负责审批需求部门提交的信息科技数据申请单及详细 需求清单第三章第三章 数据管理原则第十二条 全行数据实行统一领导、归口管理的管理体制。
总行科技部负责全行数据的管 理数据管理采用逐级授权、分级管理的管理方式总行科技部负责全行数据的全面管理,分行相 关机构负责本级数据的管理工作第十三条 数据的使用单位及个人在数据的采集、使用过程中必须严格遵守保密性原则,第十四条未经授权,出现数据泄密事件,依据事件危害性,将严格追究相关负责人责任在数据使用过程中,科技部有权对使用单位、使用过程中制度的遵守情况、数据保密的执行情况等进行定期或不定期检查第十五条 数据管理要严格遵照信息科技部门和相关业务部门的业务控制要求和流程规 范各系统、网络、数据库、应用系统管理员应遵循以下原则:(一)重要的系统数据应实施严格的安全保密;(二)对系统数据的操作应经过严格的身份鉴别与权限控制,防止非授权操作;(三)应采取有效措施防止系统数据的非法生成、变更、泄漏、丢失与破坏;(四)系统数据应进行核对审查,防止使用过程中产生误操作或被非法篡改第十六条第十六条 各业务管理部门应遵循以下原则制定具体的业务数据安全管理规定:(一)重要的业务数据应实施严格的安全保密;(二)业务数据在系统中的保存时间应有最低限制;(三)业务数据应进行核对审查,防止使用过程中产生误操作或被非法篡改;(四)业务数据应及时、完整、真实、准确地转储到不可更改的介质上,并规定保存期限;(五)对业务数据应实行专人管理。
第十七条 所有用户信息数据,都应该遵守我行策略,基于信息在保密性、完整性和可用 性方面的不同要求,以及本部门的特定要求,采取对应的技术手段和管理手段进行保护第十八条 我行数据按照《xx银行信息资产风险评估实施指南》要求,数据资产按照信息 资产分级标准分为 5级、4 级、3级、2级和1级五个标准第十九条 业务数据是我行最重要的信息资产之一,业务数据的安全关系着我行的信息安 全和利益,安全级别为 5级、4级的业务数据称为机密数据;安全级别为 3级、2 级的业务数据统 称敏感数据;安全级别为 1 级的业务数据称为一般数据第二十条 机密数据、敏感数据都只能在一定时间内,让一定范围的人员知晓和使用一 般数据对时间和范围在没有特殊约定的情况下不做限制第— 条 员工一旦发现发现标有核心商密的文件在办公自动化系统(OA)上流转时 (即普通用户能够通过查看公告信息或收文管理功能直接接触电子版的密级文件及内容),应立即停 止流转,并通知文件流经部门采取补救措施第二十二条 严禁员工在未经允许的情况下,利用任何手段将涉密文件及内容制作成电子 形式在办公自动化系统内或以其他方式进行传输第—十二条 依据信息资产的生命周期,信息资产CIA各属性值会因各种原因发生变化, 在信息资产CIA属性值变化后,应按照新的属性值进行对应的处理和保护。
第四章数据备份第二十四条数据备份包括日常备份和特殊备份每天或定期备份的称为日常备份;月终、 季终、年终或特殊维护日备份称为特殊备份第二十五条 数据备份计划按照各生产系统的要求定制,网络管理岗负责制定网络参数和安全系统备份计划;系统管理岗负责制定系统日志和数据库数据的备份计划;开发岗负责制定各应 用系统的备份计划第二十六条 各岗位必须认真对待年度备份计划的制定,计划的制定应综合系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素计划 中必须指明备份周期、备份内容、特殊维护日、备份步骤、数据有效期及备份数据检查频率及方式 等第二十七条 备份计划提交科技部审核通过后才能付诸实施网络管理岗负责网络参数和 安全系统备份;系统管理岗负责系统日志的备份;应用管理岗负责数据库数据备份第二十八条 数据备份操作实施,各岗位员工根据操作手册进行操作,记录备份全过程(包 括备份作业,备份周期、时间、内容、数据保存期限,存储介质型号、介质容量、业务种类、转存 情况、异地备份记录、相关变更记录及备份中出现的问题和处理情况)第二十九条 数据备份完成后,要仔细检查备份作业或备份程序的执行结果,确保备份数 据的完整性和正确性。
系统软件、应用软件、数据库、网络系统等升级或变更时,要在变更前由各 系统管理岗进行相关备份第三十条 应用管理员根据备份策略,定期开展各备份数据有效性检查和数据备份演练, 根据检查和演练结果,优化和完善数据备份策略第五章数据存储介质的管理第三十一条 存储介质应该按照以下属性由信息安全管理员建立保密管理台账 xx 银行介 质管理台账,包括编号、品牌、主要配置(容量)、启用时间、密级、用途、责任人等设备管理员 负责对介质进行集中管理第三十二条 数据存储介质存放地点必须防火、防潮、防磁、防盗数据需异地备份由专 人负责数据备份操作人根据数据备份计划中明确的检查周期定期对数据进行检查工作,检查方式为对数据进行恢复性测试或读写检查,检查完毕填写备份数据检查表对检查中发现疑似问题的介 质进行重新修复或转储,并将转储结果反馈在备份数据检查表中第三十三条 可重用存储介质中不需要的内容应该及时删除,并确保其删除是不可恢复第三十四条的所有存储介质存放环境应该遵循厂商要求,以保证数据安全有效,存储介质的柜子应该上锁设备管理员应该根据信息的保存期,每月检查复核介质管理台账,查看各类存储介质的保存周期,确认不会因为存储介质过期损坏带来信息丢失。
介质的借用和取走应该登记第三十五条 数据检查过程中信息安全管理岗全程进行安全检查,对数据的安全性负责 第三十六条 涉密存储介质所存储的涉密信息应该进行密级标识复制、打印、输出涉密存储介质所存涉密信息,应该按相同密级文件进行管理第三十七条 借用涉密存储介质应该履行借用手续,并办理登记手续,由借用人登记 xx 银行移动存储介质借用记录,审查批准后方可使用,使用后应该及时归还禁止将涉密存储介质带 到与工作无关的场所第三十八条 存储介质的重用与废弃管理,废弃数据、介质的界定:(一)存储介质在遭到机械或其它原因的破坏后,经设备管理员确认已造成不可恢复的故障时, 为废弃数据、介质;(二)存储介质在使用过程中,由于使用寿命已到,存储能力变得不稳定,经设备管理员确认 已不可恢复时,为废弃数据、介质;(三)对超过备份要求期限的数据视为废弃数据、介质第三十九条 废弃数据、介质处理流程:(一)对于废弃的硬拷贝打印纸,原则上 50 页以下的使用碎纸机粉碎,50 页以上的采用安全焚毁的方法;(二)对于遭到物理损坏的、使用寿命已到、存储能力衰竭的存储或移动存储介质,须由信息安全管理员协同由稽核监察部进行消磁处理或者物理摧毁,处理后登记介质销毁记录表;(三)销毁涉密存储介质须经主管领导批准,并履行登记签字手续、二人以上,并由稽核监察部监督销毁。
禁止将涉密存储介质出售、赠送他人或丢弃第四十条各单位严格按下列方法进行介质处理:(一)备份介质内关键数据,确认无误后删除;(二)使用杂乱文件覆盖介质全部空间后,进行格式化操作;(三)重复进行4次上述步骤 2;(四)如果有相关的消磁软件,或者杀毒软件具备的彻底清除文件的功能,优先考虑第六章授权管理第四十一条业务数据的使用者对业务数据的使用、转移、屏蔽、删除和加工等处理行为, 必须经过业务数据主管部门的有效审批;涉及重要业务数据的使用需经分管行领导批准后,方可在 授权范围内处理第四十二条在有法律法规许可的情况下,以外部机构(例如监管机构、政府机关、清算组织、合作单位、银行同业、咨询公司、评级公司、会计师事务所等)提供的正式文件或者有效合同、协议为依据,由业务数据的主管部门审批后,报行领导批准方可实施授权第四十三条行内员工以岗位授权为原则,业务数据的使用者权限必须与其岗位职责相匹配跨岗位职责的业务数据的使用必须获得业务数据的主管部门总经理审批第七章 数据恢复第四十四条数据恢复包括一般数据恢复和生产数据恢复一般数据恢复是指为满足网点或者部室对历史数据的需要而在非生产系统中所作的数据恢复操作,一般由应用管理岗完成,信息安全安全管理岗人员监督实行。
生产数据恢复是指生产系统发生严重错误,只能通过数据恢复或者数据变更进行修复的情况第四十五条对于一般的数据恢复,在进行数据恢复前,必须搭建备份数据导入环境数据恢复必须严格按照操作手册执行数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性把相关数据交给相关网点或部室后及时删除备份数据导入环境第四十六条一般数据恢复流程:(一) 需恢复数据单位经由单位负责人同意后向科技部运行管理科提出申请,科技部相关负责 人同意签字后数据备份拷贝出库;(二) 由维护管理科数据库管理岗搭建备份数据导入环境,并与软件开发中心相关软件开发岗 人员共同确认后,进行数据恢复并导出相关数据交由运行管理科处理;(三) 运行管理科和需求提出单位确认数据正确性和完整性后,应用管理岗可删除备份数据导 入环境及相关数据,同时。
