《x分行数据安全管理办法.docx》由会员分享,可在线阅读,更多相关《x分行数据安全管理办法.docx(7页珍藏版)》请在优知文库上搜索。
1、X分行数据安全管理办法第一章总则第一条为加强X分行(以下简称“分行”)数据安全管理,提高数据安全管理的规范化水平,防范数据泄露等安全隐患,制定本办法。第二条本办法所称数据安全指通过管理和技术措施确保数据的机密性、完整性和可用性等。第三条本办法所规范和管理的范围包括数据安全分类分级以及覆盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁全过程的数据安全管理等。第四条本办法适用于分行各部门及各支行的数据安全管理相关工作。第二章组织与职责第五条分行电子银行部作为数据治理归口管理部门,负责牵头全行数据安全管理工作,具体职责包括:(-)制定数据安全管理相关管理办法与实施细则,建立数据安全管理规
2、范体系,包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等全过程的相关数据安全管理规范或要求;(二)建立数据安全保障问责机制;(三)制定数据安全相关规划和计戈IJ;(四)依据合规监管要求和业务发展需求,制定数据安全管理工作方案,并推动执行;(五)负责推动全行数据安全管理能力的提升,组织开展数据安全相关培训。第六条分行各业务部门、各支行为数据安全执行机构,负责将数据安全相关要求纳入本单位的业务制度中,推动数据安全管理制度在各单位辖内的落实。第七条分行电子银行部门的具体职责包括:(-)负责将数据安全相关要求纳入到科技制度中,推动数据安全管理制度在科技活动中的落实;(二)负责提供数据安
3、全技术支持;(三)检查数据安全管理要求执行情况;(四)组织开展数据安全评估和改进;(五)组织开展数据安全事件的跟进和处理。第八条分行人力资源部门负责在人员入职、调岗、离职等过程中,及时通知相关部门人员变动信息,做好人员完整链路的数据安全提示工作。第九条分行法律合规部负责非制式法律文本法律审核,并配合提供数据安全法律培训或数据安全合规政策法规解读。第十条分行办公室负责按照分行声誉风险管理政策及实施细则的相关要求进行分行数据安全保护工作的舆情监测及处置。第三章数据安全分类分级第十一条根据合法合规性、可执行性、时效性、差异性、客观性五项原则,结合数据安全性遭到破坏后的影响对象,包括国家安全、公众权益
4、、个人隐私、企业合法权益等,以及数据安全性遭到破坏后的影响程度,如严重损害、一般损害、轻微损害和无损害,将分行数据安全等级从高到低划分为4级、3级、2级、1级四个等级。第十二条根据系统性、规范性、稳定性、适用性、扩展性五项原则,对分行电子化数据进行系统的分类,并根据数据安全分级对各类数据给出最低安全级别参考,作为分行数据安全分级管理的支持与参考,详见附件:渤海银行数据安全分类分级原则及方法。第四章数据采集第十三条分行内部新产生数据或从外部收集数据而新增数据时,数据治理归口管理部门需组织开展该项数据安全分级的确定,并组织相关部门根据数据的安全级别进行权限设计与控制。第十四条分行各部门、各支行在采
5、集数据时,应严格遵守法律法规及监管要求,确保数据采集的合规性。其中在采集个人金融信息和数据时,应遵守以下要求:(一)在业务活动中直接收集个人金融信息时,应当遵循合法、合理、必要、授权同意原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息;不得在客户不知情、未参与的情况下,采取非法、隐蔽、间接方式收集个人金融信息,法律、法规和规章另有规定的除外。(二)分行在业务活动中间接获得个人金融信息时(如外部合作、数据购买等),应确认数据提供方数据来源的合法性,并通过合同等形式与数据提供方约定数据的授权范围,以及在个人金融信息安全方面分行和数据提供方应分别承
6、担的责任和义务。第十五条分行各部门、各支行在采集数据时,应向分行电子银行部提出数据采集过程可追溯和数据采集抗抵赖性的需求,由分行电子银行部制定相应技术措施予以支持。第五章数据传输第十六条数据治理归口管理部门组织制定数据传输的安全管理规范,明确数据传输安全要求,包括传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等,确定需要对数据传输加密或进行专线传输的场景。分行各部门、各支行在数据传输时遵循相关规范或要求执行。第十七条分行电子银行部应建立技术控制措施,防范分行员工的主动泄密和被动泄密。第六章数据存储第十八条存储数据的服务器、数据库及相关IT基础设施访问权限的管理需要确保最小授权
7、。第十九条数据存储介质安全管控应根据数据安全等级的不同、数据存储介质访问和使用场景的不同而不同,防止对存储介质的不当使用,其中数据存储介质包括移动存储、终端存储、网络存储。第二十条数据逻辑存储安全管控应基于分行业务特征和数据存储要求开展,以保证数据逻辑存储的安全,逻辑存储包括存储容器、存储架构。第二十一条电子银行部应根据分行信息系统生产数据备份相关规定执行数据备份和恢复测试,实现对存储数据的冗余管理,保护数据的可用性。第七章数据处理第二十二条数据治理归口管理部门应组织开展数据处理的安全管理规范制定,规范数据应用与分析的输入、分析过程、结果输出,规范不同数据安全级别数据的脱敏措施、加密措施,防止
8、数据挖掘、分析使用过程中有价值的信息和个人信息泄漏的风险,保证数据分析处理的安全。第二十三条如对于因业务需要或其它原因不能接受数据脱敏后分析应用的,需由数据治理归口管理部门组织开展数据泄漏风险的分析并制定风险处置策略,相关部门配合分行电子银行部予以实施。第二十四条分行各业务部门、各支行应根据数据处理的安全管理规范,对不同角色及不同数据安全等级进行数据访问及其他操作时的权限控制提出需求,对数据使用中所执行的新增、查看、修改、删除、导出等操作进行的日志记录提出需求,分行电子银行部根据需求提供权限控制、日志记录的技术支持。第二十五条分行各部门、各支行应根据相关数据处理的安全管理规范对数据导入导出过程
9、进行安全管理,制定导出安全评估和授权审批流程,记录导入导出数据过程,采取适宜的加密措施,防范导入导出过程中可能存在的数据泄漏风险。第八章数据交换第二十六条数据治理归口管理部门应组织开展数据交换的安全管理规范制定,数据交换包括数据共享、对外数据发布、对外数据接口调用等。第二十七条数据共享活动,包括跨业务条线数据共享、分行与支行数据共享、分行与监管方的数据共享、外部合作伙伴数据共享等。数据共享活动安全管理应明确数据共享内容范围并制定数据共享的管控措施,制定不同共享对象、不同数据安全级别数据的共享审批流程,确保数据对外共享的安全合规。第二十八条对外部组织进行数据发布的过程需要对发布数据的格式、适用范
10、围、发布者与使用者权利和义务执行必要的控制,以实现数据发布过程的数据安全。第二十九条分行数据在对外接口调用过程应制定数据接口安全要求、数据接口安全控制策略、采取相应安全及监控措施,防范分行数据在接口调用过程中的安全风险。第九章数据销毁第三十条数据治理归口管理部门应组织开展数据销毁活动的安全管理规范制定,数据销毁活动包括数据的销毁、存储介质的销毁等。第三十一条数据的销毁处置,应根据不同场景、不同数据内容建立对应的数据删除机制,确保数据不可恢复,防止数据泄露。数据删除场景包括但不限于下线系统中数据、测试环境中的数据、回收终端设备中的数据、中转服务器/中间机数据以及监管报送临时提取数据等场景。销毁方式包括但不限于消磁、覆写、紫外线删除与物理摧毁等方式。第三十二条当存储介质需要被替换掉或淘汰掉而不再使用,需要销毁处理存储介质时,应根据不同介质、介质中存储数据内容的不同采取相应的技术和管理措施,对存储介质进行彻底的物理销毁,确保介质数据不可恢复,防止数据泄漏。存储介质销毁方式分硬销毁和软销毁两类,包括但不限于捣碎法/剪碎法、焚毁法。第十章附则第三十三条本办法由分行电子银行部负责制定、解释和修订。第三十四条本办法自2023年1月1日起执行。