银行数据管理办法
XX银行数据管理办法
第一章总则
第一条为了提高我行经营管理的信息化水平,贯彻执行数据管理体系规划,规范数据管理和具体实施流程,加强各级经营管理机构的数据管理和应用能力,树立和发挥数据的资产价值,特制定本办法。
第二条本办法适用于我行企业数据架构管理、数据标准管理、数据质量管理、主数据管理、元数据管理、数据安全管理、数据生命周期管理、数据基础平台管理、数据应用以及数据需求与规划管理共十项数据管理领域的管理活动。
第三条本办法所指数据是在我行经营管理和日常操作中通过计算机系统形成和存储的数据,可以分为内部数据和外部数据,内部数据指我行业务运营管理过程中产生的数据,外部数据指从我行以外的来源取得的数据。
第四条我行数据管理体系建设的总体方针如下:
(一)提供可用、可信数据,打造可靠的应用基础。
(二)围绕数据应用、价值呈现推动数据管理建设。
(三)以高效的应用服务能力,支持全行业务发展和创新。
第五条本办法是指导全行数据管理活动的纲领,是建立、完善和落实数据管理体系的基础,我行数据管理制度和细则都应在本办法规定的基础上制定。
第二章组织与职责
第六条数据管理组织架构是通过建立与全行数据管理
和应用工作相适应的组织机构和岗位,并明确各层级权责,保持内部沟通顺畅,确保全行数据管理战略的实施。我行数据管理组织的构成分为三个层次,自上而下划分为决策层、管理协调层以及执行层。
第七条数据管理决策层是全行数据管理的最高决策机构,由信息科技指导委员会、信息科技管理委员会组成。
信息科技指导委员会的主要职责包括:
(一)审批全行数据管理整体方针和策略。
(二)定期听取信息科技管理委员会对数据管理工作的汇报。
信息科技管理委员会的主要职责包括:
(一)审议数据战略目标和策略、体系规划、政策制度以及数据管理领域的重大事项。
(二)统筹资源,协调解决数据管理领域重大事项。
(三)对全行数据管理工作进行监督评价。
第八条数据管理协调层是数据管理各领域工作的直接领导与组织部门,设立数据管理领导小组及秘书。
数据管理领导小组设组长、副组长各一人,及小组成员若干。组长由信息科技部负责人担任,副组长由资产负债管理部负责人担任;小组成员由软件开发中心、数据中心、电子银行中心、公司银行部、个人银行部、小微企业银行部、小企业信贷中心、信贷监控部、评审部、国际业务部、票据业务部、资金部、信用卡部、财务部、会计结算部、风险管理部、资产管理部、稽核部、合规部、人力资源部和运营管理部负责人担任。
数据管理领导小组的主要职责包括:
(一)负责组织各领域业务专家、总行各部门及分支机构开展数据管理相关工作,包括但不限于数据质量管理、数据标准管理等方面内容;协调并推进数据管理相关工作并监督落实,发布数据管理相关文件并向上汇报。
(二)针对特殊任务组建专项小组并予以指导。
(三)对于数据管理领域的重大事项,由数据管理领导小
组决定是否上报信息科技管理委员会进行审议。
数据管理领导小组秘书由数据管理领导小组任命,可由数据质量管理岗相关人员兼任。其主要职责包括:负责全行数据管理的日常事务的组织协调,组织召开数据管理相关各类会议等。
第九条数据管理执行层负责全行数据管理工作的具体执行,设立数据管理执行组。
数据管理执行组由总行各部门数据质量管理岗、数据架构管理岗、数据需求管理岗、数据管理岗的任职人员组成。其中,数据质量管理岗、数据架构管理岗、数据需求管理岗由信息科技条线一部三中心委派人员担任;数据管理岗由总行各部门委派人员担任,且应至少确保一名在职员工担任或兼任,部门应包括:资产负债管理部、软件开发中心、数据中心、电子银行中心、公司银行部、个人银行部、小微企业银行部、小企业信贷中心、信贷监控部、评审部、国际业务部、票据业务部、资金部、信用卡部、财务部、会计结算部、风险管理部、资产管理部、稽核部、合规部、人力资源部和运营管理部。
数据管理执行组的主要职责包括:
(一)数据质量管理岗、数据架构管理岗和数据需求管理岗负责各项具体工作的推进,包括制定和完善数据管理各个领域的专项工作规章制度和流程,指导推进各部门、分支行数据管理工作,数据管理相关项目的立项和验收,以及数据管理系统的功能需求及系统管理。
(二)总行各部门数据管理岗代表本部门长期参与数据管理工作,负责整理和反馈数据标准、质量等相关工作需求,在部门内部宣传和提高数据管理意识。
各分支机构参与数据管理执行工作,履行数据管理相关职责,主要负责按照数据标准和数据质量管理要求进行数据的录入与维护工作,并按照各项数据标准与数据管控制度开展本机构数据管理工作。
数据管理执行组中各岗位人员的变动及调整,需报数据
管理领导小组批准。
第三章数据管理
第一节企业数据架构管理
第十条本办法所称企业数据架构管理是通过对全行数据模型、数据分布、数据流转的管理,在全行范围内提供一个促进数据资产存储、集成、使用、访问和传输的框架结构组件,从而支持数据的集中管理和分析应用。
第十一条业数据架构的管理内容包括:针对信息需求制定数据架构规划,定义和维护数据架构原则与规范,开发和维护数据模型,明确可信数据源与数据流,明确数据分布与存储情况,审核系统设计是否符合数据架构整体设计等。
第十二条企业数据架构管理的目标包括:
(一)统一业务与技术认识,奠定沟通基础。
(二)优化数据共享、支持不同系统间互操作。
(三)统一视角,指导信息管理与建设。
(四)方便评估业务流程和应用变更影响。
第十三条企业数据架构管理应遵循以下管理原则:
(一)可信数据源原则:在明确定义全行各数据主题的基础上,确定需要共享数据的源系统,由相应系统的业务管理部门在该数据源系统内完成数据的创建、更新和删除操作。
(二)数据分布减法原则:减少不必要的数据冗余,简化数据存储分布。对于跨系统使用的关键数据,原则上规划唯一的主要数据存储。如由于性能等原因必须存在冗余数据,应建立可靠的机制确保数据同步,建立清晰的冗余数据使用约束,确保不因冗余数据影响业务正确性。经由数据架构评审决定,在全行层面统筹规划管理数据整合
(三)数据完整性原则:在全行数据架构中体现业务现状和需求所需的数据,统筹考虑缺失数据的弥补方案。
第十四条企业数据架构管理工作包括:
(一)制定我行数据架构规划,定义和维护数据架构原
则与规范,组织识别并确定全行数据源系统、数据血缘关系,审核系统设计是否符合企业数据架构规范,并协调指导相应数据源系统的业务管理部门完成数据维护工作。
(二)根据我行数据架构规划构建各应用系统的数据架构及数据模型,维护各系统的数据架构及数据模型相关文档,确保各应用系统符合我行总体的数据架构规划。
第二节数据标准管理
第十五条本办法所称数据标准是一整套数据规范、管控流程和技术工具,用以确保我行的各种重要信息,包括产品、客户、组织、协议等,在全行内外的使用和交换都是一致、准确的。
数据标准体系包括基础类数据标准和分析类数据标准两部分。数据标准的主体由数据定义和分类、业务属性、技术属性和标准代码构成:
(一)数据的定义和分类:明确业务主题的概念、本质、内涵,以及其在我行的分类体系。
(二)业务属性:对数据项应遵循的业务规则的统一定义与解释,如信息大类、信息小类、中文名称、英文名称、
业务含义等。
(三)技术属性:业务应用对数据项技术规则的统一要求与定义,如数据类别、数据类型、数据格式、缺省值等。
(四)标准代码:明确数据标准定义中所涉及的公共代码的取值和业务含义,如代码名称、业务含义、编码规范、技术属性等。
第十六条数据标准管理内容包括:建立数据标准体系框架与规划,对包括数据的定义和分类、业务属性、技术属性和标准代码在内的数据标准进行制定、评审、发布与维护,执行并监督数据标准在各系统中的落地,审核系统设计是否符合数据标准管理规范,建设并维护数据标准平台等。
第十七条数据标准管理的目标包括:
(一)提升数据质量:统一数据定义,明确数据填写及处理要求,提供管控方面的保障,为管理决策提供准确、全面的数据,并提升统计效率及报送准确率。
(二)提升IT实施能力:提升IT系统的数据模型设计效率,降低各系统间集成的复杂度,提高系统间交互效率。
(三)提升整体业务效率:统一业务语言,明确业务规则,规范业务处理过程,有效提升业务效率。
第十八条数据标准的制定应以业务为导向,遵循前瞻性和实用性的原则,并符合外部法定标准。应为数据标准设置准入原则,重点关注行内多处使用、频繁交换的数据。
第十九条数据标准管理工作包括:
(一)组织制定我行各数据标准的定义和分类、业务属性、技术属性和公共代码集。
(二)依据已制定的数据标准,推进各信息系统的标准落地。
(三)根据实际需要提出数据标准需求,进行数据标准的制定、审核和维护。
第三节数据质量管理
第二十条本办法所称数据质量是指数据满足我行业务需求与业务规则的程度,主要从完备性、一致性、有效性、唯一性、时效性、精确性和真实性等维度对数据进行描述和度量。
第二十一条数据质量管理内容包括:定义业务规则、识别数据质量问题,并进行有效的解决;同时持续监控和报告数据质量问题,确保我行数据质量的持续提升,以满足业务需要;通过数据质量管理活动的反馈,修正数据标准等其他数据管理活动的内容等;组织制定数据质量考核方案,并组织开展数据质量考核工作。
第二十二条数据质量管理的目标包括:
(一)规范我行数据质量的日常监控、分析、评估、改进和考核工作。
(二)形成我行数据质量主动管理机制,持续优化数据
质量,支持全行业务运行、管理分析和领导决策,提升数据资产的业务价值。
第二十三条数据质量管理应遵循以下原则:
(一)由数据的消费者确定数据质量需求。
(二)定义适当的度量规则来确保数据符合数据质量要求。
(三)确定数据项的可信数据源,从源头保证数据质量。
第二十四条数据质量管理工作包括:
(一)制定、审批并发布数据质量管理工作的制度和流程,数据质量监控、提升、考核方案;组织数据质量的评估与考核。
(二)组织数据质量问题的分析;推动数据质量提升工作的实施;协调技术、业务部门进行数据质量管理的度量规则、检核规则编制等相关工作。
(三)根据实际需要提出数据质量度量规则及更新、维
护需求,配合执行数据质量监控、分析、改进及评估工作。
第四节主数据管理
第二十五条本办法所称主数据是指在全行范围内跨业务条线、跨系统共享的,相对静态的、描述业务实体的数据集合,是企业关键业务实体的最权威、最准确的数据。
主数据管理范围涉及我行内创建、整合、使用和维护主数据的全过程,包括明确主数据的整合需求、建立主数据体系框架与规划、定义主数据来源、制定主数据整合规则与共享机制、主数据技术支撑等。
第二十六条主数据管理内容包括:
(一)识别主数据可信数据源,维护主数据整合架构。
(二)在企业范围内按一定业务规则合并主数据信息,保证数据的惟一性与完整性。
(三)利用数据质量管理手段对主数据进行治理,保证主数据的准确性。
(四)实现跨系统信息的一致性、共享性,将主数据信息同步到相关系统中。
第二十七条主数据管理的目标是保障我行的监管报送、业务运营、管理分析及领导决策中跨业务条线、跨渠道的核心数据的唯一性。
第二十八条主数据管理应遵循以下原则:
(一)以业务和应用驱动主数据管理,从最关键的主数据开始建设。
(二)规范数据问责制和数据所有者,确保每个主数据有且只有一个拥有者。
(三)建立有效的主数据管理制度和流程。
(四)审慎应用匹配规则,确保所做的所有归并和更改是可可逆。
第二十九条主数据管理工作包括:
(一)定义主数据业务管理流程,识别主数据来源,并规划主数据管理系统的建设方案。
(二)建设与维护主数据管理系统。
(三)进行常规性主数据同步与共享,并进行主数据源的识别。
第五节元数据管理
第三十条本办法所称元数据是描述数据的数据,用来描述数据的业务涵义、技术涵义、加工处理过程、覆盖范围、逻辑和物理结构、数据的所有者和提供方式等相关信息。
元数据可分为业务元数据、技术和操作元数据以及管理元数据。业务元数据定义和业务相关的数据信息,用于辅助定位、理解、及访问业务信息。技术元数据定义在IT的基础架构中对数据的说明,如数据的存放位置、数据被访问时的名称、数据的存储类型、数据的血缘关系、数据整合、数据关联情况和数据在IT环境之中的流转等内容。操作元数据主要是系统日常运行产生的操作数据。管理元数据记录数据的责任部门以及数据访问权限等。
第三十一条元数据管理是关于元数据的规划、定义、存储、整合、应用与控制等一整套流程的集合。其主要内容包括:元数据的版本、变更、权限控制等流程管理,元数据的获取、检核、存储等内容管理以及元数据的映射分析、影响分析、血缘分析、实体关联度分析、实体差异分析等应用
管理。
第三十二条元数据管理的目标是提供数据的准确说明,帮助理解数据来源背景、关系及相关属性,提高数据的可信度,减少数据冗余性,提升数据共享程度,降低企业IT 系统维护成本,提高系统运行可靠性。
第三十三条元数据管理需要遵循以下指导原则:
(一)建立元数据相关政策和管理办法,树立元数据管理和使用方面的清晰目标。建立数据监管制度,赋予元数据管理责任。
(二)统一全行元数据标准,确保全行范围内元数据的互操作性。
(三)从全行角度着眼规划、确保可扩展性。优先管理特别需要全行协调一致的元数据,以尽快获得收效。
(四)最大化用户访问。
第三十四条元数据管理工作包括:
(一)定义我行元数据及其属性含义,并负责检核、存储、维护各类元数据,提出该平台的建设需求。
(二)元数据管理工具的建设和维护,以及元数据的获取工作。
(三)业务元数据的定义工作。
第六节数据安全管理
第三十五条本办法所称数据安全包括数据本身的安全、数据防护的安全和数据存取与使用的安全。
(一)数据本身的安全指采用现代密码算法对数据进行主动保护,例如数据保密、数据完整性、不可否认性、双向
强身份认证等。
(二)数据防护的安全,主要指采用现代信息存储手段对数据进行保管,例如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。
(三)数据存储与使用的安全,其中数据存储的安全是指数据库在系统运行之外的可读性,杜绝非授权访问,建立相应的数据访问策略、检查机制、控制和监控机制。数据使用的安全是指有效地防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象。
(四)数据查询的安全,指在日常的数据查询过程中建立审批制度及流程,防止机密数据外泄。此外,对于查询数据的访问,设置控制措施,确保非业务相关人员接触我行机密数据。
数据安全管理是针对以上管理内容进行计划、制定、执行相关安全策略和规程。确保数据和信息资产在使用过程中
有恰当的认证、授权、监控和审计的措施。
第三十六条出于业务查询分析、监管报送等需求确需查询数据,需经部室负责人及数据管理领导小组批准后方可查询。查询申请中需明确数据使用范围及授权访问人员。涉及敏感信息的,查询人应严格保密,非授权人员无权访问使用。不得使用私人存储介质复制与转存查询数据。除批准的情况外,不得对我行信息进行未经授权的查询。
第三十七条数据访问授权管理根据“业务必需”原则授予不同用户为完成工作所需的最小数据访问权限。应用系统应设置日志系统控制用户数据查询、使用情况。并定期检查日志,对其中可疑的记录进行分析审核。
第三十八条数据安全管理的内容包括:定义数据安全标准,划分数据类别、密级,定义数据安全控制及措施,管理用户、密码和用户组成员,管理数据访问视图与权限,监控用户身份认证与访问行为,数据安全工具的使用及选取,审计数据安全。我行数据安全管理目标是建立持续有效的数据安全管理体系。
第三十九条数据安全管理工作包括:
(一)定期评估数据安全策略、规程以及授权范围,在数据安全和利益相关者的需求间获得平衡。
(二)界定数据访问需要、指导权限定义。
(三)持续宣介数据安全管理意识,推动数据安全管理文化建设。
第七节数据生命周期管理
第四十条本办法所指数据生命周期是数据从产生到销毁的全过程,包括数据的收集、创建、分发、存储、使用、归档和销毁。
数据生命周期管理是通过一定的方法、流程和工具,在数据生命周期中一致、有效地管理数据,根据业务需求及内外部合规要求,对数据进行收集、创建、分发、存储、使用和归档,直到数据的退出和删除。
第四十一条数据生命周期管理的范围包括:定义数据生命周期,定义外部数据的获取策略,定义数据备份与恢复计划,定义数据保留存储与销毁方案,定义归档数据的检索与使用策略;数据抽取、备份、恢复、存档、存留和销毁活动的执行等。
第四十二条数据生命周期管理的目标包括:提高数据资产利用率,从而以最低的数据持有成本提供最大的数据利用价值;控制风险,有效合规。
第四十三条数据生命周期管理遵循以下指导原则:
(一)数据保留与归档时机按照数据商业价值划分。
(二)数据项的保留和归档规则应该由数据所有者定义。
(三)归档的数据应该能够恢复,并且要满足一定的业务时效性要求。
第四十四条生命周期管理工作包括:
(一)组织和指导各部门、各条线确定数据分类,基于数据分类定义不同的服务级别等级要求,同时指导各部门进行生命周期的具体要素定义、无效数据的识别,推进数据存储及清理的有序管理。
(二)根据不同数据分类的服务级别,定义合理的存储级别,并根据数据的存储级别将数据合理的分布于数据存储环境中,并按服务级别要求进行数据备份和恢复,定期进行数据存档、存留和销毁。
(三)根据实际需要,提出各类数据的生命周期管理要求,并根据具体要素定义执行相应管理要求。
第八节各项管理工作之间的关系
第四十五条数据管理各项工作之间相互联系、相辅相成,之间关联关系包括:
(一)数据标准是制定数据质量度量规则的重要依据,数据质量管理过程中的评估和分析结果,为数据标准的维护与更新提供反馈。
(二)数据标准为数据模型的建立提供参考,数据分布和企业数据模型给数据标准的维护与更新提供反馈。
(三)数据架构管理提供数据分布和流转情况,协助数据生命周期管理。
(四)数据生命周期管理需要考虑数据安全管理的原则和指导方针。
(五)数据质量管理、标准管理、数据架构管理、生命周期管理、安全管理都为主数据管理对行内核心数据唯一性的维护奠定基础。
(六)元数据模块与其他七个模块都发生交互,它负责
记录其他数据管理领域的关键信息,为其余七项管理工作提供基础支撑。
第四章数据应用管理
第一节数据基础平台管理
第四十六条数据基础平台是面向业务分析和管理决策提供的工具支持,可支持复杂的信息检索及快速在线访问,可处理大量数据。数据基础平台是各项数据应用的技术工具支撑。
第四十七条数据基础平台的内容包括数据仓库、数据集市、操作型数据存储ODS、ETL等。从数据采集的路径上划分,数据仓库或ODS的数据来源于各类业务系统及外部数据,数据集市的数据来源于数据仓库或ODS,并由数据集市向各类分析类应用供数。
第四十八条数据基础平台管理工作包括:
(一)数据基础平台的建设和维护。
(二)按照应用与技术规划要求,从企业数据架构和数据标准落地的角度,规划和建设数据基础平台,保障数据基础平台建设满足数据应用的需要。
第二节数据应用
第四十九条数据应用是基于全行统一及分散的数据存储和应用类系统,提供数据查询、报表定制、数据分析与深入探索等数据支持与运用服务,发挥数据资产价值。数据应用的水平代表了企业数据运用和服务的水平。
第五十条数据应用的内容包括监管报表、管理报表等报表应用、KPI管理仪表盘、数据查询和业务领域专项分析类应用等。
第五十一条数据应用管理工作包括:
(一)协调数据标准、数据质量管理等工作在各系统中
的落实,并为各系统新建和改造提供数据管理支持。
(二)应用系统和报表技术平台的建设和维护。
第三节数据需求与规划管理
第五十二条数据需求与规划管理是统筹数据应用建设,搭建全行统一的数据需求入口,使用统一的指标统计口径,并实现全行各类报表全生命周期管理的管控活动,为数据应用和数据基础平台运作创造良好环境。
第五十三条该领域涵盖需求管理、应用与技术规划、报表生命周期管理以及指标体系管理四个方面。
(一)数据需求包括数据查询、报表制定、数据分析等数据服务需求,数据仓库、数据应用系统等数据密切相关系统建设需求,以及源系统建设需求中数据相关部分等内容。
(二)应用与技术规划是指梳理行内应用系统关系,从整体把握全行业务重点和未来机会,统筹规划全行应用系统建
设。
(三)报表生命周期管理是对全行报表全生命周期进行统一管理,涵盖报表需求收集、拆分、整合、审核、生成、跟踪维护及退出等。
(四)指标体系管理是面向全行绩效分析、财务管理、风险管理、经营决策等领域的指标口径进行梳理、定义、统一、维护的管理活动。
第五章附则
第五十四条本办法由信息科技管理委员会批准,信息科技部负责制定、修订和解释。
第五十五条各部门应根据本办法制定并完善相关操作管理规章制度,报经数据管理决策层审批通过后负责组织落实。
个人信用信息基础数据库数据(金融机构)用户管理办法
个人信用信息基础数据库数据金融机构用户管理办法(暂行) 一总则 第一条为了保障个人信用信息基础数据库(以下简称“系统”)的数据安全,保证系统的正常运行,规范系统中各级用户的管理,制定本办法。 第二条征信服务中心负责系统的日常运行和维护。 第三条金融机构及其分支机构应分别指定专人负责系统用户管理、数据上报及信息查询。 第四条系统各级用户的权限划分、创建以及管理等应当严格遵守本办法的规定。 二用户种类及其权限 第五条系统采用多级用户体系,用户分为各级用户管理员和普通用户两种。 第六条金融机构的用户角色和权限。 (一)用户管理员:负责管理同级普通用户和下一级用户管理员,具体是:新建用户、修改用户资料和权限、查询用户信息、停用/启用用户、重置用户密码、下级机构权限维护。 (二)普通用户:分为信息查询员和数据上报员,分别负责个人信用信息查询和对人民银行的数据上报。 1、信息查询员:单笔信用报告查询;修改登录密码;查看
自己的基本资料和权限。 2、数据上报员:报文预处理;报文报送;报文上报情况查询;修改登录密码;查看自己的基本资料和权限。 三用户的职责 第七条金融机构的各级用户管理员应严格按照相关规定进行操作。不得随意增加或删除用户的权限,不得随意修改用户的基本信息。对创建的所有用户都应登记造册,以备征信服务中心检查。 第八条金融机构的数据上报员应按征信服务中心要求及时、准确、全面地上报本行的数据。 第九条信息查询员由金融机构负责个人贷款、贷记卡和准贷记卡审核、风险管理的业务和管理人员担任。 第十条金融机构要保存与查询目的相关的原始文档,人民银行征信管理部门有权对各行查询的合法、合规性进行检查。 第十一条金融机构是否有查询行为以个人信用信息基础数据库中的查询记录为准。 四用户的创建 第十二条各级用户的创建规则。 金融机构的总部级用户管理员负责创建总部的普通用户和直属下级机构的用户管理员,以此类推。 第十三条金融机构根据工作需要,需新增总部级用户管理员时,应先向征信服务中心提出书面申请,征信服务中心根据需
信息安全事故管理办法
信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。
第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应
中国人民银行信息安全管理规定
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风 险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华 人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系 统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关 的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主 管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个 人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其 他外部机构和个人均应遵守本规定。 第二章组织保障
第六条各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员,实行 A、B 岗制度;地(市) 中心支行和县(市)支行设立信息安全管理岗位。 第八条除科技部门外,各单位其他部门均应指定至少一名部门计 算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息 安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定 受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管 理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核 合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。
XX银行数据标准管理办法
XX数据标准管理办法 第一章总则 第一条为规范我行数据标准管理工作,明确管理职责,推动数据标准在业务领域和技术领域的应用,提高我行整体业务运行和管理效率,提升IT实施能力,特制定本办法。 第二条本办法适用于我行及分支机构所有与数据标准有关的管理活动,包括数据标准的制定、评审、发布、执行、变更及复审等工作。 第三条本办法所称数据标准,是指针对我行各种重要数据制定的规范性文件,以确保这些重要数据在全行内外共同使用和交换中的一致性和准确性,是实施数据治理、提升数据质量的重要基础。 第四条本办法所称重要数据,是指我行跨业务部门或跨系统多处使用的数据。 第五条数据标准按照数据加工程度划分为基础类数据标准和分析类数据标准两大类型,本办法主要针对基础类数据标准。 第六条本办法所称基础类数据,是指日常业务开展过程中所产生的具有共同业务特征的基础性数据,可进一步划分为不同的数据主题,包括客户、产品、协议、交易、资产、财务、
地址、组织、渠道、营销十个数据主题。 第七条数据标准内容可以划分为业务和技术两部分: (一)业务规范是指从业务层面对数据的统一定义,包括数据项的业务涵义和数据项处理加工的业务规则等; (二)技术规范是指从技术实现层面对数据的统一规范和定义,包括字段长度、数据格式等。 第八条XX银行数据标准制定遵循以下原则: (一)以业务为导向。基于我行实际业务情况制定数据标准,并根据业务需求分阶段推进制定工作。 (二)全面性及完整性。数据标准立足于我行整体业务架构,覆盖未来所有经营范围内的相关业务。 (三)前瞻性及科学性。既满足现阶段业务需求,更应结合国内外先进经验,考虑未来我行业务类型逐步发展所带来的数据标准需求。 (四)遵循外部标准。充分遵循各类成熟的外部标准,并按照国家标准/国际标准、金融行业标准、监管报送要求的顺序进行采纳。 第九条我行数据标准信息项及代码的选择遵循以下准入原则: (一)已有的内外部成文规范纳入数据标准,包括:行业、国家或国际组织正式发布的数据标准;监管部门管理指引、监管统计规范等已经明确提出要求的相关数据规范;行内
信息安全事件报告和处置管理制度.doc
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。
银行监管统计数据质量管理良好标准
银行监管统计数据质量管理良好标准(试行)银监发〔2011〕63 号 本标准适用范围为根据《银行业监管统计管理暂行办法》 ( 2004 年第 6 号主席令)开展监管统计工作的全部银行业金融机构(下文简称“银行”)。标准的总体框架包含 5 方面要素,分别为:组织机构及人员,制度建设,系统保障和数据标准,数据质量的监控、检查与评价,数据的报送、应用和存储。 5 方面要素下共有 15 项原则,每项原则下有若干具体标准,共 61 条标准。 (一)组织机构及人员 原则 1 组织领导 银行董事会和高级管理层高度重视并积极推动本行数据质量管理和监管统计工作,明确政策和目标,建立机制和流程,落实各环节责任。 具体标准: 1 . 1 银行董事会制定明确的政策,将本行数据质量管理纳入内控合规体系和战略规划之中,并定期对其有效性和执行情况进行评估。 1 . 2 银行高级管理层确立数据质量管理的目标,建立机制和流程,明确职权和责任,定期对本行数据质量管理水平进行评估,并有效落实数据质量问责制。 1 . 3 银行法定代表人或主要负责人对本行监管统计数据的真实性负责,亲自或委派领导班子成员(以下简称“主管领导” ) 组织领导监管统计工作,对制度性变革等重大监管统计事项能够及时研究部署,在资源调配方面予以充分支持和保障。 原则 2 归口管理 银行对监管统计工作实行统一管理、分级负责的管理体制,确定归口管理部门组织管理本机构的监管统计工作。具体标准: 2 . 1 银行总行确定监管统计归口管理部门,授权其负责全行监管统计领导、组织、协调和管理工作。 2 . 2 总行归口管理部门根据授权负责制定全行监管统计工作制度和流程,提出监管统计数据质量管理措施,协调和督促其他相关业务部门,共同做好监管统计工作,定期检查并发现监管统计数据质量存在的问题,提出合理化建议,向主管领导报告。 2 . 3 银行各级分支机构确定相应的归口管理部门,负责本级机构监管统计工作,在总行归口管理部门统一领导下,有效履行监管统计相关职责。 原则 3 岗位设置 银行在监管统计归口管理部门和其他相关业务部门设立相应的监管统计岗位,岗位职责明确,并配备能满足岗位履职所需的资源。具体标准: 3 . 1 银行在监管统计归口管理部门设立与本行业务规模和复杂程度相适应的、满足监管统计工作需要的监管统计专职岗位。 3 . 2 银行在其他监管统计相关业务部门设立与其部门业务规模和复杂程度相适应的、满足监管统计工作需要的监管统计专职或兼职岗位。 3 . 3 银行对监管统计岗位的设置涵盖监管统计所有的工作任务和内容,分工明确,职责清晰,各岗位均设立 A 、 B 角。 3 . 4 银行对监管统计岗位的财务预算满足各岗位履职所需,包括设备、差旅、培训等支出。 3 . 5 银行监管统计岗位薪酬水平能够吸引和留住合格的工作人员,岗位设置能体现职业成长发展的良好通道。 原则 4 团队建设 银行建设一支满足监管统计工作需要的专业队伍,并建立有利于提高监管统计人员工作
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息数据安全管理制度
信息数据安全管理制度 随着医院信息化的发展,医院在用数据库不断增大,数据库内部关系也变的更加复杂,为保证医院数据库内部数据的完整性和严谨性,以及保证与财务报表的统一性,特制定《信息数据安全管理制度》。 1.医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、药品、材料、价格、费用等信息的数字化表现形式。 2.医院信息数据的安全性直接关系到医院决策和患者的利益,任何人在未经授权的情况下不得擅自改动和查询医院的信息数据。 3.信息数据故障原因主要有两种: ⑴系统升级、变更、数据库死锁、软件设计缺陷等系统原因引起的信息数据丢失、关联错误。对于以上原因引起的信息错误,经临床科室反映后,医学工程信息部人员及时做出调整和修改,以保证信息系统的正常运行。 ⑵人为的错记、漏记等原因引起的信息数据错误。对于以上原因引起的信息错误,经当事科室要求,确实需要修改数据,根据不同情况,按照以下规定进行修改: 患者性质属于自费、参考医保:请当事科室护士或者医生(建议由经手人)来医学工程信息部信息管理办公室详细
填写信息数据修改审批记录单,做好各项审批工作,并配合信息数据维护人员完成该项数据的修改工作。 ①患者性质属于医保、农保或惠民:在院病人参照①所示规定进行修改;出院病人则按照医保、农保、惠民政策的规定,经该病人所属辖管机构审批后方可进行修改,否则不予以修改,在取得审批同意书后再参照①所示规定执行。 ②如涉及跨月数据(所有病人),则必须先上报财务核算部,经过财务核算部审核同意后,方可遵照①、②所示规定进行修改;修改完成后,医学工程信息部应对修改结果形成书面报告,经医学工程信息部主任(副主任)签字确认后,再由当事科室将修改报告送至财务核算部,财务核算部收到报告后及时对该月报表进行调整。 ③医学工程信息部信息管理部门每月出具数据修改报表,交由各管理部门,方便各管理部门对我院的信息系统运行情况进行监管。 4.信息数据查询统计规定 ⑴因单位内部工作以及迎接检查等情况的需要,确实需要查询(统计)数据的,医学工程信息部人员可由相关部门提交申请单后,由医学工程信息部主任、副主任签字确认后对相关信息数据进行查询、统计以及调整。 ⑵公安、司法机关等公检法系统需查阅信息数据时,应出具采集证据的法定证明。
某银行数据管理办法
XX银行数据管理办法 第一章总则 第一条为了提高我行经营管理的信息化水平,贯彻执行数据管理体系规划,规范数据管理和具体实施流程,加强各级经营管理机构的数据管理和应用能力,树立和发挥数据的资产价值,特制定本办法。 第二条本办法适用于我行企业数据架构管理、数据标准管理、数据质量管理、主数据管理、元数据管理、数据安全管理、数据生命周期管理、数据基础平台管理、数据应用以及数据需求与规划管理共十项数据管理领域的管理活动。 第三条本办法所指数据是在我行经营管理和日常操作中通过计算机系统形成和存储的数据,可以分为内部数据和外部数据,内部数据指我行业务运营管理过程中产生的数据,外部数据指从我行以外的来源取得的数据。 第四条我行数据管理体系建设的总体方针如下: (一)提供可用、可信数据,打造可靠的应用基础。 (二)围绕数据应用、价值呈现推动数据管理建设。 (三)以高效的应用服务能力,支持全行业务发展和创新。
第五条本办法是指导全行数据管理活动的纲领,是建立、完善和落实数据管理体系的基础,我行数据管理制度和细则都应在本办法规定的基础上制定。 第二章组织与职责 第六条数据管理组织架构是通过建立与全行数据管理和应用工作相适应的组织机构和岗位,并明确各层级权责,保持内部沟通顺畅,确保全行数据管理战略的实施。我行数据管理组织的构成分为三个层次,自上而下划分为决策层、管理协调层以及执行层。 第七条数据管理决策层是全行数据管理的最高决策机构,由信息科技指导委员会、信息科技管理委员会组成。 信息科技指导委员会的主要职责包括: (一)审批全行数据管理整体方针和策略。 (二)定期听取信息科技管理委员会对数据管理工作的汇报。 信息科技管理委员会的主要职责包括: (一)审议数据战略目标和策略、体系规划、政策制度以及数据管理领域的重大事项。 (二)统筹资源,协调解决数据管理领域重大事项。 (三)对全行数据管理工作进行监督评价。
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
金融机构信息安全管理指引
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
数据安全管理制度及流程
数据安全管理制度及流程 数据安全管理制度: 1、在安装成功MySQL之后立即删除https://www.sodocs.net/doc/1c15231934.html,er表中除本地主机root帐户之外的全部帐户。 2、为服务器本地root账户设置一个复杂的密码,应同时包含字母和数字,并定期更换。开发用于连接数据库的账户必须单独建立,密码由运维主管掌握。 3、定期更新的数据库root账户密码会告知技术总监、数据库主管,其他人员需要了解root账户密码时,需要书面向技术总监提出申请,批准后可以获得密码。 4、每天定时为数据库做全局备份,并保存在非系统盘中。每天定时为数据库做异地备份,固定保存在局域网中其他安全的计算机中。 5、进行数据恢复前,需要由数据库管理员登记正式的、书面的数据恢复报告,并提交技术总监与数据主管批准。每次的数据恢复都应记录备案。数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。 6、进行数据物理删除前,需要由数据库管理员登记正式的、书面的数据清理报告,并提交技术总监与数据主管批准。每次的数据清理都应记录备案。 7、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。 数据库修改流程: 1、对数据库结构、数据库表或表字段进行修改前,由申请人向技术经理提交申
请,技术经理确认可以修改后,通过邮件向数据库主管提出申请。双方协商无误后,进行数据库修改。修改结束后,数据库主管通过邮件向技术经理说明处理细节及处理结果。 2、针对数据库图录数据的修改,均需通过产品经理向数据库主管提出邮件申请。双方确认申请无误后,进行数据库修改。修改结束后,数据库主管通过邮件向产品经理说明处理细节及处理结果。 3、业务部门提出的数据查询、统计、分析请求,需统一提交给产品经理,由产品经理确认可以提供后,向数据库主管发出邮件请求。数据库主管在数据库中处理后,将所需数据通过邮件发送给产品经理(如数据文件过大,将通过移动存储拷贝)。
银行业金融机构从业人员处罚信息管理办法
银行业金融机构从业人员处罚信息管理办法 第一章总则 第一条为加强银行业金融机构案防长效机制建设,强化银行业从业人员管理,增强从业人员职业道德和业务素质,规范从业人员受处罚(处分)信息(简称处罚信息)管理,根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》,制定本办法。 第二条本办法适用于中华人民共和国境内依法设立的银行业金融机构及其分支机构从业人员受处罚信息的收集、管理和使用。 中华人民共和国境内依法设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司、外资银行业金融机构以及经国务院银行业监督管理机构批准设立的其他金融机构参照适用本办法。 第三条本办法所称从业人员是指按照《中华人民共和国劳动合同法》规定,与银行业金融机构签订劳动合同的在岗人员,银行业金融机构董(理)事会成员、监事会成员及高级管理人员,以及银行业金融机构聘用或与劳务代理机构签订协议直接从事金融业务的其他人员(包括邮政代理人员)。 第四条本办法所称处罚信息是指银行业金融机构从业人员在执业过程中受到刑事处罚、行政处罚、党纪处分、内部处分及其他处罚等惩戒措施的信息。 第五条银行业金融机构应建立从业人员处罚信息管理制度,明确专门部门、专职人员负责处罚信息报送、申请查询和日常管理等工作。 第六条银监会根据工作需要,组织开发银行业金融机构从业人员处罚信息管理系统,收集、管理处罚信息并提供信息查询服务。 第二章信息报送 第七条处罚信息以银行业金融机构报送为主,并对所报送信息的真实性和准确性负
责。 (一)银行业金融机构应事先以聘用合同、员工守则等形式明确告知从业人员,如有违法违规违纪行为,其处罚信息将报送监管部门,并用于行业内共享。 (二)处罚由银行业金融机构内部做出的,处罚信息由做出处罚决定的机构报送;处罚由机构外部做出的,由受处罚人员被处罚行为发生时所在机构报送。 人事关系隶属总(分)行,但在下一级分支机构工作以及人事关系在分(支)行,但在总行或上一级机构工作的人员信息,均由该人员人事关系所在机构向银监会或其派出机构报送。 (三)银监会直接监管的银行业金融机构法人总部人员处罚信息向银监会报送;其余机构及分支机构人员处罚信息,均向所在地银监会派出机构报送。 (四)对于所在地无银监会派出机构的,应通过上级机构转报相应银行业监管机构。 (五)已离职从业人员的责任认定结果,由该人员离职前的任职机构向银监会或所在地派出机构报送。 第八条处罚信息主要包括:被处罚人姓名、证件号码、处罚机构名称、被处罚行为发生时所在机构名称、被处罚行为发生时岗位、职务、违法违规违纪基本事实、处罚依据、种类、期限以及有关更改信息等。 第九条银行业金融机构应按照“一人一事一报”的原则,于处罚决定生效后10个工作日内向银监会或其派出机构报送。从外部获取的处罚信息或处罚信息发生变化的,应在获知或信息变更后10个工作日内报送。 第三章信息使用 第十条银监会及其派出机构在审查银行业金融机构董事、高级管理人员、要害部门岗位人员任职资格时,须按照“谁受理谁查询”的原则查询从业人员处罚信息,并根据查询结果,依照有关规定决定是否予以核准或是否同意所备案事项。 第十一条处罚信息供银行业金融机构在人力资源管理中使用,银行业金融机构在招录人员时应向银监会或派出机构申请查询有关处罚信息。
数据安全管理规定
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有 特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 分发对象文档权限说明 XXX内部员工只读 2.文件版本信息 版本日期拟稿和修改说明 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版 本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等 有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或 信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据 管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和 非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配 置文件中的数据、配置信息等。
银行信息安全管理办法
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)
银行信息安全管理办法(试行)[2020年最新]
目录 总则 (2) 第一章组织保障 (2) 第一节信息安全管理人员 (3) 第二节网络管理员 (4) 第三节系统管理员 (4) 第四节一般计算机用户 (5) 第二章机房环境和设备资产管理 (6) 第一节机房安全管理 (6) 第二节柜面和核心业务处理环境安全管理 (7) 第三节设备资产管理 (7) 第三章网络安全管理 (8) 第一节网络规划、建设中的安全管理 (8) 第二节网络运行安全管理 (8) 第三节网间互联安全管理 (10) 第四节接入国际互联网管理 (10) 第四章计算机系统安全管理 (10) 第一节计算机系统开发与集成 (11) 第二节计算机系统运行 (11) 第三节业务操作 (12) 第四节计算机系统废止 (13) 第五章客户端安全管理 (13) 第六章信息安全保护 (14) 第一节使用管理 (14) 第七章文档、数据与密码应用安全管理 (14) 第一节技术文档 (14) 第二节存储介质 (15) 第三节数据安全 (15) 第四节口令密码 (16) 第五节密码技术应用管理 (16) 第八章信息通报、灾难备份与应急管理 (18) 第一节信息通报 (18) 第二节灾难备份管理 (18) 第三节应急管理 (19) 第九章安全监测、检查、评估与审计 (20) 第一节安全监测 (20) 第二节安全检查 (20) 第三节安全评估 (21) 第四节安全审计 (21) 第十章奖励与处罚 (22) 第十一章附则 (22)
银行信息安全管理办法(试行) 总则 为强化我行信息安全管理,防范计算机信息技术风险,保障(以 下简称我行)计算机网络与信息系统安全和稳定运行,根据《中华人 民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本办法。 第一条本规定所称信息安全管理,是指在我行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第二条我行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人 信息安全责任制。 第三条本规定适用于我行各部门、员工宿舍所有使用我行网络或 信息资源的个人均应遵守本办法。 第一章组织保障 第四条综合部下设信息安全保卫管理部,成立信息安全领导小组,全权负责协调本单位信息安全管理工作,决定本单位信息安全重大事宜。 组长:史亚萍
重大信息安全事件应急处置和报告制度通用版
管理制度编号:YTO-FS-PD418 重大信息安全事件应急处置和报告制 度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
重大信息安全事件应急处置和报告 制度通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 为预防和及时处置信息安全事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案 一、在公司领导的统一管理下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,保障用户利益,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。 二、网络部对互联网实施24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。若发现有上本网站人员异常行为应立即冻结该用户的权限,及时记录在案,情节严重时立即上报有关部门。
数据安全管理制度
数据安全管理规定 一.目的 1.1为了提高公司网络系统的安全性,最大限度的防止资料流失。特制定本制度 二.范围 2.1电子文档向外发送时遵循此规定。 三.定义 3.1 向外发送的数据:包括对外光盘的刻录,因工作需要向外发送的电子文件及通过其它途径传递的资料。 3.2有效数据:指工作所需的和各种文档,不包括音乐、影视、生活图片或其它与工作无关的文件。 四.权责 4.1 计算机使用:各部门经(副)理指定人员; 4.3 数据安全监管:人力资源部指定之人员; 五.作业内容 5.1 所有申请使用电脑办公的同事需经过人力资源部网络中心的相关培训,培训日期按年度培训计划执行。考核合格后,网络中心分配相应的电脑使用权限,准许使用电脑办公。 5.2 人力资源部根据办公系统的使用情况,将不定期的组织临时性的专项培训。 5.3公司对外的电子文档输出由人力资源部负责。包括刻录光盘,向外发送文件等。所有部门如有上述需要,请填写统一的<<申请单>>,经部门经理或直接上级审批后,由人力资源部相关岗位处理。 5.4 电子邮件的使用由操作员自己负责。网络中心在总经理同意后,有权在不发布公告时对电子邮件系统进行监控。 5.5除总经理批准或有特殊用途的电脑外,锁定所有电脑的USB接口,拆除或禁用软驱、光驱。 5.6除人力资源部指定岗位外,所有电脑禁止安装刻录机或相关设备。
5.7 除签订<<资料保密协议>>的同事外,未经事业部总经理同意,不得使用U盘、移动硬盘等设备,一经发现,立即没收。并记小过一次。 5.8 未经允许,员工不应将不属于公司的电脑整机或配件带入公司使用,也不允许接入公司网络系统。违者记大过一次。并对其设备进行检查,确认后归还给当事人。 5.9 所有的电脑操作员最多每6天向服务器备份一次有效数据。人力资源部指定岗位每月3日前必须将所有数据备份到光盘存档。具体备份方式另行通知。 5.10 在公司办公场所内需上网的同事请按正常程序申请,在学习公司的 <