商业银行数据安全管理标准规范.docVIP

商业银行数据安全管理规范 总则 本管理规范定义了XXXX商业银行数据安全管理方面的相关要求。 本规范适用范围为涉及维护XXXX商业银行各类数据的安全管理员、系统管理员和业务管理员。 XXXX商业银行的所有员工必须遵照数据安全管理规范，科技科加强管理，防止数据管理存在安全问题。如由于未遵循以上规范导致出现数据安全问题，相关部门和人员负有责任。 本标准由XXXX商业银行科技科发布，对标准具有解释、增加和修改的权力。本规范自下发之日起正式执行。 系统数据安全 XXXX商业银行系统数据指XXXX商业银行中设备和系统的各种配置数据，如权限设置、存储分配、网络地址、硬件配置及其它系统配置参数等。 应制定系统数据管理制度，对系统数据实行严格的安全与保密管理。系统数据管理制度应遵循以下原则： 重要的系统数据应实施严格的安全保密管理，参见本规范“数据保密”小节。 对系统数据的操作应经过严格的身份鉴别与权限控制，防止非授权操作。 应采取有效措施防止系统数据的非法生成、变更、泄漏、丢失与破坏。 系统数据应进行核对审查，防止使用过程中产生误操作或被非法篡改。 系统数据的备份和恢复应符合本规范“数据备份和恢复”小节的要求。 对系统数据应实行专人管理。 业务数据安全 业务数据主要包括XXXX商业银行上各业务系统的用户数据、业务数据、统计数据及其它相关数据。 各个业务管理部门应遵循以下原则制定具体的业务数据安全管理规定： 重要的业务数据应实施严格的安全保密管理，参见本规范“数据保密”小节。 业务数据在系统中的保存时间应有最低限制。 业务数据应进行核对审查，防止使用过程中产生误操作或被非法篡改。 业务数据应及时、完整、真实、准确地转储到不可更改的介质上，并规定保存期限。 业务数据的备份和恢复应符合本规范“数据备份和恢复”小节的要求。 对业务数据应实行专人管理。 数据备份与恢复 XXXX商业银行相关数据的备份与恢复应遵循： 数据备份媒介应采用性能可靠、不宜损坏的介质，如磁带、光盘等。 XXXX商业银行中的网络设备和主机系统的配置信息在每次更新后及时备份，更新前的备份按需要保存一定时间。 XXXX商业银行中的网络设备和主机系统的数据库信息应进行备份。对重要数据应做到定期全备份和增量备份，并配备可靠的备份设备。 备份数据应进行检查，以保证其有效性和可用性。 备份数据的物理介质应注明数据的来源、备份日期、恢复步骤等信息，并置于安全环境保管。 备份数据的恢复需经主管人员签字认可后，方可进行。 过期的备份数据应经主管人员认可后，方可销毁。 数据保密 XXXX商业银行数据保密的范围包括XXXX商业银行网络组织、系统软件、业务数据及用户数据等重要数据，另外还包括XXXX商业银行为生产通信、科研通信、办公通信、机要通信、党政专用通信提供的通信手段及保障措施。 XXXX商业银行维护和管理人员都应熟悉并严格遵守和执行本办法的以下安全保密规定： 保密数据应仅用于明确规定的目的，未经批准不得它用。 保密数据的多个副本应编号保存，防止丢失；保密数据以电子形式存在时，应尽量避免以明码形式存储和传输。 机密资料不得抄录影印或对外泄露。 无正当理由和有关批准手续，不得查阅用户资料。经正式批件查阅数据时应登记，并由查阅人签字。 各级有关部门应根据数据的保密规定和用途，确定各类保密数据使用人员的存取权限、存取方式和审批手续。