企业网络数据安全管理规范.docxVIP

1

企业网络数据安全管理规范

1范围

本标准规定了企业网络数据安全管理的网络管理、作业区域管理、数据接触人员管理、数据保护等要求。

本标准适用于企业的网络信息安全管理。

2网络管理

2.1所有网络设备连接区域设置防火墙和路由器配置标准。

2.2催收作业区域、数据操作区域一律屏蔽外网。

2.3生产网和办公隔离：可连接网络电脑不可连接内网，可连接内网电脑不可连接外网，保证办公网和生产网不得相互访问。

3作业区域管理

3.1保证机房、数据中心、催收现场处于封闭式管理。

3.2前台工作人员：保证门禁使用，外来人员来访等级《访客登记表》，访客记录至少保留一年以上。

3.3机房管理人员：保证监控摄像清晰、正常使用，监控录像至少保存半年以上。

3.4机房管理人员：保证机房上锁，钥匙专人保管，进入人员需进行《机房出入登记表》登记。

4数据接触人员管理

4.1严格控制数据访问权限，数据接触人员只能访问其开展业务所需的系统和数据。

4.2管理员账号只可管理员访问，一般系统用户只能访问自己使用的账户资料。

4.3三个月维护一次系统的访问权限清单、修改管理员账号和密码。

4.4催收系统用户的数据导出等操作保留日志记录，数据库管理员的所有操作保留日志记录，日志记录保存至少两年，定期对日志记录进行审核并留审核记录。

5数据接触终端管理

5.1保证机房、供应链管理部、催收现场等涉及银行数据的电脑

5.2采取严格的管控措施，屏蔽USB接口，不得安装光驱及软驱等设备。如因业务需要必须使用USB接口的应及时汇报公司，并报备至银行信用卡中心。

5.3安装防病毒软件且及时更新病毒库，设置屏幕保护。

5.4数据接触终端的用户账户组应为USER组

6VPN数据管理

2

T/JMBXXXXX—2019

6.1VPN密码仅由数据中心指定专员保管使用，密码不得明文保存在纸面、电脑。

6.2数据专员离职或转岗，应立即停止该人员的所有权限，并及时通知银行信用卡中心更改VPN密码。

6.3数据专员使用专用电脑收发卡中心数据，数据接收后应立即导入系统，不得将原始数据流转多人直接使用。

6.4该计算机数据接触终端进行管理，互联网权限仅限于访问VPN。

6.5专用电脑放置在专用区域，摄像头监控。

7数据导入管理

数据由数据专员直接导入系统，总分机构催收人员仅能通过VPN访问催收系统使用数据。

8数据传输

公司总部与分公司间的数据传输需符合以下要求：

a)禁止向分公司提供银行委案资料，特殊情况下如需使用，须经总部负责人审核并留档b)审核记录；

c)使用企业邮箱传输数据；

d)数据传输前均需加密，可使用PGP软件加密或者压缩加密，密码长度不得小于8位数；e)密码和传输文件不得同时传输。

9数据保护

9.1应本着“必须知道”原则，对各个环节的数据进行保护。

9.2未经许可及员工业务必须知道之需要，数据中心不得向任何人提供涉及银行资料的数据信息。

9.3办公电脑上不允许存有任何有银行相关数据。

9.4对需要系统后台数据库储存的卡号、手机号码等敏感信息需进行加密。

9.5备份介质应存放在数据主管指定的电脑，任何人未经授权不得使用备份数据。

10数据使用

10.1未经各银行卡中心授权不得提取、使用信用卡持卡人相关信息用于其他用途。

10.2除供应链管理部根据银行需求享有通过系统调取或者数据库中提取数据之外，任何他人未经许可不享有使用主系统数据之权限。

10.3严格管理批量数据的提供和使用，数据只能发给直接使用人员，不得通过邮件群发、文件服务器共享等任何形式向无关人员提供批量数据。

10.4外访人员外方材料由指定数据专员打印，外方材料及时入库存档、有效保管。

11数据销毁

保证供应链管理部、催收作业电脑等，根据银行要求彻底删除所有存储的数据，包括办公计算机、文件服务器、系统数据库、备份介质等。

12政策与人员管理

3

12.1与接触卡中

心客户数据的所有人签署保密协议，就保密方面的责任与罚则进行约定。

12.2梳理信用卡数据相关的业务流程并根据数据的流转过程绘制流程图，明确各个环节的数据传输方式、数据保存期限、数据接触人员等。

12.3数据中心应开展安全教育培训工作，接触数据的员工上岗前应进行数据安全培训，确保了解岗位的操作规范、安全制度规范等。

_________________________________