消费金融股份公司电子化数据信息安全管理暂行办法模版.doc

1、*消费金融股份公司电子化数据信息安全管理暂行办法第一章 总 则第一条 为保障电子化数据信息安全使用，有效防范数据泄露风险，保障各类数据信息的安全，制定本管理办法。第二条 本办法所称的数据信息包括客户信息、账户信息、交易信息、统计信息等一系列与公司业务经营有关的信息和内部管理使用的各种数据文档、分析报告等一系列电子化数据文件，但不包括纸质载体的各种文件档案。数据信息安全是指数据信息在存储、提取、传输、使用过程中安全的集合，包括公司内部各部门之间、公司与外部其他单位之间的数据交换及使用的安全。第三条 遵循“谁使用、谁负责”、“授权使用”及“最小够用”的原则,数据信息的使用必须经过必要的授权，数据信

2、息的使用人为数据信息安全的责任人，数据信息应根据实际使用需要的最小范围进行获取，不得超需求范围获取数据信息或变相夸大数据信息的需求范围。第四条 数据信息的使用人应遵循最小知悉范围进行设置，与数据信息使用无关人员不得接触数据信息。第二章 组织保障第五条 运营管理部负责电子化数据信息安全的日常管理和执行，负责各类数据信息的收集保管、提取分发；负责对各类涉及数据信息的IT系统的用户权限管理；负责各IT系统数据库中相关数据的备份管理；负责网络设备等硬件设施的安全性及防数据泄露性管理；负责不定期对公司员工办公电脑中存放数据的情况进行安全性检查。第六条 运营管理部牵头负责制订及改进与数据信息安全相关的规章

3、制度，负责制订及改进公司内各部门间、公司与外部单位之间的数据交换及使用规则。运营管理部会同风险合规部确定及调整电子化数据信息的保密等级和授权使用审批权限。第三章 数据信息的保密等级分类第七条 根据数据信息的性质和重要程度，可对数据信息区分保密等级。依据不同保密等级将数据信息分为：1、公开数据指可公共访问和对外发布的信息，可向任何人公布的数据以及不涉及个人隐私权的数据。公开数据不会给公司造成商业损失、带来困境或有损商业声誉。2、内部数据指只供内部使用的信息资料，仅供公司员工或签署了相应保密协议的第三方人员使用的数据，任何对此类数据信息的非法访问、修改或删除可能会对企业内部的安全造成一定的影响，但

4、这种影响很小或者不显著，但不是严重的或不可恢复的。3、商业秘密数据指不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。商业秘密数据细分为三个等级：一级商业秘密、二级商业秘密、三级商业秘密。一级商业秘密(下简称一级商密)是公司最重要的保密信息，如果泄露将在全公司范围内造成巨大损害或直接危及公司利益。二级商业秘密(下简称二级商密)是公司内的重要保密信息，如果泄露将会对公司造成相当的损害或在某一地区或业务领域造成重大损害。三级商业秘密(下简称三级商密)是公司普通保密信息，符合公司商业秘密的最低要求。具体参见附件数据保密等级分类定义表。第四章 批量数据信息使用的

5、授权审批第八条 公司员工因工作需要，需要访问或提取各类数据信息的，凡涉及商业秘密数据的，须以日常事务审批的方式，明确使用目的、期限、范围、地点，经逐级审批授权后方可获取使用。涉及三级商密数据的，须报对应的公司总部主管审批同意；涉及二级及以上商密数据的，须报对应的公司总部部门总监审批同意。第九条 涉及商业秘密的数据信息原则上保存在公司指定的服务器上，员工在公司场地上使用公司提供的专用电脑进行使用。如需传输至员工个人办公电脑的，应事先审批。如需传输给外单位的，或保存至移动办公设备携带外出的，须报对应的公司总部部门总监审批同意，其中涉及一级商密数据的，还须报公司总裁审批同意。第十条 对于不涉及商业秘

6、密的数据信息的访问或提取，可以日常工作方式向运营管理部科技服务台提交申请，运营管理部负责安排提取。第十一条 对于国家司法机关、纪检监察单位、外部监管机构、内外部审计单位、其他有行政执法权的国家机关提出的数据信息使用要求，可由对口接待部门根据其书面通知，提出数据申请，运营管理部配合按其指定的方式提供。第五章 数据信息的获取及保管第十二条 公司各部门因业务需要从公司外部购买或各种形式获取到的各类数据的，若最终形成涉及商业秘密数据信息的，应会同运营管理部确定数据信息的获取和保存方案。第十三条 对从公司外部购买或各种形式获取的各类涉及商业秘密数据信息的管理，等同于公司自身在业务经营和日常管理中形成的商

7、业秘密数据。第十四条 涉及商业秘密的数据信息原则上保存在公司指定的服务器上，员工根据需要进行远程访问和查询。严禁在个人办公电脑上建立存储涉及商业秘密数据的数据库。第六章 数据信息的使用第十五条 运营管理部根据审批情况，提供指定的数据至特定位置供指定人员使用，严禁擅自扩大数据接收人员范围以及数据信息范围。第十六条 数据信息使用人员对所使用的数据信息承担安全管理的职责，在审批授权的范围内合理使用所获取的数据信息，负责所获取的数据信息的保管，严禁擅自对外传播和扩大数据接收人员范围。第十七条 坚持权随岗变的原则，若有人员离职或调岗，离职或调岗人员须明确其离岗后的保密义务，退还全部已获得的数据资料，其个

8、人使用的办公电脑应进行数据安全性检查及清理。第十八条 因工作需要获取的各类涉及商业秘密数据在本地保存期限原则上不应超过三个月，内部数据保存期限原则上不应超过六个月，到期应及时删除，严禁在个人办公电脑保留数据文件超过其使用期限。第十九条 各类涉及商业秘密数据信息的电脑设备不得接入互联网、不得转借他人使用。第二十条 公司员工向外部单位发送涉及商业秘密数据信息的，应严格注意数据交互过程的安全保密性。对方单位必须签署数据保密协议。交互的数据应加密。交互过程只能通过下列三种途径之一进行：（一）刻录成数据光盘进行交互，在交互过程中，相关部门至少要派出两位员工来进行该交互过程，并相互监督；（二）通过专线网络

9、或安全的服务器来进行数据交互，数据放置相关服务器后，应立即通知对方取数据，取完后，数据应立即删除。（三）如不具备数据光盘交互条件或通过专线网络服务器数据交互条件的，可以使用公司电子邮箱通过邮件加密方式来进行数据交互，邮件传输完毕后，双方应立即删除数据邮件。严禁未经允许向外单位发送数据的行为；严禁以其他途径向外单位发送数据的行为。第二十一条 原则上数据信息使用人须为公司员工。因特殊工作需要,安排公司以外的外部机构人员来公司协助处理或使用数据的，该外部机构应经公司审批并与公司建立正式的合作关系。外部机构派出的、可接触本公司数据的人员应为该外部机构的正式员工，并已向本公司签署保密承诺。外部机构派出人

10、员原则上应在本公司驻场使用公司提供的设备进行工作，公司应通过技术手段对外部机构人员的数据使用进行安全管控。提出引入外部机构或人员使用申请的部门应会同运营管理部不定期对外部机构及人员的日常数据使用情况进行监督检查。特殊情况下外部机构人员非驻公司场地工作的，负责引入外部机构人员的部门应会同运营管理部不定期安排实地检查，确定该外部机构有足以保护数据信息不被非正常使用的管理制度和技术手段。第七章 其 他第二十二条 公司员工须签署公司规定的数据信息保密协议。第二十三条 公司员工未遵循上述规定，导致数据信息泄露的，将追究其责任，扣罚绩效工资，取消年度评优资格。情节严重者将追究其法律责任。第二十四条 本办法

11、由运营管理部负责解释，自发布之日起生效。联系人：xxx附：数据保密等级分类定义表 *消费金融股份公司二一五年十一月二十六日数据保密等级分类定义表分类定义一级商密包含完整的客户姓名或客户证件号码，并包含客户联系地址、客户联系电话、各类用户密码任何一项要素所组合所构成的数据；完整的客户姓名及客户证件号码；贷款审批日志;二级商密包含完整的客户姓名或客户证件号码，并包含客户账户余额、发生额、客户账户利率、客户账户逾期情况、客户职业信息、客户工作单位、客户单位地址、贷款放/还款账号任何一项要素所组合构成的数据；贷款产品参数信息；三级商密包含完整的客户姓名或客户证件号码的其他客户信息；包含完整的客户姓名或客户证件号码的其他客户账户信息；公司自身财务科目余额、发生额；内部数据三年以内的公司各类业务分类汇总统计信息、客户经理业绩统计信息；未公开的公司各财务报表。公开数据除上述信息以外的各类信息说明：批量数据是指密级一至密级三，且记录条数在三十条及以上的数据。8