数据管理操作细则
IT项目管理 数据时代
数据管理操作细则
IT项目管理 数据时代

数据管理操作细则

数据管理操作细则插图

数据信息管理操作细则

第一章  总则

  • 为了数据安全管理工作,有效保护公司及客户的

合法权益不受侵害,防范敏感数据泄露等安全隐患,保障数据信息的真实、完整、可用和安全,依据国家、监管机构及行业协会的相关法律法规,结合公司实际情况,特制定本操作细则。

本规定适用于合作项目下,在创建、使用、流转、存储、销毁过程中产生的电子、纸质或其他形式存在的底层资产数据(以下简称“数据”)信息,包括对数据信息的管理及披露。数据信息包含但不限于下列内容:

(一)客户相关信息,包括:

  • 自然人客户信息和法人及非法人组织客户信息,比如客户基本信息、账户信息、交易信息、财务信息等。
  • 为了建设评分模型及风险控制需要,通过从合作机构接入的底层客户信息,调用第三方数据接口而返回的客户相关的工商、诉讼、舆情、反欺诈、运营商数据、历史逾期、税务、发票等补充信息。
  • 其他客户相关信息。

(二)业务相关信息,包括:

  • 底层资产涉及放款、还款计划、实还流水、回购信息、与实际业务相关的场景信息、押品及设备信息;根据评审会批准方案要求、风控审核要求或者实际运营要求接入的其他业务相关信息。
  • 从通道方(银行/信托等)或者助贷机构接入的支付流水信息等。
  • 其他业务相关信息。

(三)风控运营指标信息:对接收的底层资产数据信息,经过加工计算形成的风控运营指标等。

  • 数据管理遵循“谁管理,谁负责,谁使用,谁负责”的原则。

第二章  部门职责

  • XX部门是客户相关信息、业务相关信息和风控运营指标信息的数据归口管理部门,主要职责包括:

(一)系统功能层面,负责提出系统安全需求,对客户敏感信息提出加密或脱敏需求,保护客户信息不被泄露。

(二)系统功能层面,对底层资产数据信息的显示、下载等提出需求。

(三)对数据的使用及权限管理进行初步授权,经xx岗批准后可最终授权使用。

  • 信息部是系统相关数据管理的归口管理部门,是系统相关数据管理的第一责任人,主要职责包括:牵头制定系统数据管理等操作细则。负责数据在系统间的安全传输及储存工作,有效管理数据。在授权下,负责提取数据并按要求进行变形处理,提交给数据使用者。负责系统数据使用完毕后的清理。信息部负责系统基础设施、网络安全等技术规范及安全管理措施的落实。

数据使用部门主要职责包括:

  • 按照系统设置的功能权限合理使用数据。
  • 如系统功能不能满足业务需要时,根据本细则第六章规定提交数据使用需求。
  • 负责在管辖范围内对所使用的数据进行安全保管。
  • 数据使用完毕后对数据进行销毁。

第三章  数据创建

  • 数据主要通过日常业务开展操作及系统对接方式进行传输及创建。
  • 在涉及系统与合作机构网络连接时,应采用可靠的连接策略及技术手段,实现彼此有效隔离。对通讯数据需保证保密性和完整性,涉密信息应进行加密处理。与外部单位信息交换时需采用国家和行业在信息交换协议、策略、密钥等方面的标准。
  • 通信完整性是指应采用密码技术保证通讯过程中数据的完整性。
  • 通信保密性是指在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证,并通信过程中的整个报文或会话过程进行加密。
  • 如果以批量文件传输方式进行系统对接时,要求使用SFTP(Secure File Transfer Protocol)进行传输。在项目承做前,给合作机构开通相关账户权限,并在项目结束时,及时关闭账户权限。
  • 如果以实时API接口传输方式进行系统对接时,要求采用必要的认证和鉴权、加密和签名等手段保证数据的完整性和保密性。

第四章  数据管理

  • 数据管理主要是指数据在系统中的管理。信息部员工需要签署《信息安全保密承诺书》。
  • 系统应加强网络安全、访问控制、病毒防护工作,及时更新防病毒软件,发现并处理异常情况。主动发现和有效阻止恶意代码传播。系统交付时要进行安全验收。
  • 系统设计必须在身份验证、操作类别控制、用户管理、口令管理、加密处理、数据安全审计、系统校验等方面,符合国家和公司有关软件开发管理的规定。
  • 系统应制定完整备份策略。备份数据应定期进行有效性检查及监控,确保备份内容的正确性和完整性。
  • 数据库应根据用户访问权限进行数据加密,开发、测试环境中原则上不得使用生产环境数据。
  • 系统数据不得随意修改或删除。如系统运维岗在系统运维中需要对数据修改或删除,应根据公司运营管理相关制度执行。运维后结果需得到需求部门的确认。
  • 系统运维岗不得将数据管理用户交与他人使用。
  • 系统运维岗应在授权范围内操作,未经审批不得擅自超越授权权限,尤其不得登陆数据库对生产数据进行直接操作。
  • 信息部应按照公司相关制度对软件系统服务商进行管理。软件系统服务商需要签署保密协议,软件系统服务商派遣的服务人员需要签署《信息安全保密承诺书》。

第五章  数据的披露与审批

  • 数据披露分为对内披露及对外披露。对内披露是指在公司内部使用数据。数据已在系统中存储的,通过系统设置权限查看或下载数据。如果系统没有相应功能,可通过本章要求提出数据提取申请,审批通过后,方可使用。
  • 数据使用者需要提取数据时,须提起《系统需求处理单》,详细填写所申请数据的内容、使用目的、使用环境、使用起止期限以及脱敏或加密要求等。申请填写完毕,由数据使用部门、信息部部、数据归口部门负责人审核,由系统运维岗按照要求,予以提数。数据必须用于明确规定的目的,提取的数据范围应与规定用途相符,不得超越批准范围。
  • 数据分析人员如因为工作需要经常性访问系统数据库,进行数据分析挖掘,应按照第二十三规定提出需求,审批通过后,根据访问权限开通系统账号。数据分析人员不得将账号分享他人使用。同时数据分析人员需要签署《信息安全保密承诺书》。
  • 对外披露是指向公司以外的机构或个人披露数据。原则上数据在对外披露时,需要得到客户的授权。申请部门经办人员在OA系统提交《系统需求处理单》,详细填写所申请数据的内容、使用目的、使用环境、使用起止期限、对外披露的机构、脱敏或加密要求等。申请填写完毕,由申请部门、信息部、数据归口部门负责人审核,法务部(以下简称“法务部”)判断是否允许对外披露,经审批后,由系统运维岗按照要求,予以提数。

  • 第六章  其他情况

    • 数据使用部门如通过非系统对接方式从第三方机构接收数据,应及时将数据备份,对数据文件进行加密处理,并及时将业务数据上传到系统存储。上传系统前,由数据使用部门负责保管数据。

    第七章  数据销毁要求

    • 系统需要销毁的数据,信息部应按照信息

    管理部或运营维护管理相关制度要求,在OA系统发起《需求处理单》,经过批准后,方可对数据进行销毁。

    • 所有确认不再需要使用的存储了数据的电子介质,应及时清除数据并销毁介质。
    • 包含数据的纸张在废弃时(如复印效果差,或打印未完成),应使用碎纸机销毁。
    • 包含数据的电子邮件在删除时,应注意清除回收站和邮件的垃圾箱。

    第八章  违规责任

    • 如员工在工作中未遵守国家法律法规及公司各项规定,责任人须承担相应的违规责任。

    第九章 附则

    • 本办法未列名事项参照公司或信息管理相关规定执行。
    • 本办法自颁布之日起执行,由信息部负责解释、修订。