数据管理操作细则VIP

第一章总则为了数据安全管理工作，有效保护公司及客户的合法权益不受侵害，防范敏感数据泄露等安全隐患，保障数据信息的真实、完整、可用和安全，依据国家、监管机构及行业协会的相关法律法规，结合公司实际情况，特制定本操作细则。本规定适用于合作项目下，在创建、使用、流转、存储、销毁过程中产生的电子、纸质或其他形式存在的底层资产数据（以下简称“数据”）信息，包括对数据信息的管理及披露。数据信息包含但不限于下列内容：客户相关信息,包括:1.自然人客户信息和法人及非法人组织客户信息，比如客户基本信息、账户信息、交易信息、财务信息等。2.为了建设评分模型及风险控制需要，通过从合作机构接入的底层客户信息，调用第三方数据接口而返回的客户相关的工商、诉讼、舆情、反欺诈、运营商数据、历史逾期、税务、发票等补充信息。3.其他客户相关信息。（二）业务相关信息，包括:1.底层资产涉及放款、还款计划、实还流水、回购信息、与实际业务相关的场景信息、押品及设备信息；根据评审会批准方案要求、风控审核要求或者实际运营要求接入的其他业务相关信息。2.从通道方（银行/信托等）或者助贷机构接入的支付流水信息等。3.其他业务相关信息。（三）风控运营指标信息：对接收的底层资产数据信息，经过加工计算形成的风控运营指标等。数据管理遵循“谁管理，谁负责，谁使用，谁负责”的原则。第二章部门职责XX部门是客户相关信息、业务相关信息和风控运营指标信息的数据归口管理部门，主要职责包括：（一）系统功能层面,负责提出系统安全需求，对客户敏感信息提出加密或脱敏需求，保护客户信息不被泄露。（二）系统功能层面，对底层资产数据信息的显示、下载等提出需求。（三）对数据的使用及权限管理进行初步授权，经xx岗批准后可最终授权使用。信息部是系统相关数据管理的归口管理部门，是系统相关数据管理的第一责任人，主要职责包括：牵头制定系统数据管理等操作细则。负责数据在系统间的安全传输及储存工作，有效管理数据。在授权下，负责提取数据并按要求进行变形处理，提交给数据使用者。负责系统数据使用完毕后的清理。信息部负责系统基础设施、网络安全等技术规范及安全管理措施的落实。数据使用部门主要职责包括：按照系统设置的功能权限合理使用数据。如系统功能不能满足业务需要时，根据本细则第六章规定提交数据使用需求。负责在管辖范围内对所使用的数据进行安全保管。数据使用完毕后对数据进行销毁。第三章数据创建数据主要通过日常业务开展操作及系统对接方式进行传输及创建。在涉及系统与合作机构网络连接时，应采用可靠的连接策略及技术手段，实现彼此有效隔离。对通讯数据需保证保密性和完整性，涉密信息应进行加密处理。与外部单位信息交换时需采用国家和行业在信息交换协议、策略、密钥等方面的标准。1.通信完整性是指应采用密码技术保证通讯过程中数据的完整性。2.通信保密性是指在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证，并通信过程中的整个报文或会话过程进行加密。如果以批量文件传输方式进行系统对接时，要求使用SFTP(SecureFileTransferProtocol)进行传输。在项目承做前，给合作机构开通相关账户权限，并在项目结束时，及时关闭账户权限。如果以实时API接口传输方式进行系统对接时，要求采用必要的认证和鉴权、加密和签名等手段保证数据的完整性和保密性。第四章数据管理数据管理主要是指数据在系统中的管理。信息部员工需要签署《信息安全保密承诺书》。系统应加强网络安全、访问控制、病毒防护工作，及时更新防病毒软件，发现并处理异常情况。主动发现和有效阻止恶意代码传播。系统交付时要进行安全验收。系统设计必须在身份验证、操作类别控制、用户管理、口令管理、加密处理、数据安全审计、系统校验等方面，符合国家和公司有关软件开发管理的规定。系统应制定完整备份策略。备份数据应定期进行有效性检查及监控，确保备份内容的正确性和完整性。数据库应根据用户访问权限进行数据加密，开发、测试环境中原则上不得使用生产环境数据。系统数据不得随意修改或删除。如系统运维岗在系统运维中需要对数据修改或删除，应根据公司运营管理相关制度执行。运维后结果需得到需求部门的确认。系统运维岗不得将数据管理用户交与他人使用。系统运维岗应在授权范围内操作，未经审批不得擅自超越授权权限，尤其不得登陆数据库对生产数据进行直接操作。信息部应按照公司相关制度对软件系统服务商进行管理。软件系统服务商需要签署保密协议，软件系统服务商派遣的服务人员需要签署《信息安全保密承诺书》。第五章数据的披露与审批数据披露分为对内披露及对外披露。对内披露是指在公司内部使用数据。数据已在系统中存储的，通过系统设置权限查看或下载数据。如果系统没有相应功能，可通过本章要求提出数据提取申请，审批通过后，方可使用。数据使用者需要提取数据时，须提起《系统需求处理单》，详细填写所申请数据的内容、使用目的、使用环境、使用起止期限以及脱敏或加密要求等。申请填写完毕，由数据使用部门、信息部部、数据归口部门负责人审核，由系统运维岗按照要求，予以提数。数据必须用于明确规定的目的，提取的数据范围应与规定用途相符，不得超越批准范围。数据分析人员如因为工作需要经常性访问系统数据库，进行数据分析挖掘，应按照第二十三规定提出需求，审批通过后，根据访问权限开通系统账号。数据分析人员不得将账号分享他人使用。同时数据分析人员需要签署《信息安全保密承诺书》。对外披露是指向公司以外的机构或个人披露数据。原则上数据在对外披露时，需要得到客户的授权。申请部门经办人员在OA系统提交《系统需求处理单》，详细填写所申请数据的内容、使用目的、使用环境、使用起止期限、对外披露的机构、脱敏或加密要求等。申请填写完毕，由申请部门、信息部、数据归口部门负责人审核，法务部（以下简称“法务部”）判断是否允许对外披露，经审批后，由系统运维岗按照要求，予以提数。第六章其他情况数据使用部门如通过非系统对接方式从第三方机构接收数据，应及时将数据备份，对数据文件进行加密处理，并及时将业务数据上传到系统存储。上传系统前，由数据使用部门负责保管数据。第七章数据销毁要求系统需要销毁的数据，信息部应按照信息管理部或运营维护管理相关制度要求，在OA系统发起《需求处理单》，经过批准后，方可对数据进行销毁。所有确认不再需要使用的存储了数据的电子介质，应及时清除数据并销毁介质。包含数据的纸张在废弃时（如复印效果差，或打印未完成），应使用