中国银行客户数据分析与应用管理办法

中国银行客户数据分析与应用管理办法2010年11月第7页总则为规范我行客户数据的管理，确保数据在下载、传输、存储和应用等各环节的安全性及有效性，特制定本办法。我行客户数据分析与应用活动，是借助多种数据分析技术，针对客户信息或交易信息进行数据挖掘和分析，为各级分行、支行的客户维护、客户拓展、渠道优化以及营销策划等工作提供所需的数据分析结果。各省行成立数据分析与应用项目组，负责分行、支行金融数据的申请、接收、分析；分析结果供各级分行、支行的业务管理、市场营销、风险合规等相关人员使用，不适用于为司法查询、行政诉讼、客户对账等提供数据。总行信息技术局负责我行客户管理所需数据的下载、分析和开发。省行营销中心负责我行业务数据分析及管理；负责收集汇总各市行金融数据下载系统数据申请。各市行营销中心负责本市我行代理业务数据分析、管理及应用；负责收集汇总本市行金融数据下载系统数据申请及上报。数据范围和内容数据范围包括储蓄卡、国际金融、代理保险、代理基金、代理国债、个人理财等各种业务数据和各类网点收入数据。数据内容包含我行的客户信息、产品信息、经营信息、机构信息及员工信息等基础数据和汇总数据。客户信息包括：客户个人信息、客户账户信息、客户资产信息、客户交易信息及其他与客户相关信息。产品信息包括：产品名称、产品描述、产品编号、产品生命周期等信息。经营信息包括：业务量信息、业务收入信息、成本费用信息及其他相关经营信息。机构信息包括：网点的相关信息。员工信息包括：各级分行、支行业务管理人员以及网点的支行长、综合柜员、普通柜员的相关信息。数据分析使用要求数据分析使用是指各省行或各市分行、支行对本地数据进行日常的分析及分析结果运用。数据分析工作由各省行数据分析与应用项目组负责。各省行数据分析与应用项目组根据各市行提出的需求进行数据分析，并将数据分析结果以安全的传送方式反馈给各市行，同时对数据分析和数据使用情况进行严格登记。必须对数据分析结果中的敏感信息进行特殊处理，其中，客户的证件号码、账号（卡号）等必须部分屏蔽；客户的联系方式、地址、出生日期等个人信息，仅限于客户经理开展营销活动使用。数据分析人员和数据使用人员应妥当保管所掌握数据，防止数据丢失或者被盗。不得将本人使用数据的权限、设备提供他人使用。一旦发生数据丢失或被盗，应及时向单位主管领导报告；造成后果的，应承担相应责任。

数据分析人员和数据使用人员在调岗或离职前，须在主管部门监督下将个人存储的电子、纸质等形式的相关数据按要求进行登记移交或销毁。数据安全的技术要求数据的信息安全等级保护应不低于营业系统信息安全等级保护要求。各级分行、支行部署数据下载系统应满足以下安全防护要求：本系统部署在具有防盗、防雷、防火、防水、防潮、防静电、防鼠、温湿度控制及视频监控等基础设施的机房内。机房面积各省应因地制宜，以满足金融数据下载系统设备安装、维护和管理的需要。采取严格的网络防护措施。禁止外网访问本系统，内网访问本系统应至少经过一道防火墙。访问本系统的终端设备IP范围应严格限定，终端设备应使用SSH、VPN、SSL、HTTPS等可信通道和安全协议访问本系统。各级分行、支行应建立相对独立的数据分析区，分析区网络单独部署，不得访问互联网，不得使用无线路由器、拨号MODEM等设备，以防止数据外泄。客户的证件号码、账号、余额等敏感信息，不允许存储在数据分析区以外的设备上。各级信息技术部门应配备相应的的系统管理员和系统监控员负责本系统的日常管理，且人员须相对固定。应对系统管理员和系统监控员进行安全意识教育、岗位技能培训和相关安全技术培训，按照关键要害岗位的要求对其岗位技能、岗位纪律、风险意识、思想道德、安全保密履职情况等方面进行考核。用户及权限管理数据下载系统用户及密码管理可在本系统中设置相应权限的用户，用于查询和统计，所有用户权限设置应严格遵循“最小授权”原则。系统管理员要定期维护用户及其权限。用户变更前，应履行审批手续。变更后，系统管理员应及时更新用户清单和用户变更明细。本系统超级用户、数据库用户密码应双人分段保管，同时比照营业系统用户密码要求从严管理。本系统超级用户、数据库用户的所有操作行为必须留下不可变更的记录。系统配置、数据和参数调整必须履行审批手续，所有操作须由系统管理员双人进行，其中一人负责操作，另外一人负责现场复核。数据使用权限管理省级业务管理人员有权使用与其工作岗位相关联的网点的数据，要严格遵循“最小授权”原则。市级业务管理人员有权使用与其工作岗位相关联的本市网点的数据，要严格遵循“最小授权”原则。县级业务管理人员有权使用与其工作岗位相关联的本县网点的数据，要严格遵循“最小授权”原则。网点负责人有权使用本网点的所有数据。备份及介质管理应制定数据备份及恢复策略，确保在数据受到破坏的情况下，能够尽快地进行数据恢复。数据备份的磁带、光盘等移动介质应存放于保险柜内。除进行数据备份外，不得拷贝下载系统数据。确因工作需要，经省级机构主管领导审批同意后方可进行数据拷贝操作。拷贝时，应领用专用的存储介质，使用完毕须彻底清除数据，拷贝数据不得转存其他存储介质。损坏的存储介质必须交由系统管理员销毁，不得带离办公场所。监督检查及责任追究我行数据的安全检查工作由安保部门牵头，信息技术部门负责具体落实。安全监督检查工作重点检查以下三方面内容：检查运行维护、数据分析和数据使用部门的人员是否严格按照本办法履行本部门各岗位职责。检查客户的证件号码、账号、余额等敏感数据的下载、存储、查询，是否按规定进行屏蔽。检查数据下载和使用过程中是否存在其他违反本办法相关规定的问题。我行数据的安全检查应确保每年至少组织一次常规性检查，不定期进行随机性检查。各级信息技术部门和数据使用部门要建立日常安全监督检查机制，组织对本单位管理办法执行情况进行自查。每季度至少组织一次检查。各级分行、支行要建立数据违