证券股份有限公司数据与介质管理规范模版

1、光大证券股份有限公司数据与介质管理规范第一章 总则第一条 本规范是对信息系统内重要的数据进行分级分类、鉴定和标识提供标准，以对不同级别的数据进行适当的保护，防止数据的损毁、误用和非授权访问，确保数据的保密性、完整性和可用性。第二条 本规范适用于公司各业务系统数据进行分级分类保护的管理活动。第二章 分级分类管理规定第三条 系统数据包括了所有系统相关的数据信息，并包括来自于电子邮件，文件，图象，和视频的非结构化数据。由于各个系统的数据重要性不同，访问的控制程度不同，备份的策略的不同，数据的保存期限不同，是否需要异地存放的要求不同，因此，为对数据进行有效的管理，需要引入数据的分级分类管理体系。整个体

2、系结构如下表： 数据级别(类别)说明数据分级s非常重要数据a重要数据b一般数据c临时数据数据分类yw业务数据xt系统数据gl管理数据第四条 数据分类主要为业务数据、系统数据、管理数据几类。第五条 业务数据主要包括客户资料、交易数据、行情数据及其他业务数据；系统数据主要包括数据字典、权限设置、密码密钥、存贮分配、网络地址及软硬件配置参数、系统运行时配置等系统相关数据；管理数据主要包括办公自动化数据、人力资源数据以及其他管理类数据。第六条 数据分级主要分为s、a、b、c四级，分别表示数据的重要等级为非常重要数据、重要数据、一般数据、临时数据。第七条 所有用户，都应该遵守光大证券策略，基于信息在保密

3、性、完整性和可用性方面的不同要求，以及本部门的特定要求，采取对应的技术手段和管理手段进行保护。详见下图。非常重要数据重要数据一般数据临时数据介质标注要求在文件封面标注s_文件封面标a_在明显处标注b_可标注范围交易系统当前业务数据、重要系统的密码密钥等交易历史数据，与交易相关的数据中心等业务数据，系统的配置数据，应用程序数据，客户的开户影像数据等非重要的数据临时存放数据，可定期清除授权需得到部门领导批准需得到部门领导批准需得到系统管理直接领导批准需得到系统管理人员确认访问只能被得到授权的极少数核心人员访问。 只能被得到授权的少数重要人员访问。只能被公司内部或外部得到明确授权的人员访问可以被光大

4、证券内部或外部因为业务需要的人员访问存储应使用多种介质妥善保存，并进行异地存放应使用多种介质妥善保存，并进行异地存放应使用多种介质妥善保存应该定期进行清理第八条 s类数据是指非常重要的数据，主要是指交易系统当前业务数据、重要系统的密码密钥等数据，这类数据的丢失将给业务带来灾难性的影响；a类数据是指重要数据，主要包括交易历史数据，与交易相关的数据中心等业务数据，系统的配置数据，应用程序数据，客户的开户影像数据等；b类数据是指一般数据，主要包括系统的一般性数据，这类数据往往也是需要考虑一定的备份措施的；c类数据是指临时数据，包括一些垃圾数据，需要定期的清除。第九条 数据的分级分类管理除要求重要的数

5、据有妥善的备份，还要求垃圾数据应及时维护，定期清理。具体的策略见下表。备份策略数据分类业务数据yw系统数据xt管理数据gl数据分级s每日增量每周全量存储磁带光盘每日增量每月全量变更备份存储磁带光盘a每周全量存储磁带每月全量变更备份存储磁带每月全量存储光盘b每月增量每季全量存储每月增量每季全量存储c定期清理定期清理定期清理备份要素频率介质频率介质频率介质第三章 交易业务数据管理第十条 交易数据是交易系统的重要资料，保存完整的交易数据是降低公司经营风险、维护客户正当权益的可靠保障。必须对交易业务数据建立健全的数据备份制度并妥善保管。第十一条 交易业务数据主要包括数据库每日交易数据、清算原始数据、交

6、易历史数据及其它相关数据。交易业务数据实行专人管理。第十二条 对业务数据的后台查询需求需通过公文流转审批进行，由需求部门发文，经相关领导审批，信息技术部协助办理并对相关数据加密后反馈给需求部门。特殊或紧急情况下，需求部门可以通过填写纸质传真数据查询申请表，经需求部门负责人及信息技术部负责人核准后进行处理，并电话予以确认。第十三条 因系统缺陷等原因，需要对业务数据进行后台修改、调整等特殊操作，需先查明原因，必须通过后台调整的必须经过审批后，在非交易时间进行，严禁擅自修改、调整业务数据。业务数据修改、调整严格执行双人双岗制度，一人操作，一人复核，并详细记录修改的原因、内容以及操作时间、操作人员等。

7、业务数据处理需求需通过公文流转审批进行，由需求部门发文，经相关领导审批，并由信息技术部核准后进行处理。特殊或紧急情况下，需求部门可以通过纸质传真数据变更申请表，经需求部门负责人审核，信息技术部负责人核准后安排处理。第十四条 交易业务数据必须每日及时备份，使用合适的存储介质（存储、硬盘、光盘、磁带）完成数据备份；并不定期进行备份数据的可用性校验。第十五条 集中交易系统应在线保存至少最近2年交易业务数据，历史数据必须有完整妥善的介质保存，保存限期至少20年。第十六条 交易业务数据必须每周进行完整的全数据库离线备份，并异地保存；数据应定期及时的交接给数据保管员进行妥善的保存，并对备份与交接数据进行规

8、范的登记管理；备份数据不得做任何更改。第四章 系统数据管理第十七条 系统数据主要包括数据字典、权限设置、存贮分配、系统文件、系统软件、各种配置文件、快捷方式、应用程序、网络地址及各种系统软硬件配置参数等系统相关数据。第十八条 系统数据专人实施严格的安全与保密管理，防止数据的非法生成、变更、泄漏、丢失与破坏。第十九条 系统数据在改变时要及时进行备份，走系统变更流程，并做好更改记录。集中交易系统、数据中心系统等重要的业务系统进行重要变更前需要进行操作系统磁带备份；如无重要变更，每季度也需要进行操作系统磁带备份。第二十条 系统运行时数据需要每日进行采集和监控分析；系统重要配置文件、系统日志文件等每月

9、进行备份，在进行变更时，应进行变更前和变更后的备份第二十一条 系统数据的备份要求使用合适的存储介质（存储、硬盘、光盘、磁带）完成数据备份；不定期进行备份数据的验证。第二十二条 操作系统备份磁带应交接给数据保管员进行妥善的保存，并对备份与交接数据进行规范的登记管理。第五章 数据保密管理第二十三条 数据不得泄露，禁止外借，内部借阅需按借阅流程办理。第二十四条 数据应仅用于明确规定的目的，未经批准不得它用。第二十五条 无正当理由和有关批准手续，不得查阅客户电子资料。经正式批件查阅数据时必须登记，并由查阅人签字。第二十六条 保密数据不得以明码形式存储和传输。第二十七条 根据数据的保密规定和用途，确定数

10、据使用人员的存取权限、存取方式和审批手续。第二十八条 定期检验数据备份的完备性和可用性，保证在突发时间或查找历史信息时可以使用。第六章 数据介质管理第二十九条 数据介质主要包括但不限于磁带、硬盘、光盘等存储介质和移动介质，移动介质指u盘、移动硬盘、软盘等便于移动、携带的存储介质。第三十条 归档保存的数据介质应交接给介质保管员进行妥善保管，并办理交接手续。数据介质保管地点应安全可靠，有放火、防热、防潮、防尘、防磁、防盗设施。第三十一条 移动介质使用必须受到严格控制，生产网内未经授权严禁使用移动介质。第三十二条 所有介质报废或维修前，都需要对介质上的数据进行清除与销毁，介质的销毁应确保销毁后的介质无法被重复使用且其中的数据无法被恢复，如介质上存储的数据与信息仍需使用，应对介质上存储的数据进行备份。第三十三条 介质报废前的销毁工作应做好操作记录，记录内容应包含操作时间、操作内容、监督人员和操作人员确认