數(shù)據(jù)管理操作細(xì)則

第一章總則為了數(shù)據(jù)安全管理工作，有效保護(hù)公司及客戶的合法權(quán)益不受侵害，防范敏感數(shù)據(jù)泄露等安全隱患，保障數(shù)據(jù)信息的真實(shí)、完整、可用和安全，依據(jù)國(guó)家、監(jiān)管機(jī)構(gòu)及行業(yè)協(xié)會(huì)的相關(guān)法律法規(guī)，結(jié)合公司實(shí)際情況，特制定本操作細(xì)則。本規(guī)定適用于合作項(xiàng)目下，在創(chuàng)建、使用、流轉(zhuǎn)、存儲(chǔ)、銷毀過(guò)程中產(chǎn)生的電子、紙質(zhì)或其他形式存在的底層資產(chǎn)數(shù)據(jù)（以下簡(jiǎn)稱“數(shù)據(jù)”）信息，包括對(duì)數(shù)據(jù)信息的管理及披露。數(shù)據(jù)信息包含但不限于下列內(nèi)容：客戶相關(guān)信息,包括:1.自然人客戶信息和法人及非法人組織客戶信息，比如客戶基本信息、賬戶信息、交易信息、財(cái)務(wù)信息等。2.為了建設(shè)評(píng)分模型及風(fēng)險(xiǎn)控制需要，通過(guò)從合作機(jī)構(gòu)接入的底層客戶信息，調(diào)用第三方數(shù)據(jù)接口而返回的客戶相關(guān)的工商、訴訟、輿情、反欺詐、運(yùn)營(yíng)商數(shù)據(jù)、歷史逾期、稅務(wù)、發(fā)票等補(bǔ)充信息。3.其他客戶相關(guān)信息。（二）業(yè)務(wù)相關(guān)信息，包括:1.底層資產(chǎn)涉及放款、還款計(jì)劃、實(shí)還流水、回購(gòu)信息、與實(shí)際業(yè)務(wù)相關(guān)的場(chǎng)景信息、押品及設(shè)備信息；根據(jù)評(píng)審會(huì)批準(zhǔn)方案要求、風(fēng)控審核要求或者實(shí)際運(yùn)營(yíng)要求接入的其他業(yè)務(wù)相關(guān)信息。2.從通道方（銀行/信托等）或者助貸機(jī)構(gòu)接入的支付流水信息等。3.其他業(yè)務(wù)相關(guān)信息。（三）風(fēng)控運(yùn)營(yíng)指標(biāo)信息：對(duì)接收的底層資產(chǎn)數(shù)據(jù)信息，經(jīng)過(guò)加工計(jì)算形成的風(fēng)控運(yùn)營(yíng)指標(biāo)等。數(shù)據(jù)管理遵循“誰(shuí)管理，誰(shuí)負(fù)責(zé)，誰(shuí)使用，誰(shuí)負(fù)責(zé)”的原則。第二章部門(mén)職責(zé)XX部門(mén)是客戶相關(guān)信息、業(yè)務(wù)相關(guān)信息和風(fēng)控運(yùn)營(yíng)指標(biāo)信息的數(shù)據(jù)歸口管理部門(mén)，主要職責(zé)包括：（一）系統(tǒng)功能層面,負(fù)責(zé)提出系統(tǒng)安全需求，對(duì)客戶敏感信息提出加密或脫敏需求，保護(hù)客戶信息不被泄露。（二）系統(tǒng)功能層面，對(duì)底層資產(chǎn)數(shù)據(jù)信息的顯示、下載等提出需求。（三）對(duì)數(shù)據(jù)的使用及權(quán)限管理進(jìn)行初步授權(quán)，經(jīng)xx崗批準(zhǔn)后可最終授權(quán)使用。信息部是系統(tǒng)相關(guān)數(shù)據(jù)管理的歸口管理部門(mén)，是系統(tǒng)相關(guān)數(shù)據(jù)管理的第一責(zé)任人，主要職責(zé)包括：牽頭制定系統(tǒng)數(shù)據(jù)管理等操作細(xì)則。負(fù)責(zé)數(shù)據(jù)在系統(tǒng)間的安全傳輸及儲(chǔ)存工作，有效管理數(shù)據(jù)。在授權(quán)下，負(fù)責(zé)提取數(shù)據(jù)并按要求進(jìn)行變形處理，提交給數(shù)據(jù)使用者。負(fù)責(zé)系統(tǒng)數(shù)據(jù)使用完畢后的清理。信息部負(fù)責(zé)系統(tǒng)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等技術(shù)規(guī)范及安全管理措施的落實(shí)。數(shù)據(jù)使用部門(mén)主要職責(zé)包括：按照系統(tǒng)設(shè)置的功能權(quán)限合理使用數(shù)據(jù)。如系統(tǒng)功能不能滿足業(yè)務(wù)需要時(shí)，根據(jù)本細(xì)則第六章規(guī)定提交數(shù)據(jù)使用需求。負(fù)責(zé)在管轄范圍內(nèi)對(duì)所使用的數(shù)據(jù)進(jìn)行安全保管。數(shù)據(jù)使用完畢后對(duì)數(shù)據(jù)進(jìn)行銷毀。第三章數(shù)據(jù)創(chuàng)建數(shù)據(jù)主要通過(guò)日常業(yè)務(wù)開(kāi)展操作及系統(tǒng)對(duì)接方式進(jìn)行傳輸及創(chuàng)建。在涉及系統(tǒng)與合作機(jī)構(gòu)網(wǎng)絡(luò)連接時(shí)，應(yīng)采用可靠的連接策略及技術(shù)手段，實(shí)現(xiàn)彼此有效隔離。對(duì)通訊數(shù)據(jù)需保證保密性和完整性，涉密信息應(yīng)進(jìn)行加密處理。與外部單位信息交換時(shí)需采用國(guó)家和行業(yè)在信息交換協(xié)議、策略、密鑰等方面的標(biāo)準(zhǔn)。1.通信完整性是指應(yīng)采用密碼技術(shù)保證通訊過(guò)程中數(shù)據(jù)的完整性。2.通信保密性是指在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證，并通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。如果以批量文件傳輸方式進(jìn)行系統(tǒng)對(duì)接時(shí)，要求使用SFTP(SecureFileTransferProtocol)進(jìn)行傳輸。在項(xiàng)目承做前，給合作機(jī)構(gòu)開(kāi)通相關(guān)賬戶權(quán)限，并在項(xiàng)目結(jié)束時(shí)，及時(shí)關(guān)閉賬戶權(quán)限。如果以實(shí)時(shí)API接口傳輸方式進(jìn)行系統(tǒng)對(duì)接時(shí)，要求采用必要的認(rèn)證和鑒權(quán)、加密和簽名等手段保證數(shù)據(jù)的完整性和保密性。第四章數(shù)據(jù)管理數(shù)據(jù)管理主要是指數(shù)據(jù)在系統(tǒng)中的管理。信息部員工需要簽署《信息安全保密承諾書(shū)》。系統(tǒng)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全、訪問(wèn)控制、病毒防護(hù)工作，及時(shí)更新防病毒軟件，發(fā)現(xiàn)并處理異常情況。主動(dòng)發(fā)現(xiàn)和有效阻止惡意代碼傳播。系統(tǒng)交付時(shí)要進(jìn)行安全驗(yàn)收。系統(tǒng)設(shè)計(jì)必須在身份驗(yàn)證、操作類別控制、用戶管理、口令管理、加密處理、數(shù)據(jù)安全審計(jì)、系統(tǒng)校驗(yàn)等方面，符合國(guó)家和公司有關(guān)軟件開(kāi)發(fā)管理的規(guī)定。系統(tǒng)應(yīng)制定完整備份策略。備份數(shù)據(jù)應(yīng)定期進(jìn)行有效性檢查及監(jiān)控，確保備份內(nèi)容的正確性和完整性。數(shù)據(jù)庫(kù)應(yīng)根據(jù)用戶訪問(wèn)權(quán)限進(jìn)行數(shù)據(jù)加密，開(kāi)發(fā)、測(cè)試環(huán)境中原則上不得使用生產(chǎn)環(huán)境數(shù)據(jù)。系統(tǒng)數(shù)據(jù)不得隨意修改或刪除。如系統(tǒng)運(yùn)維崗在系統(tǒng)運(yùn)維中需要對(duì)數(shù)據(jù)修改或刪除，應(yīng)根據(jù)公司運(yùn)營(yíng)管理相關(guān)制度執(zhí)行。運(yùn)維后結(jié)果需得到需求部門(mén)的確認(rèn)。系統(tǒng)運(yùn)維崗不得將數(shù)據(jù)管理用戶交與他人使用。系統(tǒng)運(yùn)維崗應(yīng)在授權(quán)范圍內(nèi)操作，未經(jīng)審批不得擅自超越授權(quán)權(quán)限，尤其不得登陸數(shù)據(jù)庫(kù)對(duì)生產(chǎn)數(shù)據(jù)進(jìn)行直接操作。信息部應(yīng)按照公司相關(guān)制度對(duì)軟件系統(tǒng)服務(wù)商進(jìn)行管理。軟件系統(tǒng)服務(wù)商需要簽署保密協(xié)議，軟件系統(tǒng)服務(wù)商派遣的服務(wù)人員需要簽署《信息安全保密承諾書(shū)》。第五章數(shù)據(jù)的披露與審批數(shù)據(jù)披露分為對(duì)內(nèi)披露及對(duì)外披露。對(duì)內(nèi)披露是指在公司內(nèi)部使用數(shù)據(jù)。數(shù)據(jù)已在系統(tǒng)中存儲(chǔ)的，通過(guò)系統(tǒng)設(shè)置權(quán)限查看或下載數(shù)據(jù)。如果系統(tǒng)沒(méi)有相應(yīng)功能，可通過(guò)本章要求提出數(shù)據(jù)提取申請(qǐng)，審批通過(guò)后，方可使用。數(shù)據(jù)使用者需要提取數(shù)據(jù)時(shí)，須提起《系統(tǒng)需求處理單》，詳細(xì)填寫(xiě)所申請(qǐng)數(shù)據(jù)的內(nèi)容、使用目的、使用環(huán)境、使用起止期限以及脫敏或加密要求等。申請(qǐng)?zhí)顚?xiě)完畢，由數(shù)據(jù)使用部門(mén)、信息部部、數(shù)據(jù)歸口部門(mén)負(fù)責(zé)人審核，由系統(tǒng)運(yùn)維崗按照要求，予以提數(shù)。數(shù)據(jù)必須用于明確規(guī)定的目的，提取的數(shù)據(jù)范圍應(yīng)與規(guī)定用途相符，不得超越批準(zhǔn)范圍。數(shù)據(jù)分析人員如因?yàn)楣ぷ餍枰?jīng)常性訪問(wèn)系統(tǒng)數(shù)據(jù)庫(kù)，進(jìn)行數(shù)據(jù)分析挖掘，應(yīng)按照第二十三規(guī)定提出需求，審批通過(guò)后，根據(jù)訪問(wèn)權(quán)限開(kāi)通系統(tǒng)賬號(hào)。數(shù)據(jù)分析人員不得將賬號(hào)分享他人使用。同時(shí)數(shù)據(jù)分析人員需要簽署《信息安全保密承諾書(shū)》。對(duì)外披露是指向公司以外的機(jī)構(gòu)或個(gè)人披露數(shù)據(jù)。原則上數(shù)據(jù)在對(duì)外披露時(shí)，需要得到客戶的授權(quán)。申請(qǐng)部門(mén)經(jīng)辦人員在OA系統(tǒng)提交《系統(tǒng)需求處理單》，詳細(xì)填寫(xiě)所申請(qǐng)數(shù)據(jù)的內(nèi)容、使用目的、使用環(huán)境、使用起止期限、對(duì)外披露的機(jī)構(gòu)、脫敏或加密要求等。申請(qǐng)?zhí)顚?xiě)完畢，由申請(qǐng)部門(mén)、信息部、數(shù)據(jù)歸口部門(mén)負(fù)責(zé)人審核，法務(wù)部（以下簡(jiǎn)稱“法務(wù)部”）判斷是否允許對(duì)外披露，經(jīng)審批后，由系統(tǒng)運(yùn)維崗按照要求，予以提數(shù)。第六章其他情況數(shù)據(jù)使用部門(mén)如通過(guò)非系統(tǒng)對(duì)接方式從第三方機(jī)構(gòu)接收數(shù)據(jù)，應(yīng)及時(shí)將數(shù)據(jù)備份，對(duì)數(shù)據(jù)文件進(jìn)行加密處理，并及時(shí)將業(yè)務(wù)數(shù)據(jù)上傳到系統(tǒng)存儲(chǔ)。上傳系統(tǒng)前，由數(shù)據(jù)使用部門(mén)負(fù)責(zé)保管數(shù)據(jù)。第七章數(shù)據(jù)銷毀要求系統(tǒng)需要銷毀的數(shù)據(jù)，信息部應(yīng)按照信息管理部或運(yùn)營(yíng)維護(hù)管理相關(guān)制度要求，在OA系統(tǒng)發(fā)起《需求處理單》，經(jīng)過(guò)批準(zhǔn)后，方可對(duì)數(shù)據(jù)進(jìn)行銷毀。所有確認(rèn)不再需要使用的存儲(chǔ)了數(shù)據(jù)的電子介質(zhì)，應(yīng)及時(shí)清除數(shù)據(jù)并銷毀介質(zhì)。包含數(shù)據(jù)的紙張?jiān)趶U棄時(shí)（如復(fù)印效果差，或打印未完成），應(yīng)使用