商業(yè)銀行數(shù)據(jù)脫敏管理辦法(2023年版)_第1頁
商業(yè)銀行數(shù)據(jù)脫敏管理辦法(2023年版)_第2頁
商業(yè)銀行數(shù)據(jù)脫敏管理辦法(2023年版)_第3頁
商業(yè)銀行數(shù)據(jù)脫敏管理辦法(2023年版)_第4頁
商業(yè)銀行數(shù)據(jù)脫敏管理辦法(2023年版)_第5頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

總則為落實(shí)銀行(以下簡稱我行)敏感數(shù)據(jù)保護(hù)工作的各項(xiàng)要求,保障信息系統(tǒng)中敏感數(shù)據(jù)信息(以下簡稱敏感數(shù)據(jù))在業(yè)務(wù)、開發(fā)、測試、演練、培訓(xùn)、審計(jì)等用途中的保密性和可用性,規(guī)范總行各部門、各直屬單位及各一級分行在數(shù)據(jù)脫敏過程中的職責(zé),特制定本辦法。本辦法涉及人員包括數(shù)據(jù)的使用人員、管理人員以及數(shù)據(jù)相關(guān)系統(tǒng)的開發(fā)測試人員、運(yùn)維人員、數(shù)據(jù)分析人員和管理人員。我行敏感數(shù)據(jù)包括但不限于:客戶身份認(rèn)證信息(密碼、令牌等)、客戶信息、密鑰、交易信息、重要業(yè)務(wù)參數(shù)等。其中,敏感數(shù)據(jù)的定義可參見信息系統(tǒng)敏感信息分類分級保護(hù)管理辦法。術(shù)語定義:數(shù)據(jù)脫敏是指將一組數(shù)據(jù)中的特定敏感數(shù)據(jù)通過恰當(dāng)?shù)臄?shù)據(jù)屏蔽算法(如隨機(jī)化、模糊化、置空、變換、替換、保持?jǐn)?shù)據(jù)間關(guān)聯(lián)關(guān)系的屏蔽、標(biāo)記化或其他特殊規(guī)則)予以轉(zhuǎn)換,使其在滿足開發(fā)、測試或其他業(yè)務(wù)需求的同時,對其中的敏感數(shù)據(jù)予以消除。本辦法適用于總行各部門、各直屬單位及一級分行。組織和職責(zé)總行信息科技部在數(shù)據(jù)脫敏過程中的主要職責(zé)包括:負(fù)責(zé)制定數(shù)據(jù)脫敏管理辦法。統(tǒng)籌制定數(shù)據(jù)脫敏原則和要求,明確數(shù)據(jù)脫敏的工作流程。組織相關(guān)部門研究數(shù)據(jù)脫敏技術(shù)手段,統(tǒng)籌負(fù)責(zé)數(shù)據(jù)脫敏工具的引進(jìn)。統(tǒng)籌和組織全行數(shù)據(jù)脫敏執(zhí)行情況的監(jiān)督和檢查工作??傂袛?shù)據(jù)中心在數(shù)據(jù)脫敏過程中的主要職責(zé)包括:負(fù)責(zé)制定生產(chǎn)數(shù)據(jù)的密碼、密鑰脫敏策略。配合總行軟件研發(fā)中心、業(yè)務(wù)部門確認(rèn)數(shù)據(jù)脫敏技術(shù)規(guī)則。提取生產(chǎn)數(shù)據(jù)后,執(zhí)行生產(chǎn)數(shù)據(jù)的密碼、密鑰脫敏操作??傂熊浖邪l(fā)中心在數(shù)據(jù)脫敏過程中的主要職責(zé)包括:根據(jù)業(yè)務(wù)部門反饋結(jié)果制定敏感數(shù)據(jù)的脫敏技術(shù)規(guī)則。負(fù)責(zé)脫敏環(huán)境的搭建和維護(hù)。執(zhí)行生產(chǎn)數(shù)據(jù)的脫敏操作。負(fù)責(zé)驗(yàn)證脫敏操作結(jié)果是否符合脫敏要求。負(fù)責(zé)脫敏后生產(chǎn)數(shù)據(jù)的發(fā)布工作??傂懈鞑块T及各直屬單位在數(shù)據(jù)脫敏過程中的主要職責(zé)包括:提出生產(chǎn)數(shù)據(jù)的脫敏處理要求。協(xié)助總行軟件研發(fā)中心確認(rèn)生產(chǎn)數(shù)據(jù)脫敏技術(shù)規(guī)則。制定本單位內(nèi)部敏感數(shù)據(jù)的脫敏策略和要求。一級分行信息科技部門在數(shù)據(jù)脫敏過程中的主要職責(zé)包括:根據(jù)總行制定的數(shù)據(jù)脫敏要求,制定本部門數(shù)據(jù)脫敏實(shí)施細(xì)則并加以實(shí)施。開展本部門范圍內(nèi)數(shù)據(jù)脫敏的監(jiān)督和檢查工作。配合總行信息科技部開展全行數(shù)據(jù)脫敏執(zhí)行情況的檢查工作。脫敏原則和要求數(shù)據(jù)脫敏應(yīng)遵循以下原則:全面脫敏原則:原則上所有用于業(yè)務(wù)、開發(fā)、測試、演練、培訓(xùn)、審計(jì)等用途的敏感數(shù)據(jù),均需要經(jīng)過脫敏處理。由于特殊原因,必須使用敏感數(shù)據(jù)時,應(yīng)滿足以下要求:采取嚴(yán)格的控制措施保障敏感數(shù)據(jù)在使用環(huán)境中的安全性。數(shù)據(jù)使用完成后,應(yīng)徹底刪除敏感數(shù)據(jù)。應(yīng)保留對數(shù)據(jù)使用的日志記錄,以便于日常檢查與審計(jì)。數(shù)據(jù)脫敏范圍應(yīng)涵蓋生產(chǎn)數(shù)據(jù)和非生產(chǎn)數(shù)據(jù),總行部門以及各分支機(jī)構(gòu)應(yīng)制定本部門數(shù)據(jù)脫敏細(xì)則加以實(shí)施。策略統(tǒng)一原則:應(yīng)采用行內(nèi)統(tǒng)一的脫敏策略和工具對敏感數(shù)據(jù)進(jìn)行脫敏。不可逆原則:脫敏算法應(yīng)為不可逆算法,即從脫敏后的數(shù)據(jù)無法推算出原始數(shù)據(jù)。必須知道和最小授權(quán)原則:在敏感數(shù)據(jù)脫敏前,應(yīng)嚴(yán)格控制對其的訪問權(quán)限,僅在工作需要范圍內(nèi),授予最小訪問權(quán)限。可審計(jì)原則:應(yīng)對敏感數(shù)據(jù)的使用、脫敏的實(shí)施、數(shù)據(jù)的清理等關(guān)鍵環(huán)節(jié)進(jìn)行完整記錄,以便于日常檢查與審計(jì)。脫敏后的數(shù)據(jù)應(yīng)不影響其在業(yè)務(wù)、開發(fā)、測試、演練、培訓(xùn)、審計(jì)等場景下的正常使用。在不影響數(shù)據(jù)使用的前提下,脫敏后的數(shù)據(jù)應(yīng)不能識別客戶的身份信息(通常是指客戶自身的屬性信息,包括戶名、證件類型及號碼、聯(lián)系方式等)。在不影響數(shù)據(jù)使用的前提下,脫敏后的數(shù)據(jù)應(yīng)無法將相關(guān)交易信息、財(cái)務(wù)信息與具體客戶的標(biāo)識(通常是銀行賦予的客戶唯一標(biāo)識信息,如賬號、卡號、支付憑證號等)建立關(guān)聯(lián)。脫敏后的敏感信息需保證不可逆。脫敏算法可以包括但不限于:清空:指清空敏感信息字段。屏蔽:指用固定值填充敏感信息字段,如“******”。隨機(jī):針對數(shù)字字段,用隨機(jī)數(shù)代替原有數(shù)字。替換:指經(jīng)過一定的處理邏輯替換掉敏感信息字段。刪除:指直接刪除敏感信息字段。組合:對需脫敏字段各個部分分別脫敏,再合成為一個新的字段。敏感數(shù)據(jù)脫敏工作流程數(shù)據(jù)脫敏的實(shí)施:總行數(shù)據(jù)中心應(yīng)由專人根據(jù)數(shù)據(jù)使用申請?zhí)崛∠嚓P(guān)的生產(chǎn)數(shù)據(jù),數(shù)據(jù)中心負(fù)責(zé)執(zhí)行生產(chǎn)數(shù)據(jù)的首次脫敏,并將預(yù)處理后的數(shù)據(jù)以安全地方式交付給總行軟件研發(fā)中心。總行軟件研發(fā)中心負(fù)責(zé)搭建生產(chǎn)數(shù)據(jù)二次脫敏環(huán)境,脫敏環(huán)境應(yīng)保持獨(dú)立性,并為其設(shè)置獨(dú)立網(wǎng)段做脫敏處理??傂熊浖邪l(fā)中心根據(jù)業(yè)務(wù)部門所提出的脫敏需求,執(zhí)行二次脫敏操作。由總行軟件研發(fā)中心指定人員負(fù)責(zé)在脫敏環(huán)境中對生產(chǎn)數(shù)據(jù)進(jìn)行脫敏,應(yīng)對能夠訪問脫敏環(huán)境的人員進(jìn)行嚴(yán)格管理,保證“必要且最小授權(quán)”的原則。由脫敏操作人填寫敏感數(shù)據(jù)脫敏操作的具體步驟。脫敏后數(shù)據(jù)的發(fā)布:總行軟件研發(fā)中心負(fù)責(zé)將脫敏后的生產(chǎn)數(shù)據(jù)放置到指定路徑下,并給數(shù)據(jù)使用者配置合理的訪問權(quán)限。當(dāng)需要使用介質(zhì)向數(shù)據(jù)使用者提供數(shù)據(jù)時,應(yīng)確保介質(zhì)傳遞的安全,由專人負(fù)責(zé)介質(zhì)傳遞,并保證該過程可審計(jì),包括但不限于:記錄、交接等環(huán)節(jié)。數(shù)據(jù)使用與清理:數(shù)據(jù)使用者負(fù)責(zé)保障敏感數(shù)據(jù)的安全使用以及安全管理。數(shù)據(jù)使用完畢后,數(shù)據(jù)使用者負(fù)責(zé)銷毀數(shù)據(jù),并對銷毀過程進(jìn)行記錄,以便于日常檢查與審計(jì)。監(jiān)督檢查由總行信息科技部統(tǒng)籌和組織總行信息科技部門對全行數(shù)據(jù)脫敏情況進(jìn)行檢查,各相關(guān)部門及分支機(jī)構(gòu)應(yīng)配合對檢查過程中發(fā)現(xiàn)的問題進(jìn)行及時整改。任何單位和個人發(fā)現(xiàn)違規(guī)進(jìn)行敏感數(shù)據(jù)脫敏

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論