某银行系统安全方案

1数据资源管理制度
第一条总则
随着公司的发展，各业务部门在业务开展过程中积累的数据不断增加，为了更加有效的收集、管理、使用这些数据，使公司资源在统一管理的基础上，充分
发挥资源的优势，既维护商业数据和技术的保密性，也保证数据使用的安全可靠，确保各应用系统运行稳定，同时能为公司各种业务的发展提供优质服务。

公司特制定本制度。

第二条适用范围
1、XX所有部门
2、XX内部、外部数据的使用
第三条管理办法
各部门在业务过程中获取的全部数据的所有权及（或）使用权完全属于XX 科技有限公司。

各个部门的员工均不得在没有经过报批的情况下私自留存和使用
数据。

大数据事业部负责对公司所有的数据进行保存，并按照规定，对商业数据和技术等机密内容采取严格的保密措施。

同时，大数据事业部要不断提高服务能力
和水平，注重服务过程中的流程管理，按照此项制度规定的办法，为各业务部门的数据使用提供优质的服务。

1、数据入库登记备份
公司现有的业务形态，将会涉及到许多方面的数据来源，分散的数据将对公司的管理和发展形成一定的障碍。

统筹公司的各种数据资源，形成公司强大的数据资源中心，能够充分体现XX领先的技术和信息实力，更好的为公司的发展服务。

建立公司内部统一的数据源，对公司的发展有着非常重大的意义和深远影响。

数据安全就是公司的命脉。

具体实施办法：
（1）所有购买、采集或通过其他方式获得的数据，相关工作人员在得到数
据之后应首先进行登记备案，同时提交数据，由大数据事业部在公司的服务器上
保留数据的备份，任何人不得以任何原因（即使是用于工作）私自备份公司数据。

在使用之前，必须向公司申请，经批准后才能使用，在使用过程中不得私自备份
这些数据。

使用完之后，若产生有衍生的数据，需要提交公司，然后在大数据事
业部的协助和监督下，将使用过的数据清除。

（2）XX部门根据数据来源的不同，分别做不同的处理。

能直接入库的数据，将其存入数据库；不能直接存入的数据，会转化为结构化数据再存入数据库。

（3）数据的登记提交。

公司各部门在每次获得新的数据或发生数据项内容
的更新、数据量的增量变化等情况，都必须在五个工作日内将数据交接给XX部门并填写《数据提交备案表》。

2、数据使用规范
促进信息流通，维护数据资源安全及数据资源价值、促进公司内外业务发展及技术交流，是本规范制定的原则。

规范所称数据资源，包括如下各项：
采集、汇总的数据：所有与企业相关的数据。

进行数据分析后产生的数据：对现有数据做分析后得到的数据。

申请人申请使用数据资源，应填写《数据使用说明表》；所有数据使用者（包括删除）均须填写《数据用途说明表》；数据分析师使用数据时须填写《所需字
段说明书》。

依本须知申请使用数据资料申请对象分为二类：公司内部使用、公司外部使用。

数据资料申请使用原则：申请用途限于单位公务相关之工作、不得将所取用之资料用于个人目的。

申请人申请使用数据资源，须以部门为单位申请，不得以个人申请。

申请人申请使用数据资源时，应填具申请书，向公司提出申请，经公司审核通过后，由XX部门提供相应的数据。

申请时权限的控制和对数据使用的安全要求，请参见《数据使用安全规范》
2XX系统管理制度
第一章总则
第一条作为公司XX业务的辅助工具，为保障公司业务正常、高效的运行，
特制定XX系统管理制度。

第二条XX系统管理制度的目的是规范公司XX系统的设计、开发、使用、维护等工作，保证XX系统的正常使用及升级更新，保障公司XX业务的顺利进行。

第二章系统开发及测试验收
第三条XX系统由公司研发部开发，用于公司各类XX作业的IT系统，是公司信用评价体系的应用平台。

第四条研发部以XX部门撰写的系统需求文档为指导进行产品开发，根据XX 部门要求进行设计及修改。

第五条研发部按照项目管理的方式，组织相关人员进行系统开发，大数据
事业负责系统测试与验收。

第三章系统使用与维护
第六条研发部对XX系统实施统一管理，负责系统的整体维护工作。

第七条系统总管理员由XX部门负责人担任，负责系统总体管理工作，保管
总管理员的账号、密码，监督检查系统各类操作人员的操作行为。

第八条XX部门设系统管理专员，及时收集XX部报告的系统问题，测试问题解决方案并予以实施，撰写系统维护日志、周记、月报，保管服务器登录账户和
密码。

第九条XX部门设系统技术专员，负责修改系统管理专员汇总的各类系统程
序问题，及时提出解决方案、记录解决结果，保持与开发人员的同步更新，管理
数据库登录账户和密码，定期备份程序及数据，确保系统数据安全、不外泄。

第十条业务人员经培训合格后方可使用系统，操作时必须严格遵照《XX企业信息管理系统操作手册》执行。

第十一条系统管理员应根据人员岗位为其设置权限，管理人员不得拥有作业权限，业务人员不得拥有管理权限。

第十二条XX系统的需求设计文档由XX部门统一整理，交由行政管理部存档。

第四章系统规划与升级
第十三条技术部对系统的设计、应用、升级、运营等制定统一规划，汇总
XX数据及相关数据，并做好与服务对象等外部系统的数据交换接口准备。

3XX系统应急处理制度
第一条加强信息审查工作，若发现计算机内数据被恶意更改，应立即停止计算机设备工作，同时检查和分析被更改的原因，在被更改的原因找到并排除之前，不得使用计算机设备。

各类涉密计算机必须建立使用规范，落实责任人，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)，加强网络设备日志分析，及时收集信息，排查不安定因素。

加强对信息发布的内容审核制度，未经审核不得发布，实行版块负责制，由发布人负责版块的信息安全，以预防万一有绕过审核的信息被发布，若出现未经审核信息发布情况，应立即关闭信息发布功能，直至找到原因并排除为止。

对于非法网站的入侵要做到：
发现一个，禁止一个,并及时向主管领导汇报，杜绝其蔓延。

建立有效的网络防
病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。

第二条由XX公司指定专人对XX公司计算机网络实施必要的监控，必要时实行远程控制。

网络管理人员定期对XX公司的硬件设备进行状态检查。

对突发的信息网络安全事件应做到：
1及时发现、及时报告，在发现后及时向上一级领导或部门报告。

2保护现场，立即与网络隔离，防止影响扩大。

3及时取证，分析、查找原因。

4消除有害信息，防止进一步传播，将事件的影响降到最低。

5在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传
播所发现的有害信息。

6追究相关责任。

根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交国家司法机关处理，追究部门负责人和直
接责任人的行政或法律责任。

第三条及时整顿，加强防范。

各部门要积极配合上级网络安全管理部门的例
行检查，并接受其技术指导。

针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，完善网络安全机制，防范网络安全事件再度发生。

逐步建立网络信息安全管理长效工作机制，实现XX公司计算机信息安全管理，创造良好的网络环境。

第四条做好机房及网络设备的防火、防盗窃、防雷击、防鼠害等工作。

若发
生事故，应立即组织人员自救，并报警。

4关于XX数据库管理规范
为保证公司行业信用风险分析及时、准确及公司XX业务正常开展，特规定行业数据库的管理规定。

第一条XX部门具体负责行业原始数据（包括但不限于行业财务数据、绩效
数据、宏观数据）的采集、检验、核准事宜。

准确无误后交IT部入库。

第二条XX部门具体负责行业计量数据（包括行业标准值数据、行业发展指数、行业风险指数）的模型开发、结果检测等工作。

同时必须完成入库后的测试
等工作。

第三条XX部门具体负责各类行业数据库的分类、识别等工作，具体负责数据入库后的数据维护、更新、安全等工作，数据入库后的维护、更新应有工作日志
记载。

保证行业数据库能够支持业务部门的工作需要。

第四条XX部门应做好行业数据库的备份工作。

第五条公司行业数据库属公司机密信息，未经公司领导批准，任何人不得复制、修改。

第六条公司正常业务需要引用行业数据库内容，则通过系统调取，同时应根
据业务部门的需要设定调取权限。

第七条公司业务人员从事行业研究、模型开发或检测，需要查询行业相关数
据时，应通过XX部门门设定的帐号进行。

不得从管理员入口进入。

5XX业务保密制度
此XX业务保密制度根据相关企业XX国际惯例编制并执行。

为维护XX科技有限公司的公信力及市场形象，保守XX对象商业秘密，特制订本制度，对XX业务保密范围、保密程序和处罚办法进行规定。

第一条参与XX业务的工作人员，必须树立严格的法制观念，规范信息录入
和信息查询的使用工作，妥善保管和保密XX相关的资料及文件。

第二条XX业务有关人员对于所了解XX对象的专利、专有技术及双方事先约定的保密事项应当严格保守秘密，除得到XX对象的书面允许外，不得提供或泄露给第三方，也不能将其用于私人目的。

第三条XX报告中应尽量避免涉及XX对象的保密资料，若分析报告中涉及XX对象的不公开信息，该报告仅能提供给XX对象，未经XX对象同意，不得提供任何第三方。

第四条员工离职后，须将保管的XX资料及文件（包括书面及电子版、复印件等）移交部门主管人员，并保守公司秘密，不得向外泄露。

对于违反公司保密
制度的员工，视情节严重程度，分别给予警告、罚款，甚至辞退等处罚。

6数据使用安全规范
第一条总则
本规范所称的数据，包括各业务部门应用系统中通过审核的数据，公司购买的外部数据，以及公司利用各种合法渠道采集的信息。

XX部门将建立与规范相配套的数据仓库系统。

第二条适用范围
1、XX部门内部人员对数据的管理、查询、使用；
2、公司内部业务部门对本部门数据的查询、使用、修改；
3、公司高层管理人员对数据的查询、使用；
4、与外部数据源进行数据交换和共享。

第三条数据用户及权限
1、XX部门内部人员权限管理
权限
查询数据修改数据使用数据删除数据
岗位
事业部经理√须经授权√须经授权
数据库管理员√须经授权√须经授权
数据分析师√须经授权
2、公司内部业务部门
权限
查询数据修改数据使用数据删除数据
岗位
数据录入员√须经授权
分析师√须经授权
部门经理√须经授权
3、公司高层管理人员
权限
查询数据修改数据使用数据删除数据
岗位
公司高管√√
第四条数据安全级别控制
公共级---数据的公开、使用、丢失和泄露将不会造成相关公司（个人）经济，权益和隐私的损失
级别定义：共享（无条件）使用（无条件）
私有级---数据的公开、使用、丢失和泄露可能侵犯相关公司（个人）的隐私权，并有可能造成经济损失
级别定义：共享（限制）使用（无条件）
限制级---数据的公开、使用、丢失和泄露会侵犯相关公司（个人）的隐私权，并可能造成经济上的损失
级别定义：共享（限制）使用（转换使用）
机密级---数据的公开、使用、丢失和泄露会会侵犯相关公司（个人）的隐私权，并造成公司（个人）经济损失
级别定义：共享（限制）使用（限制）
7XX业务人员执业规范
第一条独立原则。

指XX业务人员在执行XX业务、出具XX报告时应独立于XX对象和其他相关机构。

第二条客观公正。

XX业务人员应以实事求是的态度从事XX业务项目工作，全面、深入地了解XX对象信用状况，及时、客观地揭示XX对象信用风险，公平正直、不偏不倚地对待有关利益各方。

第三条爱岗敬业。

XX业务人员应热爱本职工作，不断钻研和充实相关专业
知识，提高分析问题和解决问题的能力，并随时关注相关行业发展趋势和XX对象公开信息动态。

第四条熟悉法规。

XX业务人员必须严格遵守公司的XX业务工作程序及相关技术规范，按时按质完成公司安排的各项业务。

第五条不得兼职。

XX业务人员执行的各项业务，均应由公司统一接受委托，不得以个人名义承接业务，不得在其它公司兼职。

第六条廉洁自律。

XX业务人员不得接受XX对象正常业务接待之外的礼品和其它特别招待，也不得向XX对象提出任何涉及个人利益的要求。

第七条诚实守信。

XX业务人员不得故意向评审委员会提供XX对象虚假信息或者协同XX对象隐瞒重要事实。

第八条保守秘密。

XX业务人员对于XX对象的XX业务资料负有保密责任。