第一章 总则
第一条 为落实《中华人民共和国网络安全法》,加强数据安全管理,结合《银行业金融机构数据治理指引》(银保监发〔2018〕22号)、《银行集团信息安全管理策略》等内外部有关规定和本行实际情况,制定本规定。 第二条 术语及定义
(一)信息:关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。
(二)电子数据:信息的可再解释的电子形式化表示,以适用于通信、解释或处理,在本办法中简称为“数据”。 (三)个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。本规定中的自然人包含本行零售个人客户、机构客户中的个人主体、以及本行员工、关联企业涉及的员工等各类个人信息主体。
(四)数据所有者:本行采集、创建数据的单位和岗位,决定体外诊断处理数据的目的和方式,对数据安全承担最终责任。信息系统主办单位为信息系统数据的所有者。
(五)数据处理者:受数据所有者委托,进行数据采集、存储或处理活动的单位和岗位。
(六)数据使用者:利用数据开展经营管理、业务活动的单位和岗位。
(七)数据控制者:有能力决定数据处理目的、方式等的单位和岗位。
(八)数据主体:数据主体拥有对数据的最终权利。个人信息主体为所标识的自然人,机构客户信息主体为所标识的政企机构,监管信息主体为发文监管机构,本行经营管理信息主体为对应的数据所有者。
(九)汇聚融合:大量数据集中进行一定的清洗、重组rtu、关联分析后形成的新的数据。
(十)像恋爱一样去工作共享:数据控制者向其他控制者提供数据,且双方分别对数据拥有独立控制权的过程。
(十一)转让:将数据控制权由一个控制者向另一个控制者转移的过程。
(十二)公开披露:向社会或不特定体发布信息的行为。
(十三)委托处理:将本行数据委托给合作机构(包含外包服务机构与外部合作机构)进行处理操作的行为。
(十四)明示同意:个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作(包括主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等),对其个人信息进行特定处理作出明确授权的行为。骑士车
(十五)授权同意:个人信息主体对其个人信息进行特定处理作出明确授权的行为,包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。
(十六)匿名化:通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
(十七)去标识化:通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
卢发兴
(十八)数据脱敏:通过模糊化等方法对原始数据的处理,达到屏蔽敏感信息的一种数据保护方法。
(十九)数据分析专用场所:是指实施、管理、维护各类数据分析和加工工作的环境总称,例如数据分析实验室、会计案防数据分析作业室等。
第三条 数据安全管理遵循以下基本原则:
(一)分级分类:根据敏感程度和数据类型对数据进行分级分类管理。
(二)最小必需: 只采集、处理与授权满足业务目的所需的最少数据类型和数量。
(三)可审计/可追溯:针对数据的采集、增加、删除、修改、查询、导出、下载、打印、外发等操作行为进行日志记录,确保南海区渔政局操作行为可追溯可审查。
(四)同步推进:加强数据全生命周期管控,并保证数据安全技术措施实现“同步规划、同步建设、同步使用”。
(五)生命周期管理:数据安全管理流程和技术措施应覆盖数据采集、传输、存储、处理
、交换、销毁等全生命周期。
(六)全员参与:全行各单位既是自身采集、创建的数据的所有者,又是本行各类数据的使用者,做好数据安全管理工作,需要全行各单位和全体员工的共同参与和努力。
(七)责任明确:按照谁主管谁负责、谁采集谁负责、谁运行谁负责、谁使用谁负责的原则,逐级落实各单位与个人的数据安全管理责任。
第四条 本规定属于“管理办法”,适用于本行总行各部门、各分行、各子公司对电子数据的安全管理;分行和各子公司可参照本规定,结合自身实际情况进一步制定实施细则。涉及本行商业秘密和监管工作秘密的数据,应同时遵守本行保密管理相关规定。本规定所称“本行”指银行,本规定所称“各单位”包括本行境内外各级机构及各子公司。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议