XX证券股份有限公司信息系统数据安全管理办法

XX证券股份有限公司信息系统数据安全管理办法（2017年修订）第一章总则第一条为规范和加强信息系统数据的安全管理，保障重要数据资产的安全，真实、有效地保存和使用各类数据，依据《XX证券股份有限公司信息系统数据治理制度》，制定本办法。第二条信息系统数据安全管理的目标是保障信息系统中的数据（以下简称“数据”）在使用、存放、传递、导出等环节的机密性、完整性和可用性。（一）数据的机密性指通过加密、访问控制等机制，防止数据被未授权的人员或组织访问、获取。（二）数据的完整性指通过校验等机制，保障数据是准确和完整的，防止数据被未授权修改。（三）数据的可用性指通过冗余、备份等机制，保障数据不会丢失。第三条数据安全遵循“人人有责”的原则，任何人都应在接触和使用到信息系统数据时，采取必要的措施保障数据安全性，如发现可能损害信息系统数据安全的情况应及时制止和上报。第四条本办法所指的数据包括各类业务数据以及各种系统软件、应用软件、配置参数等。第二章数据分类分级管理第五条数据分类是数据资产保护工作中的一个关键部分，是建立统一、准确、完善的数据架构的基础，是实现集中化、专业化、标准化数据管理的基础。第六条数据分级是以数据分类为基础，采用规范、明确的方法区分数据的重要性和敏感度差异，并确定数据级别。第七条数据资产分类分级范围包括但不限于以下：a)投资者个人信息或在经营活动中获取到的个人信息，如：个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人交易信息、相关衍生信息等。b)机构投资者相关信息，如：机构投资者基本信息、机构投资者财产信息、机构投资者账户信息、机构投资者信用信息、机构投资者交易信息、相2关衍生信息等。c)交易信息，如：证券市场交易信息、期货市场交易信息、基金交易信息、其他衍生品交易信息等。d)业务管理相关信息，如：监管信息、统计信息、公告信息等。e)经营管理数据，如：客户管理信息、渠道管理信息、经营状况信息、人力管理信息、财务管理信息、技术管理信息等。f)通过购买或数据共享等方式获得的外部数据，如：研究报告、指数信息等。g)数据完整性、保密性和可用性遭到破坏，可能严重危害国家安全、国计民生、公共利益的其他各类数据。第八条为了保证数据安全，根据数据资产敏感度划分为4个等级:a)1级：数据敏感度极低或无，数据可被公开或可被公众获知、使用。b)2级：数据敏感度低，数据用于一般业务使用，一般针对受限对象公开，一般指内部管理且不宜广泛公开的数据。c)3级：数据敏感度中等，数据用于重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。d)4级：数据敏感度高，数据用于关键业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。第九条公司应在公司数据治理工作组的统一领导下，适时开展数据分类分级管理，建立数据资产分类分级清单。第十条公司各个部门在数据使用过程中均需严格按照数据资产分类分级要求执行。第三章数据使用安全保障措施第十一条信息系统实行安全等级保护，系统使用权限按程序审批，相关系统使用人员按业务指定权限使用、操作相应的系统，并且定期或不定期地更换不同的密码口令。第十二条数据库权限仅限于本人使用，不得多人共用，不得交与他人使用。数据库权限开通后应由权限持有人立即修改密码，密码强度应符合公司密码管理要求。第十三条从信息系统后台导出数据或通过信息系统对接实现数据交3换应按照密级等级要求经过审批或授权，且不得超出审批或授权的范围。第十四条数据的生成、导入、导出均应满足公司的数据质量、数据标准和数据安全管理要求。第十五条数据导入前，应由导入操作人验证数据的正确性和准确性，不得导入错误数据，不得造成与系统中存量数据的矛盾。第十六条从外部机构获取的数据应由接收单位进行必要的核对，以确保数据完整且未被篡改。第十七条涉及客户信息、公司人力信息、公司财务信息等数据未经脱敏不允许导入开发、测试环境。第十八条信息系统应严格控制数据导出权限的分配范围，并记录导出操作日志，日志中应包括进行导出操作的用户、导出的日期时间、导出的内容和形式。第十九条数据导出后，所有能够接触到该数据的人员均应承担数据保密责任，数据传递过程所涉及的相关系统及责任人承担防篡改等安全责任。第二十条数据导出应采取“最小化”原则，根据业务应用需要，仅导出经审批通过或经授权的最小数据集合。第二十一条数据导出后原则上应对敏感信息进行脱敏，因实际业务必须使用敏感信息，应确保数据安全。敏感信息包括但不限于客户资料、客户交易信息、公司员工资料、公司财务信息、公司自营类信息、公司投融资类项目信息、公司信息系统架构和源代码和其它非公开的信息。第二十二条数据导出后，在数据传递、保存等环节应由数据持有人采取文件加密、设置访问权限等安全措施，并将数据去向严格控制在申请时提出的传播范围内，不得提供给无关人员。第二十三条数据导出后，如形成纸质材料的，应由持有人妥善保管，不得向无关人员展示，不得交由无关人员保管，不得无人保管随意摆放。第二十四条数据导出后，如需提供给监管、客户等外部单位和人员的，应由数据需求方先行审核，确保数据无误。第四章数据存储、传输和备份安全第二十五条在技术支持的情况下，系统中的口令、密码等敏感数据应加密存储。4第二十六条在技术支持的情况下，系统中的口令、密码、公民身份信息等敏感数据应加密传输。第二十七条系统中采用的加密产品和加密算法应符合国家密码管理机构的要求。第二十八条重要敏感的数据不得在公司之外的信息系统中存放，数据存放在公有云上或存放在境外应事先经审批通过。第二十九条信息系统应具备防止数据被篡改的能力，并对数据改动操作记录日志，日志中至少应包括进行改动操作的用户、改动的日期时间、改动的对象、改动的内容及改动的方式等。第三十条涉及客户交易和业务办理等的信息系统应采取数字签名等措施提升客户交易和业务办理行为相关数据的抗抵赖性。第三十一条各信息系统的数据存放时间、数据备份方法和策略、备份数据留存时间不低于监管和等级保护要求，备份数据的有效性和可用性检查至少每个季度一次，客户相关数据的保存期限不低于客户销户之日起20年。如监管和等级保护中管理办法发生变更，应按照最新的办法要求执行，监管和等级保护没有明确要求的，根据公司实际需要确定。第三十二条采取积极有效的防范措施，防止数据被非法使用、窃取、篡改和破坏，充分保证计算机信息系统的安全运行。任何单位和个人发现数据的违规使用行为都有权阻止或举报。第三十三条外单位人员对本部门存放数据的设备进行维修、维护时，必须由本单位人员现场全程监督。有关设备或介质需送交外单位维修、维护前，应确认设备或介质内的数据已进行不可逆的擦除或加密。第三十四条存放生产数据的设备、介质需要更换用途或下线时，应履行审批手续，并以安全可靠的技术手段擦除数据，防止敏感信息泄露。第五章数据的删除和销毁第三十五条信息系统下线时，应由该信息系统的运维人员做好所承载数据的备份和删除。第三十六条服务器和存储设备的硬盘报废前应采用消磁等措施将硬盘中的数据销毁。5第六章附则第三十七条本制度属于管理办法，由信息技术中心负责制定、解释和修订。第三十八条涉密数据还应遵守国家和公司对涉密数据的相关规定。第三十九条敏感岗位相关的数据还应遵守公司对敏感岗位的相关规定。第四十条如发生组织架构和岗位调整，则原单位和岗位的职责分工由原单位落实至新单位和岗位承担。第四十一条本制度自印发之日起生效。