公司、企业数据库安全管理制度.docx

公司、企业数据库安全管理制度编制：日期：年月审核：日期：年月批准：日期：年月第一章总则第一条为了规范公司信息数据库（以下简称“数据库”）数据的录入、修改和使用行为，加强对数据库的管理，保护公司知识产权，确保数据库安全，构建公司核心竞争力，依据相关监管机构的监管规定以及自律机构的自律指引，结合公司实际，制定本制度。第二条本制度所称的数据库数据是指纳入公司管理体系的所有业务软件系统的数据。第三条本制度适用于公司所有业务的数据管理，包括但不限于信息采集、积累存储、分析处理及业务管理等数据。第四条公司业务开展过程中采集不同类别数据，如客户订单数据、运单轨迹数据等，经过积累、分析和加工形成了业务数据，这些数据对公司业务发展提供了重要支持和有力保障。第五条数据库采集、存储及加工的数据属于公司商业秘密，所有员工均负有保密义务。第二章职责分工第一条数据库的管理公司数据库的管理部门为信息技术部，负责评级信息数据库的日常维护和运行管理，具体包括数据库操作使用的组织管理、密码权限设置、数据库使用指导、数据库运行和管理制度执行检查、数据库定期备份、数据库升级优化改造等。第二条信息技术部负责人为数据维护负责人，负责整个数据库的运行安全及日常维护等管理工作。第三条数据的录入与使用公司的信用评级部门负责数据库不同类别数据的录入与使用，包括但不限于：（一）督促评级数据录入数据库，保证部门内录入数据质量；（二）配合信息技术部维护数据库的正常运行；（三）协助信息技术部制定数据库所需的数据标准；（四）及时补充、完善数据库，使不同类别数据得到适时更新；（五）缺失数据的补充完善以及错误数据的调整。第九条数据录入及数据审核人员的职责在公司评级业务开展过程中产生的数据由评级从业人员负责录入，其主要职责包括：（一）在现场考察和访谈结束后5个工作日内，应将该评级项目的相关信息输入评级数据库；（二）跟踪评级资料有更新的，应在跟踪评级工作结束前将更新资料录入数据库；2（三）评级从业人员需对所录入数据的真实性、准确性、完整性和及时性负责。第十条公司指定数据审核人员对所录入数据进行核查，并督促有关人员对虚假、不准确、遗漏或已过时的数据进行修改、补充等更新操作。第三章权限管理要求第十一条公司信息技术中心拥有数据库服务器及数据库的管理员权限，对数据库的日常运作进行全面管理维护。第十二条公司信息技术中心负责人应当确定数据库各类数据的修改权限，避免数据库的人为损坏。第十三条公司管理人员根据事先确定的权限使用数据库和其中的数据信息，本数据库用户权限相应分为普通用户和高级用户。第十四条公司普通用户享有对数据库中非加密数据的查询权限，并拥有录入数据和修改录入数据的权限。第十五条公司应定期向主管部门报告数据发展情况，根据监管机构信息披露的要求，及时披露相关数据。第十六条公司数据库使用人员在进行严格的身份验证后，方可按照相应权限进行数据录入、更新或查询操作。第四章数据安全管理第十七条公司信息技术中心负责数据库系统的安全管理，保证安全管理软件的及时升级。第十八条为保障公司数据库的安全运行，数据库使用人员必须遵守下列安全操作规定：（一）严格按照预先设定的操作权限操作，严禁越权操作，操作员须对自己用户名下的所有操作负责；在数据库系统上进行的操作以及业务时的操作数据要留痕以方便追溯。（二）制定备份策略，建立完整的灾备体系，隔天进行一次完整备份，备份介质包括网络存储、专用移动硬盘等，保存期限至少半年以上。（三）数据库运行期间，数据库管理员应对数据库的运行日志及使用情况进行监控，以便及时发现存在的问题，同时采取严密的安全措施，禁止无关人员接触数据库服务器；（四）在数据分析中所用到的工具、方法、模型和算法，数据库使用人员可要求信息技术部进行协助，信息技术部应为其提供力所能及的帮助；（五）数据库使用人员对数据库中的信息内容负有保密义务，未经本公司允许，不得将数据库中的信息泄露给其他机构和个人。第十九条信息技术中心不得进行数据录入、修改和更新，如果确需对数据实施维护，应按流程报请公司总监、数据组组长批准后方可实施。第二十条信息技术中心要保证数据库出现异常时能快速恢复，避免或尽量减少数据丢失。第二十一条除信息技术中心和经总监批准的人员外，其他人员不得进入公司机房。第五章数据保存第二十二条数据的保存方式本制度所指的所有业务的数据均以电子数据的方式保存，其他类型数据的管理依据公司管理制度执行。第二十三条数据的保存期限在公司业务存续的状态下，评业务所建立的数据库将永久保存。第二十四条公司终止业务时，公司应按相关监管部门的要求制订数据库数据的处理方案，并指定专人负责对数据库数据进行处理，且相关人员将对数据库数据继续负有保密义务。第六章数据库升级第二十五条数据库系统的升级优化改造应在征求公司部门意见和建议的基础上，由公司信息技术中心提出，并经评级总监、公司总经理（总裁）同意后方可实施。第二十六条公司可组织相关人员对数据库系统进行升级改造，也可委托外部机构实施。第二十七条公司升级改造数据库系统应当保证数据的延续性和历史数据的可用性。第二十八条员工在使用数据库的过程中，对公司数据库不完善或不方便使用之处，有信息监督和反馈的义务。第七章附则第二十九条本制度未尽事宜或与国家有关的法律、法规或相关规定相悖的，按有关规定执行。