数据处理者应当留存业务数据处理活动日志至少六个月；对于与存储重要数据信息系统相关的业务数据处理活动日志，应当留存至少一年；对于与存储核心数据信息系统相关的业务数据处理活动日志，应当留存至少三年。
　　数据处理者向其他数据处理者提供、委托处理个人信息、重要数据的业务数据处理活动日志等记录，应当留存至少三年。
　　第三十一条 数据处理者应当优先采用直接录入或者信息系统间交互的方式收集业务数据。采用直接录入方式收集业务数据的，应当验证录入人身份；采用信息系统间交互方式收集高敏感性数据项的，应当验证数据提供方身份。
　　数据处理者应当采取关联信息交叉核验等技术措施，尽可能保障收集业务数据的准确性。
　　数据处理者采用自动化工具方式从其他数据处理者收集业务数据的，应当遵守其数据收集的控制规则，不得干扰网络服务正常运行，不得侵害其他机构网络服务合法运营权益。
　　第三十二条 数据处理者应当针对业务数据存储活动采取下列安全保护措施：
　　（一）有效隔离信息系统开发测试环境与生产环境。
　　（二）存储重要数据的信息系统应当满足三级网络安全等级保护要求，存储核心数据的信息系统应当满足四级网络安全等级保护要求或者关键信息基础设施保护要求，并优先采购安全可信的网络产品和服务。
　　（三）原则上高敏感性数据项须加密存储，确需不加密存储的，数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的，按照其规定执行。
　　（四）及时评估并调整业务数据存储承载容量。对照信息系统数据恢复点目标，做好生产环境业务数据冗余备份，按照中国人民银行要求定期验证冗余备份业务数据的可用性。评估备份技术措施是否具备防范生产环境业务数据和冗余备份业务数据同时遭到篡改、破坏等风险的能力，并针对性加强安全保护措施。
　　第三十三条 数据处理者应当明确高敏感性数据项的脱敏处理策略，切实降低脱敏业务数据仍可识别至特定个人、组织的风险。
　　数据处理者应当建立终端设备安全管控策略，明确安全防护措施要求。业务数据展示、打印时应当采取技术措施标识当前使用业务数据的业务处理账号和使用时间。
　　除开发测试环境与生产环境业务数据安全保护措施完全一致的情形外，生产环境数据项用于开发测试环境的，应当履行内部审批程序并实施脱敏处理。
　　第三十四条 数据处理者应当建立业务数据加工算法风险评估和控制策略，明确可解释性、脆弱性等风险对应的防范或者缓释措施和停止使用加工算法开展自动化决策时的替代方案。
　　第三十五条 数据处理者应当针对业务数据传输活动采取下列安全保护措施：
　　（一）优先采取专用线路、虚拟专用网等技术加强业务数据传输安全保护。
　　（二）健全访问控制和安全隔离策略，加强相关终端设备准入控制。
　　（三）原则上高敏感性数据项须加密传输至其他数据处理者、其他数据中心或者互联网。确需不加密传输的，数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据传输有使用商用密码保护特别规定的，按照其规定执行。
　　（四）及时评估并调整通信线路的传输承载容量，加强通信线路和相关软硬件设备的冗余备份。
　　第三十六条 数据处理者应当动态维护本机构提供业务数据的前置网关和应用程序接口清单，并在前置网关和应用程序接口变更投产前开展安全测试，发现风险隐患立即采取补救措施。
　　数据处理者采用隐私计算等技术提供业务数据的，应当建立技术风险评估和控制策略，明确安全不可验证、性能不可接受等风险的应对措施。
　　第三十七条 数据处理者应当制定本机构公开的业务数据是否允许自动化工具收集的控制规则，并采取必要技术措施保障公开的业务数据不被篡改。
　　第三十八条 数据处理者应当明确业务数据存储介质销毁策略，规范销毁实施方式和过程监督程序。
　　第五章 业务数据安全风险与事件管理
　　第三十九条 数据处理者应当加强业务数据处理活动风险监测，有效识别下列风险并立即采取补救措施：
　　（一）存在法律、行政法规禁止发布传输的信息。
　　（二）存在计算机病毒、木马、勒索等恶意程序，数据安全漏洞、认证口令强度偏低等缺陷。
　　（三）高敏感性数据项安全保护措施失效。
　　（四）异常的业务数据处理活动。
　　（五）业务数据传输或者存储承载能力不足。
　　第四十条 数据处理者应当加强对业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据，以及其他与本机构有关的业务数据安全负面舆情的风险监测，发现相关风险时应当立即核实处置。
　　第四十一条 中国人民银行及其分支机构通报与业务数据相关的数据安全缺陷、漏洞等风险时，数据处理者应当立即核实处置，并根据通报要求按时准确反馈情况。
　　鼓励数据处理者向中国人民银行及其分支机构提供具有行业共享价值的业务数据安全风险情报。
　　第四十二条 重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。除法律、行政法规已明确应当评估的内容外，风险评估报告还应当包含与存储重要数据信息系统相关的人员培训与日常管理情况，与业务数据相关的岗位职责落实情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况，以及中国人民银行要求的其他评估内容。

总共6页  [1] [2] [3] 4 [5] [6] 
上一页  下一页