币圈YY规定之三:信息系统安全
安全无小事,本篇主要介绍针对币圈信息系统的安全监管:
l 币圈经营机构应当建立独立于生产环境的专用开发测试环境,开发测试环境使用未脱敏数据的,应当采取与生产环境同等的安全控制措施。
l 币圈经营机构应当结合公司发展战略、市场交易规模等因素定期对重要信息系统开展压力测试和评估分析,确保其容量满足业务开展需要。
l 币圈经营机构应当建立健全信息系统安全监测机制,并指定专人跟踪监测发现的异常情形,及时处置并定期开展评估分析。
l 币圈经营机构应当妥善保存信息系统开发、测试、上线、变更及运维过程中产生的文档,并根据业务开展情况以及信息系统的重要程度建立与监测工作相适应的日志留痕机制。
l 币圈经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排,不得以任何理由未经客户同意的情况下向第三方机构或个人提供客户相关数据。(严重同意,强烈建议)
l 币圈经营机构应当完善用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。
l 币圈经营机构应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,应当公开收集、使用的规则和目的,并征得客户同意。(严重同意,强烈建议)
l 币圈经营机构应当制定并持续完善应急预案,包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、应急预案披露与更新机制等内容。
l 币圈经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息,提示客户防范和应对可能出现的风险。(严重同意,强烈建议)
此为征求意见稿,欢迎有志之士补充反馈相关意见!
This page is synchronized from the post: ‘币圈YY规定之三’