中国人民银行业务领域数据安全管理办法（2025年） 第三十二条

第三十二条 数据处理者应当针对业务数据存储活动采取下列安全保护措施：

有效隔离信息系统开发测试环境与生产环境。

存储重要数据的信息系统应当满足三级网络安全等级保护要求，存储核心数据的信息系统应当满足四级网络安全等级保护要求或者关键信息基础设施保护要求，并优先采购安全可信的网络产品和服务。

原则上高敏感性数据项须加密存储，确需不加密存储的，数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的，按照其规定执行。

及时评估并调整业务数据存储承载容量。对照信息系统数据恢复点目标，做好生产环境业务数据冗余备份，按照中国人民银行要求定期验证冗余备份业务数据的可用性。评估备份技术措施是否具备防范生产环境业务数据和冗余备份业务数据同时遭到篡改、破坏等风险的能力，并针对性加强安全保护措施。