数据安全管理办法V1.0.docVIP

- PAGE II- 分类号 密 级 编 号 XXX XXXX有限公司 数据安全管理办法 （征求意见稿） 编制： ： 张饶波 审核： ： 徐明 生效日期： ： 2021.1.8 ： ： 二〇二一年十二月 目录 1199268332_WPSOffice_Level1 第一章 总则 1 1968828829_WPSOffice_Level1 第二章 部门分工及职责 1 1678096027_WPSOffice_Level1 第三章 数据安全分级 1 857189738_WPSOffice_Level2 数据安全分级原则 1 1467622490_WPSOffice_Level2 数据信息分级 2 334019988_WPSOffice_Level1 第四章 数据使用要求 2 351685058_WPSOffice_Level1 第五章 数据备份要求 3 895773262_WPSOffice_Level1 第六章 数据存储介质的保管 3 1400848964_WPSOffice_Level1 第七章 数据的保密 4 - 总则 为了规范信息系统的数据管理工作，真实、有效地保存和使用各类数据，保证信息系统的安全运行，根据《中华人民共和国计算机信息系统安全保护条例》及相关法律、行政法规的规定，特制定本办法。 本办法所指的数据包括各类业务数据以及各种系统软件、应用软件、配置参数等。 部门分工及职责 基于数据治理组织构架，在合规或IT部门成立专业化数据安全 团队。通过与数据治理组织的协同配合，保证能长期持续执行数据安全 管理工作 制定数据安全的决策机制，界定部门和角色（受众）职责和权限， 使数据安全任务有的放矢 灵活设计该组织的结构、规模和形式，协同多方部门积极参与数 据安全管理过程。 数据信息涉及各类人员的职责如下： 拥有者：拥有数据的所有权；拥有对数据的处置权利；对数据进行分类与分级；指定数据资产的管理者/维护人； 管理者：被授权管理相关数据资产；负责数据的日常维护和管理； 访问者：在授权的范围内访问所需数据；确保访问对象的机密性、完整性、可用性等； 数据安全分级 数据安全分级原则 分级合理性 数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘，而且使用和执行起来也不经济实用。 分级周期性 数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变，可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。 数据信息分级 数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下： 等级 标识 数据信息价值定义 5 很高 重要程度很高，其安全属性破坏后可能导致系统受到非常严重的影响 4 高 重要程度较高，其安全属性破坏后可能导致系统受到比较严重的影响 3 中 重要程度较高，其安全属性破坏后可能导致系统受到中等程度的影响 2 低 重要程度较低，其安全属性破坏后可能导致系统受到较低程度的影响 1 很低 重要程度都很低，其安全属性破坏后可能导致系统受到很低程度的影响，甚至忽略不计 数据使用要求 信息系统实行安全等级保护，软件使用权限按程序审批，相关软件使用人员按业务指定权限使用、操作相应的软件，并且定期或不定期地更换不同的密码口令。 业务软件的使用主体为系统各部门，（0A）系统的使用主体为在编人员。录入数据的完整性、正确性和实时性由各相关录入部门、人员负责。数据安全团队负责软件和数据的安装维护，以及数据的安全保护。 其他单位需要部门提供数据的，根据有关规定，按密级经分管领导签字同意后，由数据安全团队提供。 数据备份要求 数据安全团队按照数据的分类和特点，分别制定相应的备份策略，包括日常备份、特殊日备份、版本升级备份以及各类数据的保存期限、备份方式、备份介质、数据清理周期等。 数据备份管理人员必须仔细检查备份作业或备份程序的执行情况，核实备份数据的有效性，确保备份数据的正确性和完整性。 数据备份管理人员定期对各类数据进行安全备份： 对最近一周内的数据每天备份：周一至周日对数据进行全备份（对于大存储量的数据，可进行增量备份）； 对最近一月内的数据，每周保留一个全备份； 对最近一年内的数据，每月保留一个全备份； 每年至少保留一个全备份。 对于数据库服务器、web服务器、网络设备的参数配置，在每次做过更改后，要及时备份。 数据备份要求异机备份，并且不能备份在WEB或FTP等公共访问站点上；月备份和年备份同时要求至少一个离线备份。 数据存储介质的保管 用于存放数据的磁盘、磁带、光盘、软盘等存储介质，必须符合相关的产品技术规范和要求。 数据安全团队对存放备份数据的介质必须进行定期抽