数据安全管理规范.docxVIP

文件名称 数据安全管理规范 密级 文件编号 编写部门 审 批 人 版 本 号 编 写 人 发布时间 业 务 平 台 安 全 管 理 制 度 —数据安全管理规范 XXXXXXXXXXX 公司网络运行维护事业部 目录 一. 概述 ................................................. 1 二. 数据信息安全管理制度 2 数据信息安全存储要求 2 数据信息传输安全要求 2 数据信息安全等级变更要求 3 数据信息安全管理职责................................... 3 三. 数据信息重要性评估 ................................... 4 数据信息分级原则 4 数据信息分级 4 四. 数据信息完整性安全规范 5 五. 数据信息保密性安全规范 6 密码安全 6 密钥安全............................................... 6 六. 数据信息备份与恢复 ................................... 8 数据信息备份要求 8 备份要求 8 备份执行与记录 8 备份恢复管理........................................... 8 一. 概述 数据信息安全，顾名思义就是要保护数据信息免受威胁的影响， 从而确保业务平台的连续性， 缩减业务平台有可能面临的风险， 为整 个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理，保证数据信息的可用性、完整性、 机密性，特制定本规范。 二 二 .数据信息安全管理制度 . 2.1 数据信息安全存储要求 数据信息存储介质包括：纸质文档、语音或者其录音、输出报告、 硬盘、磁带、光存储介质。 存储介质管理须符合以下规定： 包含重要、敏感或者关键数据信息的挪移式存储介质须专人值 守。 删除可重复使用存储介质上的机密及绝密数据时， 为了避免在 可挪移介质上遗留信息，应该对介质进行消磁或者彻底的格式 化，或者使用专用的工具在存储区域填入无用的信息进行覆 盖。 任何存储媒介入库或者出库需经过授权， 并保留相应记录， 方便 审计跟踪。 2.2 数据信息传输安全要求 在对数据信息进行传输时， 应该在风险评估的基础上采用合理 的加密技术，选择和应用加密技术时，应符合以下规范： 必须符合国家有关加密技术的法律法规； 根据风险评估确定保护级别， 并以此确定加密算法的类型、 属性，以及所用密钥的长度； 听取专家的建议，确定合适的保护级别，选择能够提供所 需保护的合适的工具。 机密和绝密信息在存储和传输时必须加密，加密方式可以分 为：对称加密和不对称加密。 机密和绝密数据的传输过程中必须使用数字签名以确保信息 的不可否认性，使用数字签名时应符合以下规范： 充分保护私钥的机密性，防止窃取者伪造密钥持有人的签 名。 采取保护公钥完整性的安全措施，例如使用公钥证书； 确定签名算法的类型、属性以及所用密钥长度； 用于数字签名的密钥应不同于用来加密内容的密钥。 2.3 数据信息安全等级变更要求 数据信息安全等级时常需要变更.普通地，数据信息安全等级变 更需要由数据资产的所有者进行， 然后改变相应的分类并告知信息安 全负责人进行备案.。对于数据信息的安全等级，应每年进行评审， 只要实际情况允许， 就进行数据信息安全等级递减， 这样可以降低数 据防护的成本，并增加数据访问的方便性。 2.4 数据信息安全管理职责 数据信息涉及各类人员的职责如下： 拥有者：拥有数据的所有权；拥有对数据的处置权利；对数据 进行分类与分级；指定数据资产的管理者/维护人； 管理者： 被授权管理相关数据资产； 负责数据的日常维护和管 理； 访问者： 在授权的范围内访问所需数据； 确保访问对象的机密 性、完整性、可用性等； 三 三 .数据信息重要性评估 . 3.1 数据信息分级原则 分级合理性 数据信息和处理数据信息分级的系统输应当子细考虑分级范畴 的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很 累坠，而且使用和执行起来也不经济实用。 分级周期性 数据信息的分级具有一定的保密期限.对于任何数据信息的分级 都不一定自始至终固定不变， 可按照一些预定的策略发生改变。 如果 把安全保护的分级划定得过高就会导致不必要的业务开支。 3.2 数据信息分级 数据信息应按照价值、 法律要求及对组织的敏感程度和关键程度 进行分级,分级等级如下