1-5数据安全管理制度.doc

XXX单位 数据安全管理制度 2013年11月 目录 1 总 则 3 2 数据安全管理的内容 3 3 数据管理制度 4 4 数据存储安全管理制度 4 5 数据库安全管理制度 5 6 罚则 5 7 附则 5 总 则 数据是XXX单位（以下简称“XX单位”）重要的信息资源，为了保障XX单位的数据安全，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关规定，制定本制度。 XX单位数据安全管理的目的，是为了防止数据的丢失、泄露与被破坏以及非法生成、变更，确保数据的完整性、可用性、保密性。 数据从采集、传输、处理、存储、发布、提供等各环节进行严格控制和管理，确保数据的安全。 XX单位数据安全管理的数据包括：所有利用计算机和计算机网络进行输入、存储、传输、处理、再加工和输出的数据。包括：文字材料、数据报表、各类原始凭证、图形图象等输入处理对象，计算机内部存储和网络传输的各类数据，计算机输出的磁存储、光存储及各类纸介质打印数据。其数据安全管理的范围包括数据输入、数据存储、数据传输、数据检查以及数据库管理。 本制度适用于XX单位所有科室数据安全的管理。 数据安全管理的内容 数据完整性是指系统在数据的采集、传输、处理、存储、提供等过程中通过各种技术手段和完善的规章制度，使数据不丢失、不被破坏，未经授权不被修改，保证数据的内容完整、正确。 数据内容的完整性，包括单个数据和系列数据的完整性，可以通过信息校验码和系列号技术手段和相应的制度得到保证。 为了保证数据的可用性，必须对数据的操作者和使用者进行职责授权和使用授权确认；必须对采集数据的合法性、输入数据的有效性及业务处理的正确性进行全面确认；必须采用各种有效的技术手段与岗位职责、行政和法律手段相结合的方法，确保采集、存储、传输、处理、加工和输出的数据正确可用。 对信息网络系统中的所有数据都应根据其重要性和应用需求，决定操作人员的存取权限和存取方式，采取相应的保密措施和管理办法，确定内部信息交流和对外信息发布的信息范围和报批手续。 网络设备、操作系统、数据库系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据等应采用加密或其他有效措施实现传输和存储的保密性。 数据管理制度 操作系统及数据库管理系统的系统管理员应由政治可靠、工作责任心强和业务技术水平高的人员担任，负责对系统的维护管理。 可以访问数据的用户需符合权限最小化原则，特定的用户只能拥有特定的权限，在给予的权限范围内进行操作。 系统应建立对资源访问的审计跟踪系统，审计记录：身份及验证机制的使用，用户对系统资源的访问，操作系统、数据库管理系统及网络系统安全管理员的行为，以及与数据安全相关的事件。审计记录的访问只能是被授权的只读访问，任何人不得修改。 系统应建立可信恢复系统，使系统出现异常情况或发生故障时，在不停止运行或短暂停止运行情况下可信地恢复到正常状态，保障系统的数据不丢失、不被破坏。 数据存储安全管理制度 所有数据存储设备必须安放在安全、可靠的地点，未经许可，不得擅自删除存储介质或存储设备中的任何数据。 计算机运行数据必须保存在有冗余设计的磁盘设备上，保证数据存储安全。对存储设备好做监控，发现存储故障及时处理，防止存储故障造成数据丢失情况。 所有已存数据的删除、复制、转移、更改等操作必须经过相关科室的同意方可进行。 数据库安全管理制度 数据库安全管理应指定专人负责对数据库的管理，数据库管理人员应明确管理职责，定时对数据库进行检查，检查情况应记入运行日志。 数据库管理人员应视工作量情况，以不影响工作为原则，每1～5天进行一次数据备份。不得因数据备份不及时、不完整造成工作损失。 数据库管理人员发现数据库不安全隐患或病毒威胁时，应采取措施加以预防或制止，必要时可以切断用户接入并向有关上级报告，安全隐患或病毒威胁消除后，应及时将切断用户接入。 使用人员应自觉接受数据库管理人员的监督，未经许可，不得擅自下载、安装、使用与工作无关的程序、软件。 数据库中的过期、冗余数据定期进行一次清理，清理中发现需要删除的数据，应书面报相关科室，经核对批准后方能进行。未经正式批准，不得擅自删除数据。 罚则 违反本制度的相关规定，导致数据丢失或者泄密应视情节轻重给予通报批评或按照XX单位相关处罚条例予以罚款或相应的行政处分；构成犯罪的，移送司法机关依法处理。 附则 本规定由XX单位信息中心负责解释。 本制度自颁布之日起发布执行。 本规定如与国家有关法律、法规不一致的，以国家法律、法规为准。 1