6.信息安全管理办法.doc

湖北联通产品创新部 安全管理办法 产品创新部 (一) 概述 2 (二) 数据信息安全管理制度 2 2.1 数据信息安全存储要求 2 2.2 数据信息传输安全要求 2 2.3 数据信息安全等级变更要求 3 2.4 数据信息安全管理职责 3 (三) 数据信息重要性评估 3 3.1 数据信息分级原则 3 3.2 数据信息分级 4 (四) 数据信息完整性安全规范 4 (五) 数据信息保密性安全规范 5 5.1 密码安全 5 5.2 密钥安全 6 (六) 数据信息备份与恢复 6 6.1数据信息备份要求 6 6.1.1 备份要求 6 6.1.2 备份执行与记录 7 概述 数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台维护部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。 数据信息安全管理制度 2.1 数据信息安全存储要求 数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定： 1.包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 2.删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。 3.任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2 数据信息传输安全要求 一．在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范： 1.必须符合国家有关加密技术的法律法规； 2.根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度； 3.听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。 4.机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。 二．机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范： 1充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。 2采取保护公钥完整性的安全措施，例如使用公钥证书； 3确定签名算法的类型、属性以及所用密钥长度； 4用于数字签名的密钥应不同于用来加密内容的密钥。 2.3 数据信息安全等级变更要求 数据信息安全等级经常需要变更.一般地，数据信息安全等级变更需要由数据资产的所有者进行，然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级，应每年进行评审，只要实际情况允许，就进行数据信息安全等级递减，这样可以降低数据防护的成本，并增加数据访问的方便性。 2.4 数据信息安全管理职责 数据涉及各类人员的职责如下： 拥有者：拥有数据的所有权；拥有对数据的处置权利；对数据进行分类与分级；指定数据资产的管理者/维护人； 管理者：被授权管理相关数据资产；负责数据的日常维护和管理； 访问者：在授权的范围内访问所需数据；确保访问对象的机密性、完整性、可用性等； 3.1 数据信息分级原则 分级合理性 数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘，而且使用和执行起来也不经济实用。 分级周期性 数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变，可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。 3.2 数据信息分级 数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下： 等级 标识 数据信息价值定义 5 很高 重要程度很高，其安全属性破坏后可能导致系统受到非常严重的影响 4 高 重要程度较高，其安全属性破坏后可能导致系统受到比较严重的影响 3 中 重要程度较高，其安全属性破坏后可能导致系统受到中等程度的影响 2 低 重要程度较低，其安全属性破坏后可能导致系统受到较低程度的影响 1 很低 重要程度都很低，其安全属性破坏后可能导致系统受到很低程度的影响，甚至忽略不计 数据信息完整性应符合以下规范： 1.应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； 应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； 应能够检测到重要程序的完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。 数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应