数据保密规范.docVIP

概述 数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。 一、数据信息安全管理制度 数据信息安全存储要求 数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定： 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。 任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 数据信息传输安全要求 在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范： 必须符合国家有关加密技术的法律法规； 根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度； 听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。 机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。 机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范： 充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。 采取保护公钥完整性的安全措施，例如使用公钥证书； 确定签名算法的类型、属性以及所用密钥长度； 用于数字签名的密钥应不同于用来加密内容的密钥。 数据信息安全等级变更要求 数据信息安全等级经常需要变更.一般地，数据信息安全等级变更需要由数据资产的所有者进行，然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级，应每年进行评审，只要实际情况允许，就进行数据信息安全等级递减，这样可以降低数据防护的成本，并增加数据访问的方便性。 数据信息安全管理职责 数据涉及各类人员的职责如下： 拥有者：拥有数据的所有权；拥有对数据的处置权利；对数据进行分类与分级；指定数据资产的管理者/维护人； 管理者：被授权管理相关数据资产；负责数据的日常维护和管理； 访问者：在授权的范围内访问所需数据；确保访问对象的机密性、完整性、可用性等；  数据信息分级原则 分级合理性 数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘，而且使用和执行起来也不经济实用。 分级周期性 数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变，可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。 数据信息分级 数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下： 等级 标识 数据信息价值定义 5 很高 重要程度很高，其安全属性破坏后可能导致系统受到非常严重的影响 4 高 重要程度较高，其安全属性破坏后可能导致系统受到比较严重的影响 3 中 重要程度较高，其安全属性破坏后可能导致系统受到中等程度的影响 2 低 重要程度较低，其安全属性破坏后可能导致系统受到较低程度的影响 1 很低 重要程度都很低，其安全属性破坏后可能导致系统受到很低程度的影响，甚至忽略不计  数据信息完整性应符合以下规范： 确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。 应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； 应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； 具备完整的用户访问、处理、删除数据信息的操作记录能力，以备审计。 在数据信息时，经过不安全网络的（例如INTERNET网），需要对传输的数据信息提供完整性校验。 应具备完善的权限管理策略，支持权限最小化原则、合理授权。  四、数据信息保密性安全规范 数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用，确保数据信息能够被安全、方便、透明的使用。为此，业务平台应采用加密等安全措施开展数据信息保密性工作： 应采用加密效措施实现重要业务数据信息传输保密性； 应采用加密实现重要业务数据信息存储保密性； 加密安全措施主要分为密码安全及密钥安全。 密码安全 密码的使用应该遵循以下原则： 不能将密码写下来，不能通过电子邮件传输； 不能使用缺省设