数据安全管理标准规定.docVIP

XXX 数据安全管理要求 编 制：____________________ 审 核：____________________ 批 准：____________________ [本文件中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明，版权均属XXX全部，受到相关产权及版权法保护。任何个人、机构未经XXX书面授权许可，不得以任何方法复制或引用本文件任何片断。] 分发控制 分发对象 文档权限 说明 XXX内部职员 只读 文件版本信息 版本 日期 拟稿和修改 说明 文件版本信息说明 文件版本信息统计本文件提交时目前有效版本控制信息，目前版本文件使用期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参考资料之目标。 总 则 为确保XXX信息系统关键数据安全，维护数据全部者权利，明确利益相关者责任和义务，根据分类管理、分级保护、授权使用标准，依据《XXX信息系统安全管理要求》及国家信息系统安全等级保护等相关要求，特制订本要求。 本要求所管理数据均为非涉密数据，XXX系统已标识密级文件或已申明密级数据不纳入本要求管理范围。 本要求适适用于全国XXX信息系统环境中数据安全管理工作。XXX各单位、部门均应按本要求开展数据安全管理工作。 术语定义 本要求所称数据全部者是指，对所管理业务领域内信息或信息系统，有权获取、创建、维护和授权业务主管。 本要求所称利益相关者包含数据创建者、数据全部者、数据管理者、数据使用者及信息安全管理人员。 本要求所管理数据涵盖以纸质、电子等形式存在文件和非文件形式信息及其衍生物。其中，非文件形式数据包含数据库及配置文件中数据、配置信息等。 职责定义 数据创建者负责针对其所创建数据内容和价值提出分类分级提议，提交对应等级数据全部者确定。 来自XXX信息系统以外数据，数据承接者视同创建者行使提出分级分类提议责任和义务。 数据全部者含有确定数据类别和敏感等级、确定销毁、提出技术保障需求、审查自检和审计汇报、做出安全事件处理决定等权利和义务。其中，XXX业务数据全部者为XXX指定对应业务部门。 各类数据责任部门是该类数据管理者。数据管理者作为数据全部者代理者，代理数据全部者从事数据管理工作，负责其所管辖范围内数据安全管理工作。数据管理者职责包含但不限于：数据类别和敏感等级标识和申明，依据等级进行管理和保护，数据使用培训，实施销毁操作并申明，定时自查提交汇报，配合数据安全违规调查等。 分类和分级 数据按其内容和用途不一样分为技术类数据、行政管理类数据、业务类数据和安全运行类数据。 数据分级应依据其价值、内容敏感程度、影响及发放范围进行确定。 数据管理者负责制订其分管领域内数据敏感等级划分规则，并制订和公布本部门或本事域数据敏感等级目录。 标识和申明 数据分类分级标识、申明是数据不可分割一部分，自其标识、申明之日起，数据及其标识、申明不得分离，数据管理者和数据使用者均须根据标识、申明类别和等级安全管理和使用数据。 对于文件形式数据，须由数据管理者在文件显著位置标识其类别、敏感等级、失效日期等，且文件和标识不能分开。标识应该醒目，标识格式应统一，标识方法应便于审计。对于非文件形式高敏感等级数据，如无法标识，须进行申明。 失效日期指数据敏感等级有效性截止日期。抵达失效日期后，应对数据进行重定级。 对于敏感等级高数据，须由管理者对数据名称、类别、敏感等级、失效日期等以申明文件形式进行申明，申明文件须由数据全部者审批签字。申明文件须跟随数据一起保管和传输。（申明文件模版详见附件） 多个不一样敏感等级数据合并在一起时，按最高敏感等级给混合数据进行标识和申明。 保管和保护 数据管理者须根据数据敏感等级实施对应保管和保护方法，并确保满足数据全部者对数据安全要求。 数据管理者在日常管理中，须对数据按敏感等级分级防护，采取对应存放、归档、设定保留期限等方法。 敏感等级高数据纸质文件须参考XXX秘密级文件安全管理要求进行保管和保护。敏感等级高电子数据须采取必需访问控制方法。 数据管理工作应该首选技术手段加管理要求实现。必需加强针对数据管理工作技术手段研究、选型、布署、维护等。 敏感等级高数据自产生之日起，全部者提出技术保障需求应同时到位。如技术上无法达成，技术部门应连续跟踪技术进展，逐步使技术手段能够满足各项管理要求；对于已成熟并可采纳技术手段，技术部门应验证其功效可靠性，逐步引入，连续优化技术保障工作。 数据使用 数据使用者在使用数据时，须注意识别数据敏感等级，根据其敏感级规范数据操作使用行为；使用中发觉问题立即反应，发觉违规行为立即举报，并主动配合违规事件调查；自觉遵守数据管理要求。 数据使用