信息科技创新项目数据安全保护要求.pdfVIP

信息科技创新项目数据安全保护要求 1 范围 本标准规定了信息技术应用创新项目数据安全保护的要素和方法。 本标准适用于组织对信息技术应用创新项目数据安全的保护工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069信息安全技术 术语 3 术语和定义 下列术语和定义适用于本文件。 3.1 网络安全 cyber security（数据安全） 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 4 主要内容 4.1 通用安全 4.1.1 数据分类分级(美) a) 应明确数据分类分级原则、标准和方法，并建立数据分类分级模型。 b) 应建立统一数据分类分级及数据资产管理工具，实现对数据的分类分级自动识别，形成数据分 类分级结果报告，持续跟踪数据分类分级标识效果。 c) 应对不同类别和级别的数据开展关键安全点梳理，并针对不同的安全点建立相应的安全技术措 施，包括访问控制、数据脱敏、数据加密等安全管理和控制措施。 4.2 数据安全 4.2.1 产生阶段（管理+技术） 4.2.1.1 数据生产/录入岗位权限 应对数据产生、录入等相关岗位的帐号配置最小权限；删除数据时，应对操作内容进行二次审核授 权。 4.2.1.2 安全审计 a) 应对用户进行安全审计，记录并审核用户的协议、行为及安全事件；审计记录应包含事件的日 期和时间、事件类型、主体标识、客体标识和结果等内容； b) 审计记录应禁止被修改； c) 审计记录应定期进行备份； d) 审计进程应确保未被挂起或中断； e) 应具备异常分析手段，发现异常用户和实体行为。 4.2.1.3 数据源鉴别 a) 应明确数据采集的目的、用户、方式、范围、采集源等，对外部采集的数据须确认其合法性和 完整性，防止数据被仿冒或伪造； b) 应对采集过程中的数据进行数据溯源并记录，确保数据源采集的可追溯性。 c) 对产生数据的数据源进行身份鉴别和记录，防止数据仿冒和数据伪造，应满足以下要求： —组织建设:应建立相关组织，指定人员负责对数据源进行鉴别和记录； —制度流程:应制定数据源管理的相关制度,规范数据源采集流程； —人员能力:岗位人员应理解数据源鉴别标准和熟悉内外部数据采集的业务（流程）,并能够结 合实际情况执行。 —技术工具:应采取技术手段对内外部收集的数据和数据源进行识别和记录；应采取技术手段 对追溯数据进行安全保护，关键追溯数据须进行备份。 4.2.1.4 数据质量保障 a) 应采取适当的措施确保数据的准确性，可用性，完整性和时效性； b) 应建立有效的数据纠错机制； c) 应建立机制,定期检查数据的质量。 4.2.2 存储阶段（管理+技术） 4.2.2.1 数据库高可用性 数据存储应须考虑数据库的高可用性，应满足以下要求： a) 数据库应具备一定的抗攻击能力，确保避免主数据宕机影响正常使用； b) 数据库应具备一定数据冗余能力，如日志异步、同步、存储同步等； c) 冗余数据应保证其一致性； d) 应明确启用冗余资源的方法，如故障的感知与应对方法； e) 应建立数据库读写分离机制。 4.2.2.2 数据库可靠性 a) 数据库应具备用户登录验证机制，对登录用户进行校验； b) 数据库应具备配置最小权限功能，可精确分配用户权限； c) 具有安全审计能力，并实现数据库的访问危险操作阻断； d) 应采取措施，防止数据库内容被非法修改； e) 应采取措施，防止非授权用户对数据库的恶意存取和破坏； f) 应采取措施，防止数据库中重要或敏感的数据被泄露；应及时发现系统漏洞并修补，无法修补 的应采取其他安全防护措施防止外部攻击； 4.2.2.3 数据库审计 a) 应实时对数据库操作进行细粒度审计，对危险操作进行告警； b) 应识别数据库越权使用、权限滥用，管理数据库帐号权限；