数据安全管理规范.docxVIP

数据平安管理规范 一. ?概述  数据信息平安，顾名思义就是要爱护数据信息免受威逼的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。  为加强数据信息的平安管理，保证数据信息的可用性、完整性、机密性，特制定本规范。  ?  二. 数据信息平安管理制度  2.1 数据信息平安存储要求  数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。  存储介质管理须符合以下规定： 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。删除可重复使用存储介质上的机密及绝密数据时，为了避开在可移动介质上遗留信息，应当对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。任何存储媒介入库或出库需经过授权，并保留相应记录，便利审计跟踪。 2.2 数据信息传输平安要求在对数据信息进行传输时，应当在风险评估的基础上接受合理的加密技术，选择和应用加密技术时，应符合以下规范：必需符合国家有关加密技术的法律法规；依据风险评估确定爱护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；听取专家的建议，确定合适的爱护级别，选择能够提供所需爱护的合适的工具。机密和绝密信息在存储和传输时必需加密，加密方式可以分为：对称加密和不对称加密。机密和绝密数据的传输过程中必需使用数字签名以确保信息的不行否认性，使用数字签名时应符合以下规范：充分爱护私钥的机密性，防止窃取者伪造密钥持有人的签名。实行爱护公钥完整性的平安措施，例如使用公钥证书；确定签名算法的类型、属性以及所用密钥长度；用于数字签名的密钥应不同于用来加密内容的密钥。 ? 2.3 数据信息平安等级变更要求  数据信息平安等级经常需要变更.一般地，数据信息平安等级变更需要由数据资产的全部者进行，然后转变相应的分类并告知信息平安负责人进行备案.。对于数据信息的平安等级，应每年进行评审，只要实际状况允许，就进行数据信息平安等级递减，这样可以降低数据防护的成本，并增加数据访问的便利性。  2.4 数据信息平安管理职责  数据信息涉及各类人员的职责如下： 拥有者：拥有数据的全部权；拥有对数据的处置权利；对数据进行分类与分级；指定数据资产的管理者/维护人；管理者：被授权管理相关数据资产；负责数据的日常维护和管理；访问者：在授权的范围内访问所需数据；确保访问对象的机密性、完整性、可用性等； ? 三. 数据信息重要性评估  3.1 数据信息分级原则  分级合理性  数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘，而且使用和执行起来也不经济有用。  ?  分级周期性  数据信息的分级具有肯定的保密期限.对于任何数据信息的分级都不肯定自始至终固定不变，可依据一些预定的策略发生转变。假如把平安爱护的分级划定得过高就会导致不必要的业务开支。  3.2 数据信息分级  数据信息应依据价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下：  等级  标识  数据信息价值定义  5  很高  重要程度很高，其平安属性破坏后可能导致系统受到格外严重的影响  4  高  重要程度较高，其平安属性破坏后可能导致系统受到比较严重的影响  3  中  重要程度较高，其平安属性破坏后可能导致系统受到中等程度的影响  2  低  重要程度较低，其平安属性破坏后可能导致系统受到较低程度的影响  1  很低  重要程度都很低，其平安属性破坏后可能导致系统受到很低程度的影响，甚至忽略不计 ? ? 四. 数据信息完整性平安规范  数据信息完整性应符合以下规范： 确保所实行的数据信息管理和技术措施以及覆盖范围的完整性。应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；具备完整的用户访问、处理、删除数据信息的操作记录能力，以备审计。在数据信息时，经过担忧全网络的（例如INTERNET网），需要对传输的数据信息提供完整性校验。应具备完善的权限管理策略，支持权限最小化原则、合理授权。 ? 五. 数据信息保密性平安规范  数据信息保密性平安规范用于保障业务平台重要业务数据信息的平安传