明文密钥管理制度.pdfVIP

文档编号明文密钥管理制度

版本号V1.0

密级内部公开

明文密钥管理制度

XXX信息技术有限公司

第1页共6页

文档信息

发布版本：V1.1

最后发布时间：XX

编写人：XX

审核人：XX

版本控制

编号修订人修订时间版本号修订内容说明

1

2

3

第2页共6页

目录

一、目的4

二、适用范围4

三、各方职责4

四、明文密钥生命周期管理5

4.1密钥生成5

4.2密钥录入5

4.3密钥使用5

4.4密钥更新和销毁5

4.5密钥备份/备案6

五、附则6

第3页共6页

一、目的

加密密钥主要用于各产品线敏感数据（如银行卡信息、个人身份信息等）的加/解密操

作，为保证敏感数据被解密造成的严重泄露风险，特定本规范，对密钥在生命周期各阶段的

应用进行规定。

二、适用范围

本规定所指密钥指的是易宝产品中使用的、录入到加密机中用于加/解密敏感数据的明

文密钥。为描述方便，以下均简称“密钥”。

注：已加密的密钥（如密码管理平台中存储的密钥）因风险较小，不纳入本规定范围。

三、各方职责

密钥管理基本原则为“敏感数据”和“明文密钥”的操作权限分离。基于该原则和实际业务

情况，对相关岗位的责任和注意事项明确如下：

角色涉及部门职责描述

职责：发起密钥使用需求，涉及到的角色包括产品经理、

密钥需求人员各产品线开发和运营人员。

注意事项：严禁密钥需求人员接触和获取明文密钥。

职责：负责密钥生成、录入、维护、销毁和备份的操作。

密钥管理人员系统部

注意事项：严禁密钥管理人员拥有查看生产数据权限。

职责：密钥使用过程中的重要问题确认或监督。

密钥监督人员信息安全部注意事项：严禁密钥监督人员拥有密钥管理和生产数据管

理权限。

职责：通过安全方式，从外部机构（一般为银行）获取密

密钥获取人员银行合作部钥后，转交给密钥监督人员或密钥管理人员。

注意事项：严禁密钥获取人员将密钥告知密钥需求人员。

第4页共6页

四、明文密钥生命周期管理

4.1密钥生成

因业务需求导致需要产生密钥的，其来源包括外部机构（一般为银行）提供和XXX生

成的2种方式：

外部机构提供。密钥获取人员通过安全方式获取密钥，密钥监督人员确认后，将密钥转

交给密钥管理人员进行录入处理，严禁将密钥发给密钥需求部门。

安全方式指外部机构专职人员现场输入、密码信封邮递以及加密邮件传输等方式，严禁