數(shù)據(jù)安全管理規(guī)范

《數(shù)據(jù)安全管理規(guī)范》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫。

1、專業(yè)資料文件名稱數(shù)據(jù)安全管理規(guī)范密級(jí)文件編號(hào)版本號(hào)編寫部門編寫人審批人發(fā)布時(shí)間業(yè)務(wù)平臺(tái)安全管理制度—數(shù)據(jù)安全管理規(guī)范XXXXXXXXXXX公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部word文檔下載可編輯專業(yè)資料目錄一.概述1二.數(shù)據(jù)信息安全管理制度22.1數(shù)據(jù)信息安全存儲(chǔ)要求22.2數(shù)據(jù)信息傳輸安全要求22.3數(shù)據(jù)信息安全等級(jí)變更要求32.4數(shù)據(jù)信息安全管理職責(zé)3三.數(shù)據(jù)信息重要性評(píng)估43.1數(shù)據(jù)信息分級(jí)原則43.2數(shù)據(jù)信息分級(jí)4四.數(shù)據(jù)信息完整性安全規(guī)范5五.數(shù)據(jù)信息保密性安全規(guī)范65.1密碼安全65.2密鑰安全6六.數(shù)據(jù)信息備份與恢復(fù)86

2、.1數(shù)據(jù)信息備份要求86.1.1備份要求86.1.2備份執(zhí)行與記錄86.2備份恢復(fù)管理8word文檔下載可編輯專業(yè)資料一.概述數(shù)據(jù)信息安全，顧名思義就是要保護(hù)數(shù)據(jù)信息免受威脅的影響，從而確保業(yè)務(wù)平臺(tái)的連續(xù)性，縮減業(yè)務(wù)平臺(tái)有可能面臨的風(fēng)險(xiǎn)，為整個(gè)業(yè)務(wù)平臺(tái)部門的長期正常運(yùn)行提供強(qiáng)有力的保障。為加強(qiáng)數(shù)據(jù)信息的安全管理，保證數(shù)據(jù)信息的可用性、完整性、機(jī)密性，特制定本規(guī)范。word文檔下載可編輯專業(yè)資料一.數(shù)據(jù)信息安全管理制度1.1數(shù)據(jù)信息安全存儲(chǔ)要求數(shù)據(jù)信息存儲(chǔ)介質(zhì)包括：紙質(zhì)文檔、語音或其錄音、輸出報(bào)告、硬盤、磁帶、光存儲(chǔ)介質(zhì)。存

3、儲(chǔ)介質(zhì)管理須符合以下規(guī)定：u包含重要、敏感或關(guān)鍵數(shù)據(jù)信息的移動(dòng)式存儲(chǔ)介質(zhì)須專人值守。u刪除可重復(fù)使用存儲(chǔ)介質(zhì)上的機(jī)密及絕密數(shù)據(jù)時(shí)，為了避免在可移動(dòng)介質(zhì)上遺留信息，應(yīng)該對(duì)介質(zhì)進(jìn)行消磁或徹底的格式化，或者使用專用的工具在存儲(chǔ)區(qū)域填入無用的信息進(jìn)行覆蓋。u任何存儲(chǔ)媒介入庫或出庫需經(jīng)過授權(quán)，并保留相應(yīng)記錄，方便審計(jì)跟蹤。1.2數(shù)據(jù)信息傳輸安全要求u在對(duì)數(shù)據(jù)信息進(jìn)行傳輸時(shí)，應(yīng)該在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上采用合理的加密技術(shù)，選擇和應(yīng)用加密技術(shù)時(shí)，應(yīng)符合以下規(guī)范：n必須符合國家有關(guān)加密技術(shù)的法律法規(guī)；n根據(jù)風(fēng)險(xiǎn)評(píng)估確定保護(hù)級(jí)別，并以此確定加密算

4、法的類型、屬性，以及所用密鑰的長度；n聽取專家的建議，確定合適的保護(hù)級(jí)別，選擇能夠提供所需保護(hù)的合適的工具。u機(jī)密和絕密信息在存儲(chǔ)和傳輸時(shí)必須加密，加密方式可以分為：對(duì)稱加密和不對(duì)稱加密。u機(jī)密和絕密數(shù)據(jù)的傳輸過程中必須使用數(shù)字簽名以確保信息的不可否認(rèn)性，使用數(shù)字簽名時(shí)應(yīng)符合以下規(guī)范：n充分保護(hù)私鑰的機(jī)密性，防止竊取者偽造密鑰持有人的簽名。n采取保護(hù)公鑰完整性的安全措施，例如使用公鑰證書；n確定簽名算法的類型、屬性以及所用密鑰長度；n用于數(shù)字簽名的密鑰應(yīng)不同于用來加密內(nèi)容的密鑰。word文檔下載可編輯專業(yè)資料1.1數(shù)據(jù)信息

5、安全等級(jí)變更要求數(shù)據(jù)信息安全等級(jí)經(jīng)常需要變更.一般地，數(shù)據(jù)信息安全等級(jí)變更需要由數(shù)據(jù)資產(chǎn)的所有者進(jìn)行，然后改變相應(yīng)的分類并告知信息安全負(fù)責(zé)人進(jìn)行備案.。對(duì)于數(shù)據(jù)信息的安全等級(jí)，應(yīng)每年進(jìn)行評(píng)審，只要實(shí)際情況允許，就進(jìn)行數(shù)據(jù)信息安全等級(jí)遞減，這樣可以降低數(shù)據(jù)防護(hù)的成本，并增加數(shù)據(jù)訪問的方便性。1.2數(shù)據(jù)信息安全管理職責(zé)數(shù)據(jù)信息涉及各類人員的職責(zé)如下：u擁有者：擁有數(shù)據(jù)的所有權(quán)；擁有對(duì)數(shù)據(jù)的處置權(quán)利；對(duì)數(shù)據(jù)進(jìn)行分類與分級(jí)；指定數(shù)據(jù)資產(chǎn)的管理者/維護(hù)人；u管理者：被授權(quán)管理相關(guān)數(shù)據(jù)資產(chǎn)；負(fù)責(zé)數(shù)據(jù)的日常維護(hù)和管理；u訪問者：在授權(quán)的

6、范圍內(nèi)訪問所需數(shù)據(jù)；確保訪問對(duì)象的機(jī)密性、完整性、可用性等；word文檔下載可編輯專業(yè)資料一.數(shù)據(jù)信息重要性評(píng)估1.1數(shù)據(jù)信息分級(jí)原則分級(jí)合理性數(shù)據(jù)信息和處理數(shù)據(jù)信息分級(jí)的系統(tǒng)輸應(yīng)當(dāng)仔細(xì)考慮分級(jí)范疇的數(shù)量以及使用這種分級(jí)所帶來的好處。過于復(fù)雜的分級(jí)規(guī)劃可能很累贅，而且使用和執(zhí)行起來也不經(jīng)濟(jì)實(shí)用。分級(jí)周期性數(shù)據(jù)信息的分級(jí)具有一定的保密期限.對(duì)于任何數(shù)據(jù)信息的分級(jí)都不一定自始至終固定不變，可按照一些預(yù)定的策略發(fā)生改變。如果把安全保護(hù)的分級(jí)劃定得過高就會(huì)導(dǎo)致不必要的業(yè)務(wù)開支。1.2數(shù)據(jù)信息分級(jí)數(shù)據(jù)信息應(yīng)按照價(jià)值、法律要求及對(duì)組織

7、的敏感程度和關(guān)鍵程度進(jìn)行分級(jí),分級(jí)等級(jí)如下：等級(jí)標(biāo)識(shí)數(shù)據(jù)信息價(jià)值定義5很高重要程度很高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到非常嚴(yán)重的影響4高重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到比較嚴(yán)重的影響3中重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到中等程度的影響2低重要程度較低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到較低程度的影響1很低重要程度都很低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到很低程度的影響，甚至忽略不計(jì)word文檔下載可編輯專業(yè)資料一.數(shù)據(jù)信息完整性安全規(guī)范數(shù)據(jù)信息完整性應(yīng)符合以下規(guī)范：u確保所采取的數(shù)據(jù)信息管理和技術(shù)措

8、施以及覆蓋范圍的完整性。u應(yīng)能夠檢測(cè)到網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；u應(yīng)能夠檢測(cè)到網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)