資源描述:
《數(shù)據(jù)安全管理規(guī)定.pdf》由會員上傳分享�,免費在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1���、XXX數(shù)據(jù)安全管理規(guī)定編制:____________________審核:____________________批準:____________________[本文件中出現(xiàn)的任何文字敘述����、文檔格式、插圖�、照片、方法����、過程等內(nèi)容,除另有特別注明�����,版權(quán)均屬XXX所有��,受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護�。任何個人、機構(gòu)未經(jīng)XXX的書面授權(quán)許可���,不得以任何方式復(fù)制或引用本文件的任何片斷����。]1.分發(fā)控制分發(fā)對象文檔權(quán)限說明XXX內(nèi)部員工只讀2.文件版本信息版本日期擬稿和修改說明3.文件版本信息說明文件版本信息記錄本文件提交時的當前有效的版本控制信息���,當前版本文件有效期將在新版本文檔生效時自動結(jié)束��。文件版本小
2�����、于1.0時����,表示該版本文件為草案,僅可作為參照資料之目的��。第一章總則第一條為保證XXX信息系統(tǒng)核心數(shù)據(jù)安全����,維護數(shù)據(jù)所有者權(quán)利,明確利益相關(guān)者的責任與義務(wù)�����,按照分類管理�、分級保護、授權(quán)使用的原2/11則�,根據(jù)《XXX信息系統(tǒng)安全管理規(guī)定》及國家信息系統(tǒng)安全等級保護等有關(guān)要求�����,特制訂本規(guī)定。第二條本規(guī)定所管理的數(shù)據(jù)均為非涉密的數(shù)據(jù)�,XXX系統(tǒng)已標識密級的文件或已聲明密級的數(shù)據(jù)不納入本規(guī)定管理范疇。第三條本規(guī)定適用于全國XXX信息系統(tǒng)環(huán)境中的數(shù)據(jù)安全管理工作����。XXX各單位、部門均應(yīng)按本規(guī)定開展數(shù)據(jù)安全管理工作���。第二章術(shù)語定義第四條本規(guī)定所稱數(shù)據(jù)所有者是指��,對所管理業(yè)務(wù)領(lǐng)域內(nèi)的信息或信息系統(tǒng)���,有
3、權(quán)獲取����、創(chuàng)建、維護和授權(quán)的業(yè)務(wù)主管���。第五條本規(guī)定所稱利益相關(guān)者包括數(shù)據(jù)創(chuàng)建者��、數(shù)據(jù)所有者���、數(shù)據(jù)管理者���、數(shù)據(jù)使用者及信息安全管理人員。第六條本規(guī)定所管理的數(shù)據(jù)涵蓋以紙質(zhì)����、電子等形式存在的文件和非文件形式的信息及其衍生物。其中�,非文件形式的數(shù)據(jù)包括數(shù)據(jù)庫及配置文件中的數(shù)據(jù)、配置信息等����。第三章職責定義第七條數(shù)據(jù)創(chuàng)建者負責針對其所創(chuàng)建數(shù)據(jù)的內(nèi)容和價值提出分類分3/11級建議,提交對應(yīng)級別數(shù)據(jù)所有者確認����。第八條來自XXX信息系統(tǒng)以外的數(shù)據(jù),數(shù)據(jù)承接者視同創(chuàng)建者行使提出分級分類建議的責任和義務(wù)�。第九條數(shù)據(jù)所有者具有確認數(shù)據(jù)類別和敏感級別、確認銷毀�����、提出技術(shù)保障需求、審查自檢和審計報告�����、做出安全事件處置
4���、決定等權(quán)利和義務(wù)。其中���,XXX業(yè)務(wù)數(shù)據(jù)的所有者為XXX指定的相應(yīng)業(yè)務(wù)部門�����。第十條各類數(shù)據(jù)的責任部門是該類數(shù)據(jù)的管理者�。數(shù)據(jù)管理者作為數(shù)據(jù)所有者的代理者��,代理數(shù)據(jù)所有者從事數(shù)據(jù)管理工作�,負責其所管轄范圍內(nèi)數(shù)據(jù)的安全管理工作。數(shù)據(jù)管理者的職責包括但不限于:數(shù)據(jù)類別和敏感級別的標識與聲明��,根據(jù)級別進行管理與保護�,數(shù)據(jù)使用培訓(xùn),執(zhí)行銷毀操作并聲明�����,定期自查提交報告,配合數(shù)據(jù)安全違規(guī)調(diào)查等�����。第四章分類與分級第十一條數(shù)據(jù)按其內(nèi)容和用途不同分為技術(shù)類數(shù)據(jù)�、行政管理類數(shù)據(jù)、業(yè)務(wù)類數(shù)據(jù)以及安全運行類數(shù)據(jù)��。第十二條數(shù)據(jù)分級應(yīng)根據(jù)其價值�、內(nèi)容的敏感程度、影響及發(fā)放范圍進行確定���。第十三條數(shù)據(jù)管理者負責制定其分管領(lǐng)
5��、域內(nèi)數(shù)據(jù)敏感等級的劃分4/11規(guī)則���,并制定和發(fā)布本部門或本領(lǐng)域的數(shù)據(jù)敏感等級目錄。第五章標識與聲明第十四條數(shù)據(jù)的分類分級標識�、聲明是數(shù)據(jù)不可分割的一部分,自其標識�、聲明之日起,數(shù)據(jù)及其標識��、聲明不得分離,數(shù)據(jù)管理者和數(shù)據(jù)使用者均須按照標識�、聲明的類別和級別安全管理和使用數(shù)據(jù)。第十五條對于文件形式的數(shù)據(jù)��,須由數(shù)據(jù)管理者在文件明顯位置標識其類別�����、敏感級別�、失效日期等��,且文件和標識不能分開�����。標識應(yīng)該醒目�,標識格式應(yīng)統(tǒng)一,標識方法應(yīng)便于審計���。對于非文件形式的高敏感級別數(shù)據(jù)���,如無法標識,須進行聲明�。第十六條失效日期指數(shù)據(jù)敏感級別的有效性截止日期����。到達失效日期后�,應(yīng)對數(shù)據(jù)進行重定級。第十七條對于敏感級
6����、別高的數(shù)據(jù),須由管理者對數(shù)據(jù)名稱�、類別、敏感級別�、失效日期等以聲明文件的形式進行聲明,聲明文件須由數(shù)據(jù)所有者審批簽字��。聲明文件須跟隨數(shù)據(jù)一起保管和傳遞����。(聲明文件模版詳見附件)第十八條多個不同敏感級別的數(shù)據(jù)合并在一起時,按最高敏感級別給混合數(shù)據(jù)進行標識和聲明�����。5/11第六章保管與保護第十九條數(shù)據(jù)管理者須按照數(shù)據(jù)的敏感級別實施對應(yīng)的保管與保護措施��,并確保滿足數(shù)據(jù)所有者對數(shù)據(jù)的安全要求��。第二十條數(shù)據(jù)管理者在日常管理中,須對數(shù)據(jù)按敏感級別分級防護�,采取對應(yīng)的存儲、歸檔���、設(shè)定保存期限等措施�����。第二十一條敏感級別高的數(shù)據(jù)紙質(zhì)文件須參照XXX秘密級文件安全管理規(guī)定進行保管和保護�。敏感級別高的電子數(shù)據(jù)須采
7�、用必要的訪問控制措施����。第二十二條數(shù)據(jù)管理工作應(yīng)該首選技術(shù)手段加管理要求實現(xiàn)。必須加強針對數(shù)據(jù)管理工作的技術(shù)手段的研究�、選型、部署�����、維護等���。第二十三條敏感級別高的數(shù)據(jù)自產(chǎn)生之日起�����,所有者提出的技術(shù)保障需求應(yīng)同步到位�����。如技術(shù)上無法達到�,技術(shù)部門應(yīng)持續(xù)跟蹤技術(shù)進展,逐步使技術(shù)手段能夠滿足各項管理要求��;對于已成熟并可采納的技術(shù)手段���,技術(shù)部門應(yīng)驗證其功能可靠性�,逐步引入�����,持續(xù)優(yōu)化技術(shù)保障工作��。第七章數(shù)據(jù)使用第二十四條數(shù)據(jù)使用者在使
