以下为《数据安全管理规范标准》的无排版文字预览,完整格式请下载
下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的,下载的文档就是什么样的。
文件名称
数据安全管理规范
密级
文件编号
版 本 号
编写部门
编 写 人
审 批 人
发布时间
业务平台安全管理制度
—数据安全管理规范
XXXXXXXXXXX公司网络运行维护事业部
目录
一. 概述 1
二. 数据信息安全管理制度 2
2.1 数据信息安全存储要求 2
2.2 数据信息传输安全要求 2
2.3 数据信息安全等级变更要求 3
2.4 数据信息安全管理职责 3
三. 数据信息重要性评估 4
3.1 数据信息分级原则 4
3.2 数据信息分级 4
四. 数据信息完整性安全规范 5
五. 数据信息保密性安全规范 6
5.1 ***
5.2 密钥安全 6
六. 数据信息备份与恢复 8
6.1 数据信息备份要求 8
6.1.1 备份要求 8
6.1.2 备份执行与记录 8
6.2 备份恢复管理 8
概述
数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。
为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
数据信息安全管理制度
数据信息安全存储要求
数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。
存储介质管理须符合以下规定:
包含重要、敏感或关键数据信息的移动式存储介质须专人值守。
删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。
任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。
数据信息传输安全要求
在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和应用加密技术时,应符合以下规范:
必须符合国家有关加密技术的法律法规;
根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密钥的长度;
听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。
机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称加密。
机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数字签名时应符合以下规范:
充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。
采取保护公钥完整性的安全措施,例如使用公钥证书;
确定签名算法的类型、属性以及所用密钥长度;
用于数字签名的密钥应不同于用来加密内容的密钥。
数据信息安全等级变更要求
数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。
数据信息安全管理职责
数据信息涉及各类人员的职责如下:
拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指定数据资产的管理者/维护人;
管理者:被授权管理相关数据资产;负责数据的日常维护和管理;
访问者:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性等;
数据信息重要性评估
数据信息分级原则
分级合理性
数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划 内容过长,仅展示头部和尾部部分文字预览,全文请查看图片预览。 时间、备份策略、备份路径、记录介质(类型)等。
备份恢复管理
运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。
对于因设备故障、操作失误等造成的一般故障,需要恢复部分设备上的备份数据信息,遵循异常事件处理流程,由运维操作员负责恢复。
应尽可能地定期检查和测试备份介质和备份信息,保持其可用性和完整性,并确保在规定的时间内恢复系统。
应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。
恢复程序应定期接受检查及测试,以确保在恢复操作程序所预定的时间内完成。
恢复策略应该根据数据信息的重要程度和引入新数据信息的频率设定备份的频率(如每日或每周、增量或整体)。
[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]
以上为《数据安全管理规范标准》的无排版文字预览,完整格式请下载
下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的,下载的文档就是什么样的。