《数据安全管理规范(2021年).docx》由会员分享,可在线阅读,更多相关《数据安全管理规范(2021年).docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据安全管理规范(2021年)Safety management is an important part of enterprise production management. The object is thestate management and control of al 1 people, objects and environments in production.(安全管理)单位:姓名:日期:编号:AQ-SN-0633建筑安全数据安全管理规范(2021年)说明:安全管理是企业生产管理的重要组成部分,是一门综合性的系统科学。安全管理的对象是生产中一切人、物、环境的状态管理与控制
2、,安全管理是一 种动态管理。可以下载修改后或直接打印使用(使用前请详细阅读内容是否合 适)。.概述数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。二.数据信息安全管理制度2. 1数据信息安全存储要求数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定:建筑安全 | Building Safety 建筑安全包含重要、敏感或关键数据信息的移动式存储介质须专
3、人值守。删除可重复使用存储介质上的机密及绝密数据时,为了避免在 可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或 者使用专用的工具在存储区域填入无用的信息进行覆盖。任何存储媒介入库或出库需经过授权,并保留相应记录,方便 审计跟踪。2. 2数据信息传输安全要求在对数据信息进行传输时,应该在风险评估的基础上采用合理 的加密技术,选择和应用加密技术时,应符合以下规范:必须符合 国家有关加密技术的法律法规;根据风险评估确定保护级别,并以此确定加密算法的类型、属 性,以及所用密钥的长度;听取专家的建议,确定合适的保护级别,选择能够提供所需保 护的合适的工具。机密和绝密信息在存储和传输时必须加密
4、,加密方式可以分为: 对称加密和不对称加密。建筑安全 | Building Safety 建筑安全机密和绝密数据的传输过程中必须使用数字签名以确保信息的 不可否认性,使用数字签名时应符合以下规范:充分保护私钥的机 密性,防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施,例如使用公钥证书;确定签名算法的类型、属性以及所用密钥长度;用于数字签名的密钥应不同于用来加密内容的密钥。2. 3数据信息安全等级变更要求数据信息安全等级经常需要变更.一般地,数据信息安全等级变 更需要由数据资产的所有者进行,然后改变相应的分类并告知信息 安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,
5、 只要实际情况允许,就进行数据信息安全等级递减,这样可以降低 数据防护的成本,并增加数据访问的方便性。2. 4数据信息安全管理职责数据信息涉及各类人员的职责如下:拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据 进行分类与分级;指定数据资产的管理者/维护人;建筑安全管理者:被授权管理相关数据资产;负责数据的日常维护和管 理;访问者:在授权的范围内访问所需数据;确保访问对象的机密 性、完整性、可用性等;三.数据信息重要性评估3.1数据信息分级原则分级合理性数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴 的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能 很累赘,而且使用和执
6、行起来也不经济实用。分级周期性数据信息的分级具有一定的保密期限.对于任何数据信息的分 级都不一定自始至终固定不变,可按照一些预定的策略发生改变。 如果把安全保护的分级划定得过高就会导致不必要的业务开支。3. 2数据信息分级数据信息应按照价值、法律要求及对组织的敏感程度和关键程建筑安全 | Building Safety 建筑安全度进行分级,分级等级如下:等级标识数据信息价值定义5很高重要程度很高,其安全属性破坏后可能导致系统受到非常严重 的影响4高重要程度较高,其安全属性破坏后可能导致系统受到比较严重 的影响3中重要程度较高,其安全属性破坏后可能导致系统受到中等程度 的影响建筑安全 I Bui
7、lding Safety 建筑安全2低重要程度较低,其安全属性破坏后可能导致系统受到较低程度 的影响1很低重要程度都很低,其安全属性破坏后可能导致系统受到很低程 度的影响,甚至忽略不计四 .数据信息完整性安全规范数据信息完整性应符合以下规范:确保所采取的数据信息管理和技术措施以及覆盖范围的完整 性。应能够检测到网络设备操作系统、主机操作系统、数据库管理 系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输 过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复 措施;建筑安全应能够检测到网络设备操作系统、主机操作系统、数据库管理 系统和应用系统的系统管理数据、鉴别信息和重要业务数据在
8、存储 过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复 措施;具备完整的用户访问、处理、删除数据信息的操作记录能力, 以备审计。在数据信息时,经过不安全网络的(例如INTERNET网),需要 对传输的数据信息提供完整性校验。应具备完善的权限管理策略,支持权限最小化原则、合理授权。五 .数据信息保密性安全规范数据信息保密性安全规范用于保障业务平台重要业务数据信息 的安全传递与处理应用,确保数据信息能够被安全、方便、透明的 使用。为此,业务平台应采用加密等安全措施开展数据信息保密性 工作:应采用加密效措施实现重要业务数据信息传输保密性;应采用加密实现重要业务数据信息存储保密性;建筑安全
9、| Building Safety 建筑安全加密安全措施主要分为密码安全及密钥安全。5. 1密码安全密码的使用应该遵循以下原则:不能将密码写下来,不能通过电子邮件传输;不能使用缺省设置的密码;不能将密码告诉别人;如果系统的密码泄漏了,必须立即更改;密码要以加密形式保存,加密算法强度要高,加密算法要不可 逆;系统应该强制指定密码的策略,包括密码的最短有效期、最长 有效期、最短长度、复杂性等;如果需要特殊用户的口令(比如说UNIX下的Oracle),要禁止 通过该用户进行交互式登录;在要求较高的情况下可以使用强度更高的认证机制,例如:双 因素认证;(要定时运行密码检查器检查口令强度,对于保存机密和
10、绝密建筑安全信息的系统应该每周检查一次口令强度;其它系统应该每月检查一 次。5. 2密钥安全密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露 可能会损害数据信息的保密性、重要性和完整性。因此,应采取加 密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;还应 对生成、存储和归档保存密钥的设备采取物理保护。止匕外,必须使 用经过业务平台部门批准的加密机制进行密钥分发,并记录密钥的 分发过程,以便审计跟踪,统一对密钥、证书进行管理。密钥的管理应该基于以下流程:密钥产生:为不同的密码系统和不同的应用生成密钥;密钥证书:生成并获取密钥证书;密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之
11、 激活;密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储, 包括授权用户如何访问密钥;建筑安全密钥变更:包括密钥变更时机及变更规则,处置被泄露的密钥;密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露 或者相关运维操作员离开业务平台部门时(在这种情况下,应当归 档密钥);密钥恢复:作为业务平台连续性管理的一部分,对丢失或破坏 的密钥进行恢复;密钥归档:归档密钥,以用于归档或备份的数据信息;密钥销毁:密钥销毁将删除该密钥管理下数据信息客体的所有 记录,将无法恢复,因此,在密钥销毁前,应确认由此密钥保护的 数据信息不再需要。六.数据信息备份与恢复6. 1数据信息备份要求6. 1. 1备份
12、要求数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光 盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、 恢复步骤等信息,并置于安全环境保管。建筑安全 | Building Safety 建筑安全一般情况下对服务器和网络安全设备的配置数据信息每月进行 一次的备份,当进行配置修改、系统版本升级、补丁安装等操作前 也要进行备份;网络设备配置文件在进行版本升级前和配置修改后 进行备份。运维操作员应确保对核心业务数据每日进行增量备份,每周做 一次包括数据信息的全备份。业务系统将进行重大系统变更时,应 对核心业务数据进行数据信息的全备份。6. 1. 2备份执行与记录备份执行过程应有详细的
13、规划和记录,包括备份主体、备份时 间、备份策略、备份路径、记录介质(类型)等。6. 2备份恢复管理运维操作员应根据不同业务系统实际拟定需要测试的备份数据 信息以及测试的周期。对于因设备故障、操作失误等造成的一般故障,需要恢复部分 设备上的备份数据信息,遵循异常事件处理流程,由运维操作员负 责恢复。建筑安全 | Building Safety 建筑安全应尽可能地定期检查和测试备份介质和备份信息,保持其可用性和完整性,并确保在规定的时间内恢复系统。应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。恢复程序应定期接受检查及测试,以确保在恢复操作程序所预定的时间内完成。恢复策略应该根据数据信息的重要程度和引入新数据信息的频率设定备份的频率(如每日或每周、增量或整体)。XXX图文设计本文档文字均可以自由修改