《明文密钥管理制度.docx》由会员分享,可在线阅读,更多相关《明文密钥管理制度.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、文档编号明文密钥管理制度版本号V1.0密 级内部公开明文密钥管理制度XXX信息技术有限公司第1页共6页文档信息发布版本:VI. 1最后发布时间:XX编写人:XX 审核人:XX版本控制编号修订人修订时间版本号修订内容说明123一、目的4二、适用范围4三、各方职责4四、明文密钥生命周期管理54.1 密钥生成54.2 密钥录入54.3 密钥使用54.4 密钥更新和销毁54.5 密钥备份/备案6五、附则6一、目的加密密钥主要用于各产品线敏感数据(如银行卡信息、个人身份信息等)的加/解密操 作,为保证敏感数据被解密造成的严重泄露风险,特定本规范,对密钥在生命周期各阶段的 应用进行规定。二、适用范围本规定
2、所指密钥指的是易宝产品中使用的、录入到加密机中用于加/解密敏感数据的明文密钥,为描述方便,以下均简称“密钥”。注:已加密的密钥(如密码管理平台中存储的密钥)因风险较小,不纳入本规定范围。各方职责密钥管理基本原则为“敏感数据”和“明文密钥”的操作权限分离。基于该原则和实际业务情况,对相关岗位的责任和注意事项明确如下:角色涉及部门职责描述密钥需求人员各产品线职责:发起密钥使用需求,涉及到的角色包括产品经理、开发和运营人员。注意事项:严禁密钥需求人员接触和获取明文密钥。密钥管理人员系统部职责:负责密钥生成、录入、维护、销毁和备份的操作。注意事项:严禁密钥管理人员拥有查看生产数据权限。密钥监督人员信息
3、安全部职责:密钥使用过程中的重要问题确认或监督。注意事项:严禁密钥监督人员拥有密钥管理和生产数据管 理权限。密钥获取人员银行合作部职责:通过安全方式,从外部机构(一般为银行)获取密钥后,转交给密钥监督人员或密钥管理人员。注意事项:严禁密钥获取人员将密钥告知密钥需求人员。四、明文密钥生命周期管理密钥生成因业务需求导致需要产生密钥的,其来源包括外部机构(一般为银行)提供和XXX生 成的2种方式:外部机构提供。密钥获取人员通过安全方式获取密钥,密钥监督人员确认后,将密钥转 交给密钥管理人员进行录入处理,严禁将密钥发给密钥需求部门。安全方式指外部机构专职人员现场输入、密码信封邮递以及加密邮件传输等方式
4、,严禁 通过明文方式传输明文密钥。XXX生成。对于因业务需求需要加密密钥的,由需求人员提出申请、密钥监督人员确 认后,密钥管理人员来进行密钥生成和录入操作,严禁密钥需求部门自行生成密钥,密钥管理人员应保证生成密钥的随机性(可采用工具生成),禁止采用简单密钥、重复 密钥、测试环境密钥等易猜解或他人已知晓的密钥。4.1 密钥录入密钥录入由密钥管理人员独立完成,密钥监督人员在确认录入时进行确认,仅将密钥名 称、密钥密文和密钥校验值反馈给业务需求人员进行开发和调试。4.2 密钥使用在密钥使用过程中,严禁明文传输密钥、严禁存储密钥。密钥主要通过密钥管理平台进行备份和恢复,除经密钥监督人员批准将密钥存放在
5、保险 柜中外,严禁个人以任何形式存储密钥。4.3 密钥更新和销毁因业务、安全需求需要更新或销毁密钥时,必须由密钥需求人员和密钥监督人员确认后, 密钥管理人员方可进行操作。4.4 密钥备份/备案密钥通过密钥管理平台加密后存放在数据库中,利用数据库机制来保证密钥的安全备份 和恢复。对于外部机构提供的纸质密钥信封,经密钥监督人员确认后,存放在保险柜(可同目前 系统部备份运维密码并保存)中,后续如需重新使用,必须经由密钥监督人员确认。密钥管理人员须对密钥录入、备份、再使用、删除和销毁情况进行记录和备案。五、附则本规定由XXX信息安全部负责解释。本规定将每年进行次定期评审修订,并在重大密钥管理流程或重大信息安全事件发生 后进行评审修订。