下载文档原格式
数据安全管理规范
首先,数据安全管理规范的建立是保障信息安全的重要手段。
企业和个人在处
理大量数据时,必须建立起一套完善的规范和制度,以保护数据的安全。
这包括但不限于制定数据访问权限、加密存储重要数据、建立数据备份机制等。
只有通过严格的规范管理,才能有效地防范数据泄露和损失。
其次,数据安全管理规范需要得到全员的重视和执行。
无论是企业的管理者还
是普通员工,都应该对数据安全管理规范有清晰的认识,并严格按照规范执行。
管理者要加强对规范的宣传和培训,确保全员了解规范的重要性和具体内容。
员工则要严格遵守规范,不得擅自窃取、篡改或泄露数据,做到将数据安全放在首位。
另外,数据安全管理规范需要与时俱进,不断完善和更新。
随着科技的不断发
展和变革,信息安全的威胁也在不断演变。
因此,企业和个人需要及时调整规范,以应对新的安全挑战。
同时,定期对规范进行评估和审查,发现问题及时改进,确保规范的有效性和实用性。
最后,数据安全管理规范的执行需要有一套完善的监督和检查机制。
企业可以
通过内部审计、第三方检测等手段,对规范的执行情况进行全面监督和检查。
对于违反规范的行为,要及时进行处理和追责,以起到震慑作用。
只有通过严格的监督和检查,才能确保规范的有效执行。
综上所述,数据安全管理规范对于企业和个人来说至关重要。
建立健全的规范,全员重视执行,与时俱进并建立监督检查机制,才能更好地保障数据的安全。
希望本文所述内容能够为大家在数据安全管理方面提供一些帮助和借鉴,共同维护信息安全的大局。
数据安全管理规范数据安全管理规范是指组织制定和实施一系列控制措施,以保护数据及其相关信息免遭未经授权访问、使用、披露、修改、破坏或丢失的规范。
以下是一个数据安全管理规范的例子。
一、数据分类和标记1. 将数据分为不同级别,并根据其敏感程度进行标记。
常见的分类包括:个人身份信息、商业机密、合同信息等。
2. 对不同级别的数据,执行相应的安全措施,包括存储、传输和处理。
二、权限控制1. 根据员工的职责和需要,给予其适当的权限,确保只有授权的人员可以访问敏感数据。
2. 定期审查和更新权限,以确保旧员工或离职员工的访问权限被及时取消。
三、密码策略1. 要求用户设置强密码,包括使用大写和小写字母、数字和特殊字符的组合。
2. 强制用户定期更改密码,并禁止使用过去的几个密码。
3. 在不同的系统和应用中使用不同的密码,以便在一个密码被破解后,其他的账户不会受到影响。
四、备份和恢复1. 定期备份重要数据,并保存在安全的地方。
确保备份的数据可以在需要时恢复。
2. 定期测试备份的完整性和可恢复性,以确保备份数据是完整和可读的。
五、网络安全1. 使用防火墙和入侵检测系统保护网络免受攻击。
2. 定期检查和更新网络设备的安全补丁,以防止已知的漏洞被利用。
3. 对无线网络进行加密,仅允许经过身份验证的用户访问。
六、员工培训和意识1. 对新员工进行数据安全培训,并要求他们签署保密协议。
2. 定期组织数据安全培训和意识活动,提高员工对数据安全的重视和意识。
七、安全漏洞管理1. 定期进行安全风险评估和漏洞扫描,及时修补和处理发现的漏洞。
2. 用户发现和报告的安全问题及时响应和处理,并进行相应的纠正措施。
八、紧急响应计划1. 制定和测试紧急响应计划,以应对数据泄露、网络攻击等紧急事件。
2. 定期进行演练,并根据演练结果修订和完善紧急响应计划。
九、数据保密协议1. 与供应商和合作伙伴签订数据保密协议,明确他们对数据安全的责任和义务。
2. 在合同中明确违约责任和相应的赔偿机制。
数据安全管理规范关键信息项:1、数据分类与分级敏感数据类型一般数据类型数据分级标准2、数据访问控制访问权限级别授权流程身份验证方式3、数据存储与传输安全存储加密要求传输加密协议数据备份策略4、数据处理与使用规范数据处理目的限制数据使用审批流程数据共享原则5、数据安全监测与审计监测频率与指标审计内容与流程异常事件响应机制6、员工培训与责任培训计划与内容员工安全责任界定违规处罚措施11 数据分类与分级111 明确数据的分类,包括但不限于个人身份信息、财务数据、业务机密等敏感数据类型,以及一般性的业务数据、公开数据等一般数据类型。
112 制定详细的数据分级标准,根据数据的重要性、敏感性和影响程度,将数据分为不同级别,如高级机密、机密、内部使用、公开等。
12 数据访问控制121 设定不同的访问权限级别,如只读、读写、修改、删除等,确保只有经过授权的人员能够获得相应的权限。
122 建立严格的授权流程,任何访问权限的授予都需经过相关负责人的审批,并记录在案。
123 采用多种身份验证方式,如密码、指纹识别、令牌等,增强访问的安全性。
13 数据存储与传输安全131 对敏感数据的存储进行加密处理,使用强加密算法,定期更新密钥。
132 在数据传输过程中,采用安全的加密协议,如 SSL/TLS 等,保障数据的机密性和完整性。
133 制定数据备份策略,包括定期备份、异地存储、备份恢复测试等,以防止数据丢失。
14 数据处理与使用规范141 明确数据处理的目的限制,只能在规定的业务范围内进行处理,不得用于其他未经授权的用途。
142 建立数据使用的审批流程,任何对数据的特殊使用需求都需经过审批。
143 遵循数据共享原则,在与第三方共享数据时,需确保对方具备足够的安全保障措施,并签订相关协议。
15 数据安全监测与审计151 设定数据安全监测的频率和关键指标,如访问异常、数据泄露风险等。
152 定期进行数据审计,审查数据的访问记录、操作日志等,确保数据的使用符合规定。
完整版)数据安全管理规范数据安全管理规范目录1.引言2.数据安全管理的重要性3.数据安全管理的基本原则4.数据安全管理的具体措施5.数据安全管理的监督与评估1.引言本规范旨在规范公司内部数据安全管理的行为准则,确保公司数据的安全性和保密性。
本规范适用于公司内部所有涉及数据处理、存储、传输等活动的部门和人员。
2.数据安全管理的重要性数据安全是公司信息化建设的重要组成部分,直接关系到公司业务的正常运转和发展。
数据安全管理的不规范将会导致数据泄露、丢失、被篡改等问题,给公司带来严重的经济损失和声誉损害。
3.数据安全管理的基本原则1)保密原则:对于公司的机密数据,必须进行严格的保密措施,确保数据不被泄露。
2)完整性原则:保证数据在处理、存储、传输等过程中不被篡改、损坏。
3)可用性原则:保证数据在需要时能够及时、正确地被使用。
4)责任原则:明确数据管理的责任人,确保数据安全管理的有效性和可追溯性。
4.数据安全管理的具体措施1)数据分类管理:按照数据的敏感程度和重要性进行分类管理,采取不同的安全措施。
2)访问控制:采用权限管理、身份认证等措施,确保只有授权人员能够访问数据。
3)加密保护:对于机密数据,采取加密措施,确保数据在传输、存储等过程中不被窃取。
4)备份与恢复:定期备份数据,并测试恢复效果,确保数据在意外情况下能够及时恢复。
5.数据安全管理的监督与评估1)内部监督:建立数据安全管理的内部监督机制,定期检查和评估数据安全管理的有效性和合规性。
2)外部评估:委托第三方机构进行数据安全管理的评估,及时发现和解决问题。
3)不断完善:根据实际情况和技术发展,不断完善数据安全管理制度,确保数据安全管理的持续有效性。
一、概述数据信息安全是企业信息化建设中的一个重要环节,它关系到企业核心业务的稳定运行和重要信息的保护。
为了保障企业信息安全,制定一套完整的数据信息安全管理制度是非常必要的。
二、数据信息安全管理制度2.1 数据信息安全存储要求为保障数据信息的安全性,所有数据都应该存储在安全可靠的存储设备中,并进行定期备份。
第一章总则第一条为加强公司数据安全管理,确保公司数据资源的保密性、完整性和可用性,根据国家相关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有涉及数据存储、处理、传输和使用的部门及个人。
第三条本制度遵循以下原则:1. 法规遵从原则:严格遵守国家法律法规和行业标准,确保数据安全。
2. 风险控制原则:识别、评估和防范数据安全风险,降低数据泄露、篡改和破坏的风险。
3. 安全责任原则:明确数据安全责任,落实安全措施,确保数据安全。
4. 技术保障原则:采用先进的技术手段,加强数据安全防护。
第二章数据分类与分级第四条数据分类根据数据的重要性和敏感性,将公司数据分为以下四类:1. 核心数据:对公司业务运营、核心竞争力有重大影响的敏感数据。
2. 重要数据:对公司业务运营有较大影响的敏感数据。
3. 一般数据:对公司业务运营有一定影响的非敏感数据。
4. 公开数据:不涉及公司商业秘密和隐私,可公开的数据。
第五条数据分级根据数据的重要性和敏感性,将公司数据分为以下三个等级:1. 一级数据:核心数据,需最高级别的安全保护。
2. 二级数据:重要数据,需较高的安全保护。
3. 三级数据:一般数据和公开数据,需基本的安全保护。
第三章数据安全管理职责第六条数据安全管理组织1. 成立数据安全管理委员会,负责公司数据安全工作的统筹规划、组织协调和监督指导。
2. 设立数据安全管理办公室,负责日常数据安全管理工作。
第七条数据安全管理职责1. 数据安全管理委员会职责:(1)制定公司数据安全管理制度;(2)监督各部门落实数据安全措施;(3)组织开展数据安全培训和宣传活动;(4)评估数据安全风险,提出改进措施。
2. 数据安全管理办公室职责:(1)负责数据安全管理制度的具体实施;(2)组织数据安全风险评估和检查;(3)协调各部门解决数据安全问题;(4)监督数据安全事件的处理。
3. 各部门职责:(1)落实数据安全管理制度;(2)对本部门数据安全负责;(3)配合数据安全管理办公室开展数据安全相关工作。
一、总则为了加强公司数据安全管理,保障数据安全,防止数据泄露、篡改、损毁等安全事件的发生,根据国家相关法律法规,结合公司实际情况,特制定本制度。
二、数据安全管理原则1. 防范为主,防治结合:加强数据安全防范措施,及时发现和处置数据安全风险。
2. 依法依规,分类管理:严格按照国家法律法规和数据安全相关标准,对数据进行分类分级管理。
3. 责任明确,协同联动:明确数据安全责任,建立健全数据安全管理体系,实现部门间协同联动。
4. 技术保障,持续改进:运用先进的数据安全技术,持续改进数据安全防护能力。
三、数据安全管理组织架构1. 成立数据安全管理领导小组,负责制定数据安全管理制度、政策,监督和指导数据安全管理工作。
2. 设立数据安全管理办公室,负责具体实施数据安全管理工作。
3. 各部门、子公司设立数据安全管理员,负责本部门、子公司数据安全管理工作的组织实施。
四、数据分类分级1. 根据数据的重要性、敏感性、价值等因素,将数据分为以下四个等级:(1)一级数据:涉及国家秘密、企业商业秘密和个人隐私的数据。
(2)二级数据:涉及企业商业秘密和个人隐私的数据。
(3)三级数据:涉及企业内部管理的数据。
(4)四级数据:一般数据。
2. 根据数据分类分级,制定相应的安全保护措施。
五、数据安全管理措施1. 数据安全治理:建立健全数据安全治理体系,明确数据安全责任,落实数据安全管理制度。
2. 数据安全培训:定期组织员工进行数据安全培训,提高员工数据安全意识。
3. 数据访问控制:根据员工职责,严格控制数据访问权限,确保数据安全。
4. 数据加密:对敏感数据实施加密存储和传输,防止数据泄露。
5. 数据备份与恢复:定期对数据进行备份,确保数据在发生安全事件时能够及时恢复。
6. 数据安全审计:定期对数据安全事件进行审计,分析原因,改进措施。
7. 应急预案:制定数据安全事件应急预案,确保在发生安全事件时能够迅速应对。
六、监督检查1. 数据安全管理办公室定期对各部门、子公司数据安全管理工作进行检查,确保制度落实。
第一章总则第一条为加强公司数据安全管理,确保数据安全、完整、可用,防范数据泄露、篡改、丢失等风险,特制定本制度。
第二条本制度适用于公司所有数据,包括但不限于电子数据、纸质数据、影像数据等。
第三条本制度遵循以下原则:(一)合法合规:严格遵守国家法律法规、行业标准及相关政策,确保数据安全管理合法合规。
(二)安全优先:将数据安全放在首位,确保数据在收集、存储、使用、传输、销毁等环节的安全。
(三)分级管理:根据数据的重要性、敏感性、影响范围等因素,对数据进行分类分级,实施差异化管理。
(四)责任到人:明确数据安全责任主体,落实数据安全责任制。
第二章数据分类分级第四条公司数据分为以下类别:(一)核心数据:对公司业务发展、核心竞争力、商业秘密等具有重要影响的数据。
(二)重要数据:对公司业务发展、客户利益、社会公共利益等有一定影响的数据。
(三)一般数据:对公司业务发展、客户利益、社会公共利益等影响较小的数据。
第五条公司数据分级如下:(一)一级数据:核心数据,具有最高安全等级。
(二)二级数据:重要数据,具有较高的安全等级。
(三)三级数据:一般数据,具有一般安全等级。
第三章数据收集与存储第六条数据收集应遵循以下原则:(一)合法合规:收集数据应依法取得相关主体同意,确保数据来源合法。
(二)最小必要:收集数据应限于实现特定目的所必需,不得过度收集。
(三)明确用途:明确数据收集的目的、范围、方式等,确保数据用途明确。
第七条数据存储应遵循以下要求:(一)安全可靠:选择安全可靠的数据存储设备,确保数据存储安全。
(二)备份与恢复:定期对数据进行备份,确保数据可恢复。
(三)权限管理:根据数据安全等级,对数据进行权限管理,防止未授权访问。
第四章数据使用与传输第八条数据使用应遵循以下原则:(一)合法合规:使用数据应依法取得相关主体同意,确保数据使用合法合规。
(二)最小必要:使用数据应限于实现特定目的所必需,不得过度使用。
(三)明确用途:明确数据使用的目的、范围、方式等,确保数据用途明确。
数据安全管理规范数据安全管理规范是个严肃的话题。
我们每天都在处理各种信息,然而,信息一旦泄露,后果可不堪设想。
我们先从数据分类谈起。
首先,数据分类是基础。
重要的数据像黄金一样,得小心翼翼。
1.1 识别数据类型。
每一条信息都有其独特性,企业要清楚哪些是敏感信息,哪些是普通数据。
1.2 设定权限。
不同的人接触不同级别的信息。
像一个金库,钥匙得分等级,不能随便给。
接着,我们来聊聊数据存储。
2.1 选择存储方式。
云存储方便,但也要权衡风险。
别让方便变成隐患。
2.2 定期备份。
数据丢失时,能不能找回来?这是关键!定期备份就像给信息上保险。
2.3 加密措施。
没有加密的数据库,等于开着门招人进来。
要确保数据在传输和存储过程中始终安全。
再往下说说数据访问。
3.1 身份验证。
每次登录就像进门,得确认身份。
多重身份验证更是加一道防线。
3.2 监控访问记录。
时刻关注谁在访问数据。
就像家里装了监控,保护隐私不受侵犯。
最后,数据安全的培训不可忽视。
员工是第一道防线,3.3 定期培训。
让大家都意识到数据安全的重要性,才能建立起坚固的防护墙。
总结来说,数据安全管理是一个系统工程。
分类、存储、访问、培训,各个环节都至关重要。
每个人都要有责任感,才能确保数据安全不被侵犯。
最终,数据安全不仅关乎公司,更是保护我们每个人的隐私。
做好这一切,我们才能在数字时代安心生活。
一、目的为加强公司数据安全管理,确保数据安全、完整、可用,防止数据泄露、篡改、丢失等安全风险,根据国家相关法律法规和公司实际情况,特制定本制度及规范。
二、适用范围本制度及规范适用于公司所有涉及数据收集、存储、使用、处理、传输、销毁等活动的部门、岗位及人员。
三、数据安全管理制度1. 数据安全责任(1)公司董事会对数据安全负有最终责任。
(2)公司高层管理人员对数据安全方针和政策负责,并由首席网络安全官领导的数据安全团队负责执行与管理数据安全。
(3)各部门负责人对本部门数据安全负直接责任。
(4)所有员工应遵守本制度及规范,履行数据安全责任。
2. 数据分类分级(1)公司数据分为核心数据、重要数据和一般数据三个等级。
(2)核心数据包括涉及国家安全、商业秘密、客户隐私等敏感信息。
(3)重要数据包括对公司业务运营、市场竞争、客户关系等方面有重要影响的信息。
(4)一般数据指除核心数据和重要数据外的其他信息。
3. 数据收集与存储(1)数据收集应遵循最小必要原则,仅收集实现业务目的所必需的数据。
(2)数据存储应选择安全可靠的存储介质和平台,确保数据安全。
4. 数据使用与处理(1)数据使用应遵循合法、正当、必要的原则,不得泄露、篡改、滥用数据。
(2)数据处理应确保数据完整、准确,防止数据丢失、篡改。
5. 数据传输与交换(1)数据传输应选择安全可靠的传输方式,如采用加密、VPN等技术。
(2)数据交换应遵循相关法律法规和公司内部规定,确保数据安全。
6. 数据备份与恢复(1)定期对数据进行备份,确保数据可恢复。
(2)备份数据应存储在安全可靠的介质上,防止数据泄露、篡改。
7. 数据销毁与归档(1)数据销毁应遵循相关法律法规和公司内部规定,确保数据彻底销毁。
(2)数据归档应按照规定进行,便于查询和审计。
四、数据安全规范1. 保密规定(1)员工应严格遵守保密规定,不得泄露、篡改、滥用数据。
(2)对涉及核心数据和重要数据的岗位,员工应签订保密协议。
数据库安全管理规范数据库是现代信息系统的重要组成部分,它存储并管理着各种重要的数据信息。
为了保护这些数据的机密性、完整性和可用性,数据库安全管理显得至关重要。
本文将介绍一些数据库安全管理规范,以确保数据在存储和使用过程中的安全性。
一、访问控制1. 用户权限管理为了限制数据库的访问权,应该对用户进行统一管理并分配相应的权限。
管理员应该根据用户的职责和需要,为其赋予最小化权限,减少潜在的风险。
同时,每个用户的权限应在必要时进行审查和更新。
2. 角色管理通过角色的方式进行权限管理是一种高效的方法。
管理员可以根据用户的职责、部门等设置相应的角色,并将权限分配到角色上,而不是直接分配给个人用户。
这样可以简化权限管理,降低出错率。
3. 口令策略对于数据库的登录口令,应要求用户使用复杂且不易被猜测的密码。
口令应定期更换,并且不允许使用过于简单的口令。
此外,还可以采用多因素身份验证方式,提高账户的安全性。
二、数据加密1. 数据传输加密在数据传输过程中,特别是通过网络进行传输时,应采用加密协议,如SSL/TLS协议等。
这样可以保证数据传输的机密性,防止数据被恶意窃取或篡改。
2. 数据存储加密对于数据库中重要的敏感数据,可以采用加密算法进行存储加密。
加密后的数据即使在被非法获取的情况下,也无法直接读取其内容。
同时,对于数据库备份等操作,也需要采用相应的加密方式保护数据的安全。
三、漏洞管理1. 定期更新与补丁管理数据库厂商会不定期发布各种漏洞修复补丁,管理员应及时关注并进行修复。
同时,还要定期对数据库进行版本升级,以利用最新的安全技术和措施。
2. 审计日志管理数据库应开启审计日志功能,对用户的操作进行记录和审计。
通过审计日志,可以及时发现并追踪异常操作,保障数据库的安全。
3. 异常检测与防护管理员需要配置合适的安全策略和防火墙等设备,对数据库进行异常检测与防护。
当发现异常操作或攻击事件时,应及时发出警报并采取相应的措施。
业务平台安全管理制度—数据安全管理规范XXXXXXXXXXX公司网络运行维护事业部目录一. 概述 (1)二. 数据信息安全管理制度 (2)2.1数据信息安全存储要求 (2)2.2数据信息传输安全要求 (2)2.3数据信息安全等级变更要求 (3)2.4数据信息安全管理职责 (3)三. 数据信息重要性评估 (4)3.1数据信息分级原则 (4)3.2数据信息分级 (4)四. 数据信息完整性安全规范 (5)五. 数据信息保密性安全规范 (6)5.1密码安全 (6)5.2密钥安全 (6)六. 数据信息备份与恢复 (8)6.1数据信息备份要求 (8)6.1.1 备份要求 (8)6.1.2 备份执行与记录 (8)6.2备份恢复管理 (8)一. 概述数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。
为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度2.1 数据信息安全存储要求数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。
存储介质管理须符合以下规定:◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。
◆删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。
◆任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。
2.2 数据信息传输安全要求◆在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和应用加密技术时,应符合以下规范:⏹必须符合国家有关加密技术的法律法规;⏹根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密钥的长度;⏹听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。
◆机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称加密。
◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数字签名时应符合以下规范:⏹充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。
⏹采取保护公钥完整性的安全措施,例如使用公钥证书;⏹确定签名算法的类型、属性以及所用密钥长度;⏹用于数字签名的密钥应不同于用来加密内容的密钥。
2.3 数据信息安全等级变更要求数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。
对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。
2.4 数据信息安全管理职责数据信息涉及各类人员的职责如下:◆拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指定数据资产的管理者/维护人;◆管理者:被授权管理相关数据资产;负责数据的日常维护和管理;◆访问者:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性等;三. 数据信息重要性评估3.1 数据信息分级原则分级合理性数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。
过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。
分级周期性数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。
如果把安全保护的分级划定得过高就会导致不必要的业务开支。
3.2 数据信息分级数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下:等级标识数据信息价值定义5 很高重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响4 高重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响3 中重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响2 低重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响1 很低重要程度都很低,其安全属性破坏后可能导致系统受到很低程度的影响,甚至忽略不计四. 数据信息完整性安全规范数据信息完整性应符合以下规范:◆确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。
◆应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;◆应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;◆具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计。
◆在数据信息时,经过不安全网络的(例如INTERNET网),需要对传输的数据信息提供完整性校验。
◆应具备完善的权限管理策略,支持权限最小化原则、合理授权。
五. 数据信息保密性安全规范数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用,确保数据信息能够被安全、方便、透明的使用。
为此,业务平台应采用加密等安全措施开展数据信息保密性工作:◆应采用加密效措施实现重要业务数据信息传输保密性;◆应采用加密实现重要业务数据信息存储保密性;加密安全措施主要分为密码安全及密钥安全。
5.1 密码安全密码的使用应该遵循以下原则:◆不能将密码写下来,不能通过电子邮件传输;◆不能使用缺省设置的密码;◆不能将密码告诉别人;◆如果系统的密码泄漏了,必须立即更改;◆密码要以加密形式保存,加密算法强度要高,加密算法要不可逆;◆系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等;◆如果需要特殊用户的口令(比如说UNIX下的Oracle),要禁止通过该用户进行交互式登录;◆在要求较高的情况下可以使用强度更高的认证机制,例如:双因素认证;◆(要定时运行密码检查器检查口令强度,对于保存机密和绝密信息的系统应该每周检查一次口令强度;其它系统应该每月检查一次。
5.2 密钥安全密钥管理对于有效使用密码技术至关重要。
密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。
因此,应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;还应对生成、存储和归档保存密钥的设备采取物理保护。
此外,必须使用经过业务平台部门批准的加密机制进行密钥分发,并记录密钥的分发过程,以便审计跟踪,统一对密钥、证书进行管理。
密钥的管理应该基于以下流程:密钥产生:为不同的密码系统和不同的应用生成密钥;密钥证书:生成并获取密钥证书;密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活;密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括授权用户如何访问密钥;密钥变更:包括密钥变更时机及变更规则,处置被泄露的密钥;密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露或者相关运维操作员离开业务平台部门时(在这种情况下,应当归档密钥);密钥恢复:作为业务平台连续性管理的一部分,对丢失或破坏的密钥进行恢复;密钥归档:归档密钥,以用于归档或备份的数据信息;密钥销毁:密钥销毁将删除该密钥管理下数据信息客体的所有记录,将无法恢复,因此,在密钥销毁前,应确认由此密钥保护的数据信息不再需要。
六. 数据信息备份与恢复6.1 数据信息备份要求6.1.1 备份要求◆数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光盘等。
备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管。
◆一般情况下对服务器和网络安全设备的配置数据信息每月进行一次的备份,当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份;网络设备配置文件在进行版本升级前和配置修改后进行备份。
◆运维操作员应确保对核心业务数据每日进行增量备份,每周做一次包括数据信息的全备份。
业务系统将进行重大系统变更时,应对核心业务数据进行数据信息的全备份。
6.1.2 备份执行与记录备份执行过程应有详细的规划和记录,包括备份主体、备份时间、备份策略、备份路径、记录介质(类型)等。
6.2 备份恢复管理◆运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。
◆对于因设备故障、操作失误等造成的一般故障,需要恢复部分设备上的备份数据信息,遵循异常事件处理流程,由运维操作员负责恢复。
◆应尽可能地定期检查和测试备份介质和备份信息,保持其可用性和完整性,并确保在规定的时间内恢复系统。
◆应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。
◆恢复程序应定期接受检查及测试,以确保在恢复操作程序所预定的时间内完成。
数据安全规范 恢复策略应该根据数据信息的重要程度和引入新数据信息的频率设定备份的频率(如每日或每周、增量或整体)。
9。
