版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、.wd.wd.wd.文件名称数据安全管理标准密级文件编号版 本 号编写部门编 写 人审 批 人发布时间业务平台安全管理制度数据安全管理标准XXXXXXXXXXX公司网络运行维护事业部目录 TOC o 1-3 h z u HYPERLINK l _Toc260845049 一. 概述 PAGEREF _Toc260845049 h 1 HYPERLINK l _Toc260845050 二. 数据信息安全管理制度 PAGEREF _Toc260845050 h 2 HYPERLINK l _Toc260845051 2.1 数据信息安全存储要求 PAGEREF _Toc260845051 h 2
2、 HYPERLINK l _Toc260845052 2.2 数据信息传输安全要求 PAGEREF _Toc260845052 h 2 HYPERLINK l _Toc260845053 2.3 数据信息安全等级变更要求 PAGEREF _Toc260845053 h 3 HYPERLINK l _Toc260845054 2.4 数据信息安全管理职责 PAGEREF _Toc260845054 h 3 HYPERLINK l _Toc260845055 三. 数据信息重要性评估 PAGEREF _Toc260845055 h 4 HYPERLINK l _Toc260845056 3.1 数
3、据信息分级原那么 PAGEREF _Toc260845056 h 4 HYPERLINK l _Toc260845057 3.2 数据信息分级 PAGEREF _Toc260845057 h 4 HYPERLINK l _Toc260845058 四. 数据信息完整性安全标准 PAGEREF _Toc260845058 h 5 HYPERLINK l _Toc260845059 五. 数据信息保密性安全标准 PAGEREF _Toc260845059 h 6 HYPERLINK l _Toc260845060 5.1 密码安全 PAGEREF _Toc260845060 h 6 HYPERLI
4、NK l _Toc260845061 5.2 密钥安全 PAGEREF _Toc260845061 h 6 HYPERLINK l _Toc260845062 六. 数据信息备份与恢复 PAGEREF _Toc260845062 h 8 HYPERLINK l _Toc260845063 6.1 数据信息备份要求 PAGEREF _Toc260845063 h 8 HYPERLINK l _Toc260845064 6.1.1 备份要求 PAGEREF _Toc260845064 h 8 HYPERLINK l _Toc260845065 6.1.2 备份执行与记录 PAGEREF _Toc2
5、60845065 h 8 HYPERLINK l _Toc260845066 6.2 备份恢复管理 PAGEREF _Toc260845066 h 8概述数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本标准。数据信息安全管理制度数据信息安全存储要求数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定:包含重要、敏感或关键数据信息的移动式存储介质须专人值守。删
6、除可重复使用存储介质上的机密及绝密数据时,为了防止在可移动介质上遗留信息,应该对介质进展消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进展覆盖。任何存储媒介入库或出库需经过授权,并保存相应记录,方便审计跟踪。数据信息传输安全要求在对数据信息进展传输时,应该在风险评估的根基上采用合理的加密技术,选择和应用加密技术时,应符合以下标准:必须符合国家有关加密技术的法律法规;根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密钥的长度;听取专家的建议,确定适宜的保护级别,选择能够提供所需保护的适宜的工具。机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不
7、对称加密。机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数字签名时应符合以下标准:充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施,例如使用公钥证书;确定签名算法的类型、属性以及所用密钥长度;用于数字签名的密钥应不同于用来加密内容的密钥。数据信息安全等级变更要求数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进展,然后改变相应的分类并告知信息安全负责人进展备案.。对于数据信息的安全等级,应每年进展评审,只要实际情况允许,就进展数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。数据信
8、息安全管理职责数据信息涉及各类人员的职责如下:拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进展分类与分级;指定数据资产的管理者/维护人;管理者:被授权管理相关数据资产;负责数据的日常维护和管理;访问者:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性等;数据信息重要性评估数据信息分级原那么分级合理性数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。分级周期性数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。
9、如果把安全保护的分级划定得过高就会导致不必要的业务开支。数据信息分级数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进展分级,分级等级如下:等级标识数据信息价值定义5很高重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响4高重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响3中重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响2低重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响1很低重要程度都很低,其安全属性破坏后可能导致系统受到很低程度的影响,甚至忽略不计数据信息完整性安全标准数据信息完整性应符合以下标准:确保所采取的数据信息管理和技术措施以
10、及覆盖范围的完整性。应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计。在数据信息时,经过不安全网络的例如INTERNET网,需要对传输的数据信息提供完整性校验。应具备完善的权限管理策略,支持权限最小化原那么、合理授权。数据信息保密性安
11、全标准数据信息保密性安全标准用于保障业务平台重要业务数据信息的安全传递与处理应用,确保数据信息能够被安全、方便、透明的使用。为此,业务平台应采用加密等安全措施开展数据信息保密性工作:应采用加密效措施实现重要业务数据信息传输保密性;应采用加密实现重要业务数据信息存储保密性;加密安全措施主要分为密码安全及密钥安全。密码安全密码的使用应该遵循以下原那么:不能将密码写下来,不能通过电子邮件传输;不能使用缺省设置的密码;不能将密码告诉别人;如果系统的密码泄漏了,必须立即更改;密码要以加密形式保存,加密算法强度要高,加密算法要不可逆;系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、
12、复杂性等;如果需要特殊用户的口令比方说UNIX下的Oracle,要制止通过该用户进展交互式登录;在要求较高的情况下可以使用强度更高的认证机制,例如:双因素认证;要定时运行密码检查器检查口令强度,对于保存机密和绝密信息的系统应该每周检查一次口令强度;其它系统应该每月检查一次。密钥安全密钥管理对于有效使用密码技术至关重要。密钥的丧失和泄露可能会损害数据信息的保密性、重要性和完整性。因此,应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;还应对生成、存储和归档保存密钥的设备采取物理保护。此外,必须使用经过业务平台部门批准的加密机制进展密钥分发,并记录密钥的分发过程,以便审计跟踪,统一对密
13、钥、证书进展管理。密钥的管理应该基于以下流程:密钥产生:为不同的密码系统和不同的应用生成密钥; 密钥证书:生成并获取密钥证书; 密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活; 密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括授权用户如何访问密钥; 密钥变更:包括密钥变更时机及变更规那么,处置被泄露的密钥; 密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露或者相关运维操作员离开业务平台部门时在这种情况下,应当归档密钥; 密钥恢复:作为业务平台连续性管理的一局部,对丧失或破坏的密钥进展恢复; 密钥归档:归档密钥,以用于归档或备份的数据信息; 密钥销毁:密钥销毁将删除
14、该密钥管理下数据信息客体的所有记录,将无法恢复,因此,在密钥销毁前,应确认由此密钥保护的数据信息不再需要。数据信息备份与恢复数据信息备份要求备份要求数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管。 一般情况下对服务器和网络安全设备的配置数据信息每月进展一次的备份,当进展配置修改、系统版本升级、补丁安装等操作前也要进展备份;网络设备配置文件在进展版本升级前和配置修改后进展备份。运维操作员应确保对核心业务数据每日进展增量备份,每周做一次包括数据信息的全备份。业务系统将进展重大系统变更时,应对核心业务数据进展数据信息的全备份。备份执行与记录备份执行过程应有详细的规划和记录,包括备份主体、备份时间、备份策略、备份路径、记录介质类型等。备份恢复管理运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 智能制造概论-全套课件
- 2024年小型厂房租赁协议模板
- 不动产财产赠予协议2024专业
- 2024年企业员工食堂承包服务协议
- 2024年合作伙伴投资合作协议模板
- 2024商业翻译服务协议化样本
- 2024年统编版七年级上册道德与法治期中综合训练
- 2024年度团购房购买协议
- 2024商用场地租赁协议样本
- 2024权威管材销售协议条款梳理
- 教科版五年级科学上册(风的作用) 教学课件
- 盐酸-危险化学品安全标签
- 二年级下册语文试题 -“诗词大会”题库二 (word版有答案) 人教部编版
- 部编版道德与法治三年级上册知识点
- SB/T 10843-2012金属组合货架
- GB/T 4337-2015金属材料疲劳试验旋转弯曲方法
- GB/T 40120-2021农业灌溉设备灌溉用热塑性可折叠软管技术规范和试验方法
- 各专业试验报告-nvh m301s1样车测试报告
- 化工课件-S-Zorb装置运行特点及故障处理
- 头发及头皮知识讲述资料课件
- 儿童年龄分期及各期特点 (儿童护理课件)
评论
0/150
提交评论