数据库安全管理规范

1、 第三十五条【访问交换原则】数据的访问和交换应遵循“知所必需、用所必需、共享必需、公开必需、互联互通必需的原则。第三十六条【内部共享】内部共享数据管理要求如下：（一）人力资源社会保障部门内部的各应用系统使用或交换数据须先提出申请，由信息部门、数据归口部门均审批通过后，信息部门提供技术方案给予实现。（二）人力资源社会保障系统内上下级、同级间的数据传输，应通过业务专网完成。（三）各应用系统间须进行相互授权后，方可进行数据交换，未通过有效身份验证的应用系统不得访问数据库。（四）各类数据交换应进行详细的工作记录。（五）重要数据在网络传输时，应尽量避免从高等级安全域向低等级安全域交换。如无法避免，应经过

2、审核、论证并提供必要的安全保护机制，以规避安全风险。第三十七条【外部交换】外部交换数据管理要求如下：（一）外部系统使用或交换数据须先提出申请，明确数据项目、使用用途和期限后，待本级人力资源社会保障部门同意，并报上级人力资源社会保障部门批准后方可提供15。15关于进一步加强劳动保障数据安全管理的通知（劳社厅发200631号）：“严格实行业务数据归口管理。各地对于涉及劳动保障方面的数据信息，要实行业务数据归口管理。凡涉及到用人单位和个人的原始数据，要严格执行保密法和统计法等有关法律法规的规定，确保数据安全和有序管理。各地政府部门因工作需要，要求从金保工程数据库中提取有关数据时，须经同级劳动保障部门

3、同意，并报上级劳动保障部门批准后方可提供。国家有关部门如需使用劳动保障相关数据，需商我部同意，共同安排部署，各地不得自行提供。”（二）与外部系统的数据交换，可采用联机或脱机的方式。联机方式不得通过互联网直接传输，须经有效身份验证的前置设备进行交换；脱机方式可通过数据光盘的方式进行交换。（三）脱机方式下的交换数据须进行加密处理，对称密钥加密的密钥长度至少达到128位，非对称密钥加密的密钥长度至少达到1024位，所用密码技术产品和算法应经国家密码管理主管部门批准，不得用数据压缩技术（如winzip等）代替数据加密。（四）各类数据交换应进行详细的工作记录。第三十八条【临时介质管理】临时存放数据的存储

4、介质不得带离工作场所，用完后须及时清除数据。第六章数据备份与恢复管理第三十九条【灾备建设】统筹建设灾难备份系统，完善相应工作机制，制定灾难恢复预案，定期进行灾难恢复演练，确保数据安全和核心应用系统连续运行。第四十条【要求】建立数据备份机制，设置数据备份专人专岗，加强对各类数据存储和备份的管理，保障应用系统的正常运行，保存完整的历史数据。第四十一条【备份方式】数据备份可采用在线存储与脱机介质两种形式进行，也可同时使用两种方式。第四十二条【备份策略16】视应用系统的特性和安全保护16信息安全技术信息系统安全等级保护基本要求（GB/T22239-20087.1.5.3）三级备份和恢复：“a）应提供本

5、地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；b）应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；c）应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；d）应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。”等级，设置合理的备份周期和备份策略，要求如下：（一）在数据库补丁安装、版本升级、配置变更或数据有较大变动前，应先行备份。（二）核心应用系统要实现数据每日增量、每周全量备份，建立异地应用级灾备系统，备份介质异地存放；其他应用系统的数据可每周或每月进行备份。（三）数据备份应不影响业务，或在不影响业务的时间段内进行。第四十

6、三条【备份文件管理17】备份文件应按照一定的规则编目存放和管理，要求如下：（一）备份文件应存放在非本机磁盘的其他介质中，备份文件存储介质放置地点应防盗、防火、防潮、防尘、防磁，保证温度、湿度在规定范围内。（二）备份文件存储介质要严格管理、严格保密，不得外借，备份介质应能防止信息拷贝泄露。（三）备份数据应严格保证其真实性、完整性，不得更改。备份数据出现异常必须立即向领导汇报。（四）废弃的备份文件存储介质应在删除数据后及时销毁。第四十四条【恢复策略】定期进行备份数据的恢复演练17信息安全技术信息系统安全等级保护基本要求（GB/T22239-20087.2.5.11）三级备份与恢复管理：“a）应识别

7、需要定期备份的重要业务信息、系统数据及软件系统等；b）应建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范；c）应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法；d）应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存；e）应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。”确保所备份数据的完整性和可用性。每年进行一次重要应用系统的数据恢复测试。根据恢复过程中发现的问题，及时调整备份策略。第七章附则第四十五条数据库相关的应用系统安