大理州数据金库管理细则

11-大理州数据金库管理细则第一章 总则第一条  编制依据。为加强和保障大理州数据金库安全保护和稳定运行，根据《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等相关法律法规规定，制定本办法。第二条  适用范围。大理州数据金库的建设、使用、运营及其相关管理活动适用本细则。第三条  名词解释。本细则所称数据金库，是由政府主管部门监管，统一标准、自主可控、软硬一体、安全可靠的数据基础设施，用于核心数据、重要数据和数据元件的存储计算和互联互通，定位于解决目前关键数据过于分散、安全保障不足等难题。数据金库是大理州数据计算存储的重要基础设施，纳入国家关键信息基础设施管理，进行重点管理和保护。本规定所称的数据金库运营商，是指通过州人民政府依法按有关程序授权，承担数据金库的建设、运营、维护、升级等工作的法人或者非法人组织。第四条  数据金库产品构成。数据金库包括数据金柜、数据金库管理系统、机房，实现数据存储计算、合规与风险控制、资产管理、数据互联互通、安全管控等。数据金柜由管理系统、智能金仓、交换单元、计算单元、存储单元组成，是存储核心数据、重要数据和数据元件的软硬一体数据存储计算设施，可以按需部署并支持弹性拓展。第五条  数据金库建设和使用要求。数据金库建设和使用管理应当依法维护国家安全、公共安全、经济安全、社会稳定，保守国家秘密，保护商业秘密和个人隐私。第六条  数据金库安全要求。任何单位、组织和个人不得实施非法侵入、干扰、破坏数据金库的活动，不得危害数据金库的安全。第二章 责任分工第七条  州数据管理行政主管部门。州数据管理行政主管部门指导数据运营服务中心和数据金库运营商依照法律、行政法规的规定以及国家标准，加强对数据金库建设运营的管理，保障数据金库安全稳定运行。第八条  数据运营服务中心。数据运营服务中心在州数据管理行政主管部门的指导下，负责统筹推进数据金库的建设运营，对参与数据金库建设运营的相关市场主体进行登记，确保数据安全管理责任明晰、过程规范、全程可追溯。第九条  市场主体登记内容。市场主体登记内容包括：（一）市场主体基本信息；（二）参与建设运营过程中提供的产品、技术、服务等信息；（三）数据安全管理制度规范及防护措施；（四）网络安全等级保护、数据安全评估、数据安全审计相关报告等。第十条  数据金库运营商。数据金库运营商负责承担数据金库的建设、运营、维护、升级等工作。数据金库运营商应当具备国家网信领域相关资质要求，满足核心数据、重要数据存储相关的国家标准。第十一条  其他部门。州数据管理行政主管部门和数据运营服务中心协调州发改、工信、信息通信建设管理等部门，为数据金库运营商提供相关资源，提升服务保障能力。州网信、机要和保密、公安、国家安全等部门在各自职责范围内对数据金库建设及运营活动进行监管。公安部门负责及时依法查处破坏数据金库或者危害数据金库安全的违法行为。州宣传、教体、广电等部门和机构，负责开展电信法律法规、信息基础设施保护、网络安全等相关知识的宣传和普及，对危害信息基础设施安全、影响数据金库正常运行的行为进行舆论监督。第三章金库建设管理第一节 物理环境第十二条  物理位置要求。数据金库物理位置应当符合下列规定：（一）选择在具有防震、防风和防雨等能力的建筑内；（二）应当避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施；（三）应当避开火灾危险程度高的区域，周围100米内不得有加油站、燃气站等危险建筑；（四）用于数据金库的物理设施与其他用途的设施物理隔离；（五）数据金库的设备位于中国境内。第十三条  物理访问控制要求。数据金库物理访问控制应当符合下列规定：（一）数据金库出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；（二）重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员；（三）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。第二节 设备采购第十四条  设备安全性能要求。数据金库运营商采购产品应当满足自主知识产权的要求并通过安全部门组织的安全审查，确保数据金库的本质安全。第十五条  采购安全保密协议。数据金库运营商采购数据金库的硬件设备，应当按照国家有关规定与硬件设备供应商签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。第十六条  硬件设备供应商要求。数据运营服务中心应当定期组织对硬件设备供应商的资质、经营行为、业绩、服务体系和服务品质等方面进行评估。第三节 软件部署第十七条  软件系统应具备功能。数据金库管理系统应当具备数据加工和数据管理功能，实现数据清洗治理、数据元件开发、数据元件交易，核心、重要数据与数据元件存储，以及通过安全、合规、标准、质检、定评五大支撑系统实现原始数据的三级蝶变。数据金库运营商应当分别建立独立的数据元件开发环境和生产环境并实行物理隔离；合作方使用样本数据在开发环境中开发数据元件，使用数据资源在生产环境中生产数据元件。第十八条  软件开发要求。软件开发过程中应当同步完成相关文档手册的编写工作，保证相关资料的完整性和准确性。第十九条  适配数据治理工具。数据金库应当实现数据治理工具配置的灵活性，可以适配不同厂商的数据归集、数据处理、数据元件开发、交易合约等工具。第四节 网络通信第二十条  网络架构要求。数据金库的网络架构应当符合下列规定：（一）保证网络设备的业务处理能力满足业务高峰期需要，业务处理能力能满足业务高峰期需要的50%以上；（二）保证网络各个部分的带宽满足业务高峰期需要；（三）划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；（四）实现不同分区网络之间及同一用户不同分区网络之间的隔离；（五）避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取物理隔离手段；（六）提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性；（七）按照业务服务的重要程度分配带宽，优先保障重要业务；（八）至少支持“两地三中心多活”的容灾模式；（九）使用前置设备实现跨区域联网系统与数据金库核心区的隔离，防止外部系统直接对数据金库核心数据区的访问和操作；（十）使用专用网络用于数据金库各物理逻辑分布间的重要信息交换，与公用网络隔离；（十一）至少通过两条主干链路接入跨区域交换网络，并可根据实际情况选择使用；（十二）具有根据业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。第二十一条  通信传输要求。通信传输应当符合下列规定：（一）通信前基于密码技术对通信的双方进行验证或认证；（二）采用密码技术保证数据的完整性、保密性，并按照国家密码管理部门与行业有关要求使用密码算法；（三）基于硬件密码模块对重要通信过程进行密码运算和密钥管理；（四）核心数据和重要数据应当采用单向光闸传输技术。第二十二条  数据金库布线。数据金库布线应做到跳线整齐，跳线与配线架统一编号，标记清晰。第四章服务运营管理第一节 场所管理第二十三条  数据金库巡查值守。数据金库运营商应当指定专门的部门和人员负责数据金库安全，对机房出入进行管理，每天巡查机房运行状况，密切监视设备运行状况以及各节点运行情况，定期对数据金库供配电、空调、温湿度控制、消防等设施进行维护管理，如实详细填写数据金库值班记录、巡视记录，以备后查。第二十四条  数据金库进出要求。数据金库运营商应当对出入人员进行相应级别的授权，对进入重要安全区域的人员和活动实时监视等。第二十五条  数据金库值班要求。数据金库执行7*24小时人员值班，值班人员须提前30分钟到达工作岗位完成工作交接。第二节 操作管理第二十六条  操作要求。数据金库软件系统维护、更改配置，添加、更换硬件设备应当经运营负责人批准。相关信息应当详细记录，各类软件、现场资料、档案等应当妥善管理。第二十七条  流程操作规范。数据金库操作应当严格按照各项预制操作流程进行，业务更新或者特殊情况需要变更流程的，应当事先详细安排，并经报运营负责人批准。所有操作变更应当记录存档。第二十八条  数据金库机房管理。数据金库机房包括建筑结构、电气系统、空调系统、弱电系统、消防系统等，未经相关负责人的批准，不得在机房设备上编写、修改、更换各类软件系统及更改设备参数配置。第三节 保密管理第二十九条  机线与资料保密要求。任何人未经批准不得擅自抄录、复制机线及设备图纸、电路和网络组织资料、机密文件、软件版本、技术档案、用户资料、内部资料等。第三十条  工作人员保密规范。数据金库工作人员应恪守保密制度，不得泄露数据金库的各种信息资料与数据。严格执行密码管理规定，不得将密码告知非工作人员，对操作密码定期更改，重要密码由系统管理员掌握。如有工作人员调任或离任后，必须更改操作密码。第三十一条  来访人员保密要求。外部人员进入数据金库必须遵守数据金库的管理规定和相关安全规定，非经同意,

外来人员不得触摸设备及终端，不得翻阅文件资料。第四节 网络和系统安全管理第三十二条  角色管理分工。数据金库运营商应当区分网络安全管理和系统安全管理，并明确各自管理人员的责任和权限。第三十三条  账户管理。数据金库运营商应当指定专门的部门和人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。第三十四条  网络和系统安全管理制度。数据金库运营商应当建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。第三十五条  网络和系统运维管理。数据金库运营商应当定期对数据金库计算、存储、网络等硬件设施设备进行检查与维护，对数据金库相关系统、平台、工具等软件进行更新升级，按需进行网络带宽扩容和结构优化，提升网络安全承载能力。第五节 数据安全管理第三十六条  数据分类分级存储。数据金库运营商应当按照数据资源、数据元件分类分级存储规则，对核心数据、重要数据、数据元件进行加密存储，加密算法使用国密算法，并对数据存储进行安全域划分，不同等级的数据采用不同的安全防护策略，保障数据安全。第三十七条  数据访问权限管理。数据金库运营商应当建立统一权限管理平台，制定数据权限管理策略，实现认证、权限授予、账号、审计方面的统一管理，防止核心、重要数据泄露。第三十八条  备份和恢复。数据运营服务中心负责制定数据备份与恢复相关安全管理制度，对备份信息的备份方式、备份频度、存储介质、保存期等进行规范。数据金库运营商应当按照数据运营服务中心的制度规范要求，制定交换网络、智能金仓、计算单元、数据加工系统、数据管理系统等的备份策略和恢复策略、备份程序和恢复程序等。第五章安全监督管理第一节 漏洞和风险管理第三十九条  安全监测预警。数据金库运营商应当建设运营监测预警平台，对数据金库的运行状态进行监测诊断和预警分析，加强金库压力测试和风险监测，发现数据安全缺陷、漏洞等风险时立即采取补救措施，提升数据金库全过程安全监管能力。第四十条  识别安全漏洞和隐患措施。数据金库运营商应当采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补。第四十一条  安全风险评估。数据金库运营商应当每年至少依托第三方机构进行一次安全检测与风险评估，对发现的问题及时采取防护和补救措施，评估结果报送数据运营服务中心。第四十二条  安全检测检查。州数据管理行政主管部门、网信、公安等部门与数据运营服务中心定期对数据金库运营商的安全管理措施、安全防护能力进行检查检测，提出改进意见，指导监督数据金库运营商及时整改安全隐患、完善安全措施。第二节 应急预案演练第四十三条  应急预案制定。数据运营服务中心负责制定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。数据金库运营商在应急预案框架下，制定详细具体的数据金库应急预案，报数据运营服务中心、州数据管理行政主管部门审核。第四十四条  应急预案评估。数据运营服务中心应当对数据金库运营商提交的应急预案进行评估，提出修改意见和建议，指导数据金库运营商修订和完善应急预案。第四十五条  应急演练。数据金库运营商定期开展应急演练，涉及主机和网络的应急演练，应至少提前3个工作日审批，涉及前置机和网络等小规模的应急演练，应至少提前3个工作日报数据运营服务中心审批。演练结束后，数据金库运营商应组织相关人员编写《应急演练总结报告》，并存档备查。第三节 安全应急处置第四十六条  应急工作统筹管理。州网信部门、州数据管理行政主管部门、数据运营服务中心组织和协调应急处理工作，数据金库运营商要服从统一指挥，全力配合做好各项应急处理工作，根据应急管理需要，设备供应商现场参与处理。第四十七条  安全应急体系建设。数据金库运营商应当建立数据金库安全应急体系，包括人员、设备、软件、数据等资源的准备，以及制定和下发《数据金库安全应急操作手册》。第四十八条  安全备份。数据金库运营商至少每季度一次对交换网络、智能金仓、计算单元、数据加工系统、数据管理系统等进行备份，以备应急使用。第四十九条  安全应急处置。发生应急事件时，数据金库运营商应当准确启动应急方案，并按照《数据金库应急操作手册》所规定的应急事件处置步骤和规范要求进行操作处置。应急处理工作必须由数据运营服务中心负责人到场指挥，负责人无法及时到场时，应指定人员现场指挥并尽快开展工作。第四节 安全事件报告第五十条  报告制度建设。数据运营服务中心应当制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的职责分工。第五十一条  安全事件报告。数据金库运营商应当对运营过程中发现的安全弱点和可疑事