標(biāo)準(zhǔn)文檔

文件名稱數(shù)據(jù)安全管理規(guī)范密級(jí)

文件編號(hào)版本號(hào)

編寫部門編寫人

審批人發(fā)布時(shí)間

業(yè)務(wù)平臺(tái)安全管理制度

一數(shù)據(jù)安全管理規(guī)范

XXXXXXXXXXX公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部

標(biāo)準(zhǔn)文檔

目錄

一.概述................................................................................1

二.數(shù)據(jù)信息安全管理制度..............................................................2

2.1數(shù)據(jù)信息安全存儲(chǔ)要求..............................................................2

2.2數(shù)據(jù)信息傳輸安全要求.............................................................2

2.3數(shù)據(jù)信息安全等級(jí)變更要求.........................................................3

2.4數(shù)據(jù)信息安全管理職責(zé).............................................................3

三.數(shù)據(jù)信息重要性評(píng)估................................................................4

3.1數(shù)據(jù)信息分級(jí)原則..................................................................4

3.2數(shù)據(jù)信息分級(jí)......................................................................4

四.數(shù)據(jù)信息完整性安全規(guī)范............................................................5

五.數(shù)據(jù)信息保密性安全規(guī)范............................................................6

5.1密碼安全...........................................................................6

5.2密鑰安全..........................................................................6

六.數(shù)據(jù)信息備份與恢復(fù)................................................................8

6.1數(shù)據(jù)信息備份要求..................................................................8

6.1.1備份要求......................................................................8

612備份執(zhí)行與記錄................................................................8

6.2備份恢復(fù)管理......................................................................8

文案大全

標(biāo)準(zhǔn)文檔

概述

數(shù)據(jù)信息安全，顧名思義就是要保護(hù)數(shù)據(jù)信息免受威脅的影響，從而確保業(yè)務(wù)平臺(tái)的連

續(xù)性，縮減業(yè)務(wù)平臺(tái)有可能面臨的風(fēng)險(xiǎn)，為整個(gè)業(yè)務(wù)平臺(tái)部門的長(zhǎng)期正常運(yùn)行提供強(qiáng)有力的

保障。

為加強(qiáng)數(shù)據(jù)信息的安全管理，保證數(shù)據(jù)信息的可用性、完整性、機(jī)密性，特制定本規(guī)范。

文案大全

標(biāo)準(zhǔn)文檔

2.3數(shù)據(jù)信息安全等級(jí)變更要求

數(shù)據(jù)信息安全等級(jí)時(shí)常需要變更.普通地，數(shù)據(jù)信息安全等級(jí)變更需要由數(shù)據(jù)資產(chǎn)的所

有者進(jìn)行，然后改變相應(yīng)的分類并告知信息安全負(fù)責(zé)人進(jìn)行備案對(duì)于數(shù)據(jù)信息的安全等

級(jí)，應(yīng)每年進(jìn)行評(píng)審，只要實(shí)際情況允許，就進(jìn)行數(shù)據(jù)信息安全等級(jí)遞減，這樣可以降低數(shù)

據(jù)防護(hù)的成本，并增加數(shù)據(jù)訪問(wèn)的方便性。

2.4數(shù)據(jù)信息安全管理職責(zé)

數(shù)據(jù)信息涉及各類人員的職責(zé)如F：

令擁有者：擁有數(shù)據(jù)的所有權(quán)；擁有對(duì)數(shù)據(jù)的處置權(quán)利；對(duì)數(shù)據(jù)進(jìn)行分類與分級(jí)；指

定數(shù)據(jù)資產(chǎn)的管理者/維護(hù)人；

令管理者：被授權(quán)管理相關(guān)數(shù)據(jù)資產(chǎn)；負(fù)費(fèi)數(shù)據(jù)的日常維護(hù)和管理；

令訪問(wèn)者：在授權(quán)的范圍內(nèi)訪問(wèn)所需數(shù)據(jù)；確保訪問(wèn)對(duì)象的機(jī)密性、完整性、口J用性

等：

文案大全

標(biāo)準(zhǔn)文檔

三.數(shù)據(jù)信息重要性評(píng)估

3.1數(shù)據(jù)信息分級(jí)原則

分級(jí)合理性

數(shù)據(jù)信息和處理數(shù)據(jù)信息分級(jí)的系統(tǒng)輸應(yīng)當(dāng)子細(xì)考慮分級(jí)范疇的數(shù)量以及使用這種分

級(jí)所帶來(lái)的好處。過(guò)于復(fù)雜的分級(jí)規(guī)劃可能很累墜，而且使用和執(zhí)行起來(lái)也不經(jīng)濟(jì)實(shí)用。

分級(jí)周期性

數(shù)據(jù)信息的分級(jí)具有一定的保密期限.對(duì)于任何數(shù)據(jù)信息的分級(jí)都不一定自始至終固定

不變，可按照?些預(yù)定的策略發(fā)生改變。如果把安全保護(hù)的分級(jí)劃定得過(guò)高就會(huì)導(dǎo)致不必要

的業(yè)務(wù)開(kāi)支。

3.2數(shù)據(jù)信息分級(jí)

數(shù)據(jù)信息應(yīng)按照價(jià)值、法律要求及對(duì)組織的敏感程度和關(guān)鍵程度進(jìn)行分級(jí)，分級(jí)等級(jí)如

T：

等級(jí)標(biāo)識(shí)數(shù)據(jù)信息價(jià)值定義

重要程度很高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到非常嚴(yán)

5很高

重的影響

重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到比較嚴(yán)

4高

重的影響

重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到中等程

3中

度的影響

重要程度較低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到較低程

2低

度的影響

重要程度都很低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到很低

1很低

程度的影響，甚至忽稍不計(jì)

文案大全

標(biāo)準(zhǔn)文檔

四.數(shù)據(jù)信息完整性安全規(guī)范

數(shù)據(jù)信息完整性應(yīng)符合以下規(guī)范：

令確保所采取的數(shù)據(jù)信息管理和技術(shù)措施以及覆卷范I制的完整性。

令應(yīng)能夠檢測(cè)到網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的系

統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到

完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；

令應(yīng)能夠檢測(cè)到網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的系

統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到

完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；

令具備完整的用戶訪問(wèn)、處埋、刪除數(shù)據(jù)信息的操作記錄能力，以備審計(jì)。

令在數(shù)據(jù)信息時(shí)，經(jīng)過(guò)不安全網(wǎng)絡(luò)的（例如INTERNET網(wǎng)），需要對(duì)傳輸?shù)臄?shù)據(jù)信

息提供完整性校驗(yàn)。

令應(yīng)具備完善的權(quán)艱管理策略，支持權(quán)限最小化原則、合理授權(quán)。

文案大全

標(biāo)準(zhǔn)文檔

五.數(shù)據(jù)信息保密性安全規(guī)范

數(shù)據(jù)信息保密性安全規(guī)范用于保障業(yè)務(wù)平臺(tái)重要業(yè)務(wù)數(shù)據(jù)信息的安全傳遞與處理應(yīng)用，

確保數(shù)據(jù)信息能夠被安全、萬(wàn)使、透明的使用。為此，業(yè)務(wù)平臺(tái)應(yīng)米用加密等安全措施開(kāi)展

數(shù)據(jù)信息保密性工作：

令應(yīng)采用加密效措施實(shí)現(xiàn)重要業(yè)務(wù)數(shù)據(jù)信息傳輸保密性；

令應(yīng)采用加密實(shí)現(xiàn)重要業(yè)務(wù)數(shù)據(jù)信息存儲(chǔ)保密性；

加密安全措施主要分為密碼安全及密鑰安全。

5.1密碼安全

密碼的使用應(yīng)該遵循以卜.原則：

令不能將密碼寫下來(lái)，不能通過(guò)電子郵件傳輸；

令不能使用缺省設(shè)置的密碼；

令不能將密碼告訴別人：

令如果系統(tǒng)的密碼泄漏了，必須即將更改：

令密碼要以加密形式保存，加密算法強(qiáng)度要高，加密算法要不可逆；

令系統(tǒng)應(yīng)該強(qiáng)制指定密碼的策略，包括密碼的最短有效期、最長(zhǎng)有效期、最短長(zhǎng)度、

復(fù)雜性等；

令如果需要特殊用戶的口令（比如說(shuō)UNIX下的Oracle）,要禁止通過(guò)該用戶進(jìn)行交

互式登錄；

令在要求較高的情況下可以使用強(qiáng)度更高的認(rèn)證機(jī)制，例如：雙因素認(rèn)證；

令（要定時(shí)運(yùn)行密碼檢查器檢查口令強(qiáng)度，對(duì)于保存機(jī)密和絕密信息的系統(tǒng)應(yīng)該每周

檢查一次口令強(qiáng)度；其它系統(tǒng)應(yīng)該每月檢查一次。

5.2密鑰安全

密鑰管理對(duì)于有效使用密碼技術(shù)至關(guān)重要。密鑰的丟失和泄露可能會(huì)傷害數(shù)據(jù)信息的保

密性、重要性和完整性。因此，應(yīng)采取加密技術(shù)等措施來(lái)有效保護(hù)密鑰，以免密鑰被非法修

改和破壞；還應(yīng)對(duì)生成、存儲(chǔ)和歸檔保存密鑰的設(shè)備采取物理保護(hù)。此外，必須使用經(jīng)過(guò)業(yè)

文案大全

標(biāo)準(zhǔn)文檔

務(wù)平臺(tái)部門批準(zhǔn)的加密機(jī)制進(jìn)行密鑰分發(fā)，并記錄密鑰的分發(fā)過(guò)程，以便審計(jì)跟蹤，統(tǒng)一對(duì)

密鑰、證書(shū)進(jìn)行管理。

密鑰的管理應(yīng)該基于以下流程：

密鑰產(chǎn)生：為不同的密碼系統(tǒng)和不同的應(yīng)用生成密仍：

密鑰證書(shū)：生成并獲取密鑰證書(shū)；

密鑰分發(fā)：向H標(biāo)用戶分發(fā)密鑰，包括在收到密鑰時(shí)如何將之激活；

密鑰存儲(chǔ)：為當(dāng)前或者近期使用的密鑰或者備份密鑰提供安全存儲(chǔ)，包括授權(quán)用戶如何

訪問(wèn)密鑰；

密鑰變更：包括密鑰變更時(shí)機(jī)及變更規(guī)則，處置被泄露的密鑰；

密鑰撤銷：包括如何收回或者去激活密鑰，如在密鑰已被泄露或者相關(guān)運(yùn)維操作員離開(kāi)

業(yè)務(wù)平臺(tái)部門時(shí)（在這種情況下，應(yīng)當(dāng)歸檔密鑰）；

密鑰恢復(fù)：作為業(yè)務(wù)平臺(tái)連續(xù)性管理的?部份，對(duì)丟失或者破壞的密鑰進(jìn)行恢復(fù)；

密鑰歸檔：歸檔密鑰，以用于歸檔或者備份的數(shù)據(jù)信息：

密鑰銷毀：密鑰銷毀將刪除該密鑰管理下數(shù)據(jù)信息客體的所有記錄，將無(wú)法恢復(fù)，因此，

在密鑰銷毀前，應(yīng)確認(rèn)由此密鑰保護(hù)的數(shù)據(jù)信息再也不需要。

文案大全

標(biāo)準(zhǔn)文檔

六.數(shù)據(jù)信息備份與恢復(fù)

6.1數(shù)據(jù)信息備份耍求

6.1.1備份要求

令數(shù)據(jù)信息備份應(yīng)采用性能可靠、不宜損壞的介質(zhì)，如磁帶、光盤等。備份數(shù)據(jù)信息

的物理介質(zhì)應(yīng)注明數(shù)據(jù)信息的來(lái)源、備份日期、恢復(fù)步驟等信息，并置于安全環(huán)境

保管。

令普通情況下對(duì)服務(wù)器和網(wǎng)絡(luò)安仝設(shè)備的配.置數(shù)據(jù)信息每月進(jìn)行一次的備份，當(dāng)進(jìn)行

配置修改、系統(tǒng)版本升級(jí)、補(bǔ)丁安裝等操作前也要進(jìn)行備份；網(wǎng)絡(luò)設(shè)備配置文件在

進(jìn)行版本升級(jí)前和配置修改