欢迎来到天天文库
浏览记录
ID:29426521
大小:107.50 KB
页数:11页
时间:2018-12-19
《数据安全管理规范标准[详]》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、WORD格式整理文件名称数据安全管理规范密级文件编号版本号编写部门编写人审批人发布时间业务平台安全管理制度—数据安全管理规范XXXXXXXXXXX公司网络运行维护事业部学习参考资料分享WORD格式整理目录一.概述1二.数据信息安全管理制度22.1数据信息安全存储要求22.2数据信息传输安全要求22.3数据信息安全等级变更要求32.4数据信息安全管理职责3三.数据信息重要性评估43.1数据信息分级原则43.2数据信息分级4四.数据信息完整性安全规范5五.数据信息保密性安全规范65.1密码安全65.2密钥安全6六.数据信息备份与恢复86.1数据信息备份要求86.1.1备份要求86.1.2备
2、份执行与记录86.2备份恢复管理8学习参考资料分享WORD格式整理一.概述数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。学习参考资料分享WORD格式整理一.数据信息安全管理制度1.1数据信息安全存储要求数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定:u包含重要、敏感或关键数据信息的移动式存储介质须专人值守。u删除可重复使用存储介质上的机
3、密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。u任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。1.2数据信息传输安全要求u在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和应用加密技术时,应符合以下规范:n必须符合国家有关加密技术的法律法规;n根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密钥的长度;n听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。u机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不
4、对称加密。u机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数字签名时应符合以下规范:n充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。n采取保护公钥完整性的安全措施,例如使用公钥证书;n确定签名算法的类型、属性以及所用密钥长度;n用于数字签名的密钥应不同于用来加密内容的密钥。学习参考资料分享WORD格式整理1.1数据信息安全等级变更要求数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这
5、样可以降低数据防护的成本,并增加数据访问的方便性。1.2数据信息安全管理职责数据信息涉及各类人员的职责如下:u拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指定数据资产的管理者/维护人;u管理者:被授权管理相关数据资产;负责数据的日常维护和管理;u访问者:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性等;学习参考资料分享WORD格式整理一.数据信息重要性评估1.1数据信息分级原则分级合理性数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。分级周
6、期性数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。1.2数据信息分级数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下:等级标识数据信息价值定义5很高重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响4高重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响3中重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响2低重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响1很低重要程度都很低,其安全属性破坏后可
7、能导致系统受到很低程度的影响,甚至忽略不计学习参考资料分享WORD格式整理一.数据信息完整性安全规范数据信息完整性应符合以下规范:u确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。u应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;u应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数
此文档下载收益归作者所有