一. 概述
数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。
为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度
2.1 数据信息安全存储要求
数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。
存储介质管理须符合以下规定:
2.2 数据信息传输安全要求
2.3 数据信息安全等级变更要求
数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。
2.4 数据信息安全管理职责
数据信息涉及各类人员的职责如下:
三. 数据信息重要性评估
3.1 数据信息分级原则
分级合理性
数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。
分级周期性
数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。如果把安全保护的分级划定得过高就会导致不必要的业务开支。
3.2 数据信息分级
数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如下:
等级 |
标识 |
数据信息价值定义 |
5 |
很高 |
重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响 |
4 |
高 |
重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响 |
3 |
中 |
重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响 |
2 |
低 |
重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响 |
1 |
很低 |
重要程度都很低,其安全属性破坏后可能导致系统受到很低程度的影响,甚至忽略不计 |
四. 数据信息完整性安全规范
数据信息完整性应符合以下规范:
五. 数据信息保密性安全规范
数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用,确保数据信息能够被安全、方便、透明的使用。为此,业务平台应采用加密等安全措施开展数据信息保密性工作:
加密安全措施主要分为密码安全及密钥安全。
5.1 密码安全
密码的使用应该遵循以下原则:
5.2 密钥安全
密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。因此,应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;还应对生成、存储和归档保存密钥的设备采取物理保护。此外,必须使用经过业务平台部门批准的加密机制进行密钥分发,并记录密钥的分发过程,以便审计跟踪,统一对密钥、证书进行管理。
密钥的管理应该基于以下流程:
密钥产生:为不同的密码系统和不同的应用生成密钥;
密钥证书:生成并获取密钥证书;
密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活;
密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括授权用户如何访问密钥;
密钥变更:包括密钥变更时机及变更规则,处置被泄露的密钥;
密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露或者相关运维操作员离开业务平台部门时(在这种情况下,应当归档密钥);
密钥恢复:作为业务平台连续性管理的一部分,对丢失或破坏的密钥进行恢复;
密钥归档:归档密钥,以用于归档或备份的数据信息;
密钥销毁:密钥销毁将删除该密钥管理下数据信息客体的所有记录,将无法恢复,因此,在密钥销毁前,应确认由此密钥保护的数据信息不再需要。
六. 数据信息备份与恢复
6.1 数据信息备份要求
6.1.1 备份要求
6.1.2 备份执行与记录
备份执行过程应有详细的规划和记录,包括备份主体、备份时间、备份策略、备份路径、记录介质(类型)等。
6.2 备份恢复管理