[计算机]数据安全管理规范

[计算机]数据安全管理规范内容摘要：

据安全规范 1 一 . 概述 数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理， 保证数据信息 的可用性、完整性、机密性，特制定本 规范。 数据安全规范 2 二 . 数据信息安全管理制度 数据 信息 安全存储要求 数据 信息 存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理 须符合 以下规定：  包含重要、敏感或 关键数据 信息 的移动式存储介质 须专人 值守。  删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。  任何存储媒介入 库或 出 库 需经过授权，并保留相应记录，方便审计跟踪。 数据 信息 传输安全 要求  在对数据 信息 进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应 符合以下规范 ：  必须符合国家有关加密技术的法律法规；  根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长 度；  听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的 工具。  机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。  机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应 符合以下规范 ：  充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。  采取保护公钥完整性的安全措施，例如使用公钥证书；  确定签名算法的类型、属性以及所用密钥长度；  用于数字签名的密钥应不同于用来加密内容的密钥。 数据安全规范 3 数据 信息 安全等级 变更 要求 数据 信息 安全等级经常需要变更 .一般地，数据 信息 安全等级变更需要由数据资产的所有者进行，然后改变相应的分类并 告知信息安全负责人进行备案 .。 对于数据 信息 的安全等级，应每年进行评审，只要实际情况允许，就进行数据 信息 安全等级递减，这样可以降低数据防护的成本，并增加数据访问的方便性。 数据信息安全管理职责 数据 信息 涉及各类人员的职责如下：  拥有者：拥有数据的所有权；拥有对数据的处置权利；对数据进行分类与分级；指定数据资产的管理者 /维护人；  管理者：被授权管理相关数据资产；负责数据的日常维护和管理；  访问者：在授权的范围内访问所需数据；确保访问对象的机密性、完整性、可用性等； 数据安全规范 4 三 . 数据信息重要性评估 数据信息 分级 原则 分级 合理性 数据 信息和处理 数据信息分级 的系统输应当仔细考虑分 级 范畴的数量以及使用这种分级 所带来的好处。 过于复杂的分 级 规划可能很累赘，而且使用和执行。