1 概述 数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。 一、数据信息安全管理制度 1.1 数据信息安全存储要求 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定: 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。 任何存储媒介入库或出库需经过授 权 ,并 保留相 应记 录,方 便 审 计 跟 踪 。 1.2 数据信息传 输安全要求 在对数据信息进行传 输时,应该在风险评 估 的基 础 上采 用合理的加密技 术 ,选 择 和应用加密技 术 时,应符合以下规范: 必 须符合国 家 有关加密技 术 的法 律 法 规; 根 据风险评 估 确定保护级 别 ,并 以此 确定加密算 法 的类 型 、属 性,以及所 用密钥 的长度; 听 取 专家 的建 议 ,确定合适 的保护级 别 ,选 择 能够 提供所 需保护的合适 的工具。 机密和 绝密信息在存储和 传 输时必 须加密,加密方 式可以分 为:对称 加密和 不 对称加密。 机密和 绝密数据的传 输过程 中 必 须使用数字 签 名以确保信息的不 可否 认 性,使用数字 签 名时应符合以下规范: 2 充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。 采取保护公钥完整性的安全措施,例如使用公钥证书; 确定签名算法的类型、属性以及所用密钥长度; 用于数字签名的密钥应不同于用来加密内容的密钥。 1.3 数据信息安全等级变更要求 数据信息安全等级经常需要变更.一般地,数据信息安全等级变更需要由数据资产的所有者进行,然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。 1.4 数据信息安全管理职责 数据信息涉及各类人员的职责如下: 拥有者...
