数据安全管理规范
数据安全管理规范
数据安全管理规范数据安全管理规范是指组织制定和实施一系列控制措施,以保护数据及其相关信息免遭未经授权访问、使用、披露、修改、破坏或丢失的规范。
以下是一个数据安全管理规范的例子。
一、数据分类和标记1. 将数据分为不同级别,并根据其敏感程度进行标记。
常见的分类包括:个人身份信息、商业机密、合同信息等。
2. 对不同级别的数据,执行相应的安全措施,包括存储、传输和处理。
二、权限控制1. 根据员工的职责和需要,给予其适当的权限,确保只有授权的人员可以访问敏感数据。
2. 定期审查和更新权限,以确保旧员工或离职员工的访问权限被及时取消。
三、密码策略1. 要求用户设置强密码,包括使用大写和小写字母、数字和特殊字符的组合。
2. 强制用户定期更改密码,并禁止使用过去的几个密码。
3. 在不同的系统和应用中使用不同的密码,以便在一个密码被破解后,其他的账户不会受到影响。
四、备份和恢复1. 定期备份重要数据,并保存在安全的地方。
确保备份的数据可以在需要时恢复。
2. 定期测试备份的完整性和可恢复性,以确保备份数据是完整和可读的。
五、网络安全1. 使用防火墙和入侵检测系统保护网络免受攻击。
2. 定期检查和更新网络设备的安全补丁,以防止已知的漏洞被利用。
3. 对无线网络进行加密,仅允许经过身份验证的用户访问。
六、员工培训和意识1. 对新员工进行数据安全培训,并要求他们签署保密协议。
2. 定期组织数据安全培训和意识活动,提高员工对数据安全的重视和意识。
七、安全漏洞管理1. 定期进行安全风险评估和漏洞扫描,及时修补和处理发现的漏洞。
2. 用户发现和报告的安全问题及时响应和处理,并进行相应的纠正措施。
八、紧急响应计划1. 制定和测试紧急响应计划,以应对数据泄露、网络攻击等紧急事件。
2. 定期进行演练,并根据演练结果修订和完善紧急响应计划。
九、数据保密协议1. 与供应商和合作伙伴签订数据保密协议,明确他们对数据安全的责任和义务。
2. 在合同中明确违约责任和相应的赔偿机制。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言数据安全是商业银行信息安全的重要组成部分,对于保护客户隐私、维护金融秩序和防范风险具有重要意义。
为了确保商业银行的数据安全管理工作规范、有效、可持续发展,制定本《商业银行数据安全管理规范》。
二、适用范围本规范适用于所有商业银行及其分支机构、子公司等相关机构,涵盖商业银行所有的数据安全管理工作。
三、数据分类与保护级别1. 数据分类商业银行的数据按照其重要性和敏感性分为三个等级:核心数据、一般数据和非核心数据。
核心数据是指商业银行的关键业务数据,一般数据是指商业银行的常规业务数据,非核心数据是指商业银行的非关键业务数据。
2. 保护级别商业银行的数据按照其保密性、完整性和可用性需求分为三个级别:机密级、秘密级和一般级。
机密级是指商业银行的最高保密级别,秘密级是指商业银行的中等保密级别,一般级是指商业银行的最低保密级别。
四、数据安全管理措施1. 数据访问控制商业银行应建立完善的数据访问控制机制,确保只有经过授权的人员才能访问相应的数据。
具体措施包括:制定访问权限管理规范、实施用户身份验证、建立访问日志记录和监控机制等。
2. 数据传输保护商业银行在数据传输过程中应采取相应的保护措施,确保数据的机密性和完整性。
具体措施包括:加密传输、建立安全通道、使用安全协议等。
3. 数据备份与恢复商业银行应定期进行数据备份,并建立相应的数据恢复机制,以应对数据丢失或损坏的情况。
具体措施包括:制定数据备份策略、建立备份存储设备、测试数据恢复方案等。
4. 数据存储安全商业银行应采取措施确保数据在存储过程中的安全性和完整性。
具体措施包括:建立存储设备访问控制、实施数据加密、建立存储设备监控和报警机制等。
5. 数据销毁与清除商业银行应制定数据销毁与清除规范,确保在数据不再需要时能够彻底销毁或清除。
具体措施包括:制定数据销毁与清除流程、使用专业的数据销毁工具、进行数据销毁记录等。
6. 数据安全培训与意识商业银行应定期开展数据安全培训,提高员工对数据安全的认识和意识。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言数据安全是商业银行发展和运营的重要保障,保护客户信息、防范风险是商业银行数据安全管理的核心目标。
为了确保商业银行的数据安全,制定本规范,明确数据安全管理的要求和措施。
二、数据安全管理的基本原则1. 保密性原则:商业银行应确保客户信息的保密性,不得泄露客户敏感信息。
2. 完整性原则:商业银行应确保数据的完整性,防止数据被篡改或损坏。
3. 可用性原则:商业银行应确保数据的可用性,保证客户能够正常使用银行服务。
4. 责任原则:商业银行应建立健全的数据安全责任制度,明确各级人员的责任和义务。
三、数据分类和访问控制1. 商业银行应将数据分为不同的等级,并制定相应的访问控制策略。
2. 商业银行应实施严格的身份认证机制,确保只有经过授权的人员能够访问敏感数据。
3. 商业银行应定期审查和更新访问控制策略,确保数据的安全性。
四、数据传输和存储安全1. 商业银行应采用加密技术保护数据在传输过程中的安全,防止数据被窃取或篡改。
2. 商业银行应建立安全的数据存储机制,采用备份和冗余技术,确保数据不会丢失或受损。
3. 商业银行应定期对数据存储设备进行安全检查和维护,确保数据的完整性和可用性。
五、安全事件监测和应急响应1. 商业银行应建立安全事件监测系统,及时发现和识别潜在的安全威胁。
2. 商业银行应建立健全的安全事件应急响应机制,制定应急预案,及时应对安全事件。
3. 商业银行应定期进行安全演练和测试,提高应急响应能力。
六、员工安全意识培训1. 商业银行应定期组织员工数据安全培训,提高员工的安全意识和技能。
2. 商业银行应建立奖惩机制,激励员工积极参与数据安全管理工作。
3. 商业银行应加强对外部人员的管理,确保外部人员不会对数据安全造成威胁。
七、数据安全审计和评估1. 商业银行应定期进行数据安全审计,评估数据安全管理的有效性。
2. 商业银行应建立数据安全评估制度,对数据安全风险进行评估和控制。
数据安全管理规范
数据安全管理规范第一条为加强XXX信息系统数据安全(本规定所指数据信息均为非涉密电子信息)管理,保护重要信息资源,同时依据保密制度,严格规范备份流程,并通过工作电脑、移动存储设备、文件备份服务器、光盘介质等的有效配合,维护XXX各重要信息系统的正常运行,保证系统源程序和运行过程中所产生的数据安全,特依据国家有关法律法规,制定本规范。
第二条本规范适用于XXX负责维护的所有信息系统数据。
第三条 XXX负责所有信息系统数据的主管工作。
指定专人担任数据管理员,负责数据的管理工作。
数据管理员负责督促网络运维、安全运维完成下述工作:(一)负责定期备份相关信息系统的数据。
(二)负责分配数据库使用者的角色和权限。
(三)负责数据库信息的配置修改,负责相关软件的升级和维护。
(四)负责定期对数据库日志或安全审计日志进行分析、评审并形成分析报告。
(五)负责监督数据库使用者对数据的使用情况及保密情况。
(六)负责在意外情况下的数据恢复工作。
(七)负责定期检查数据安全防护情况。
第四条根据XXX数据的生成、使用、传输、归档与销毁等方面,如发生数据损毁,造成影响,可将数据分为三个重要等级。
第五条数据库应当具有安全审计功能。
信息系统所生成的敏感数据,存放时应区别于非敏感类数据。
敏感数据在使用、传输过程中不得为明文形式存储或传输,在归档与销毁时应依据数据等级进行操作。
第六条涉及敏感数据信息的安全防护工作应当按照《XXX数据安全防护指南》(靠拢)进行。
系统运行单位应当采用脱敏、金库管控、数据准入等手段对敏感信息进行安全防护。
第七条网络运维应按照《XXX数据备份与恢复管理程序》,指定专人负责数据的定期备份工作。
第八条如数据损坏需要恢复,数据管理员应向分管领导汇报并申请展开恢复工作。
经分管领导批准后,利用最新的备份数据进行恢复,将损坏的数据恢复到最近一次备份。
第九条系统中断或重启时,根据需要将软件系统及相关数据恢复到最近一次备份的数据。
第十条数据备份与恢复工作应每年进行1次数据恢复演练,检查和测试备份介质的有效性和恢复过程的可行性,并对备份恢复演练过程进行记录和归档。
数据安全管理规范
数据安全管理规范关键信息项:1、数据分类与分级敏感数据类型一般数据类型数据分级标准2、数据访问控制访问权限级别授权流程身份验证方式3、数据存储与传输安全存储加密要求传输加密协议数据备份策略4、数据处理与使用规范数据处理目的限制数据使用审批流程数据共享原则5、数据安全监测与审计监测频率与指标审计内容与流程异常事件响应机制6、员工培训与责任培训计划与内容员工安全责任界定违规处罚措施11 数据分类与分级111 明确数据的分类,包括但不限于个人身份信息、财务数据、业务机密等敏感数据类型,以及一般性的业务数据、公开数据等一般数据类型。
112 制定详细的数据分级标准,根据数据的重要性、敏感性和影响程度,将数据分为不同级别,如高级机密、机密、内部使用、公开等。
12 数据访问控制121 设定不同的访问权限级别,如只读、读写、修改、删除等,确保只有经过授权的人员能够获得相应的权限。
122 建立严格的授权流程,任何访问权限的授予都需经过相关负责人的审批,并记录在案。
123 采用多种身份验证方式,如密码、指纹识别、令牌等,增强访问的安全性。
13 数据存储与传输安全131 对敏感数据的存储进行加密处理,使用强加密算法,定期更新密钥。
132 在数据传输过程中,采用安全的加密协议,如 SSL/TLS 等,保障数据的机密性和完整性。
133 制定数据备份策略,包括定期备份、异地存储、备份恢复测试等,以防止数据丢失。
14 数据处理与使用规范141 明确数据处理的目的限制,只能在规定的业务范围内进行处理,不得用于其他未经授权的用途。
142 建立数据使用的审批流程,任何对数据的特殊使用需求都需经过审批。
143 遵循数据共享原则,在与第三方共享数据时,需确保对方具备足够的安全保障措施,并签订相关协议。
15 数据安全监测与审计151 设定数据安全监测的频率和关键指标,如访问异常、数据泄露风险等。
152 定期进行数据审计,审查数据的访问记录、操作日志等,确保数据的使用符合规定。
完整版)数据安全管理规范
完整版)数据安全管理规范数据安全管理规范目录1.引言2.数据安全管理的重要性3.数据安全管理的基本原则4.数据安全管理的具体措施5.数据安全管理的监督与评估1.引言本规范旨在规范公司内部数据安全管理的行为准则,确保公司数据的安全性和保密性。
本规范适用于公司内部所有涉及数据处理、存储、传输等活动的部门和人员。
2.数据安全管理的重要性数据安全是公司信息化建设的重要组成部分,直接关系到公司业务的正常运转和发展。
数据安全管理的不规范将会导致数据泄露、丢失、被篡改等问题,给公司带来严重的经济损失和声誉损害。
3.数据安全管理的基本原则1)保密原则:对于公司的机密数据,必须进行严格的保密措施,确保数据不被泄露。
2)完整性原则:保证数据在处理、存储、传输等过程中不被篡改、损坏。
3)可用性原则:保证数据在需要时能够及时、正确地被使用。
4)责任原则:明确数据管理的责任人,确保数据安全管理的有效性和可追溯性。
4.数据安全管理的具体措施1)数据分类管理:按照数据的敏感程度和重要性进行分类管理,采取不同的安全措施。
2)访问控制:采用权限管理、身份认证等措施,确保只有授权人员能够访问数据。
3)加密保护:对于机密数据,采取加密措施,确保数据在传输、存储等过程中不被窃取。
4)备份与恢复:定期备份数据,并测试恢复效果,确保数据在意外情况下能够及时恢复。
5.数据安全管理的监督与评估1)内部监督:建立数据安全管理的内部监督机制,定期检查和评估数据安全管理的有效性和合规性。
2)外部评估:委托第三方机构进行数据安全管理的评估,及时发现和解决问题。
3)不断完善:根据实际情况和技术发展,不断完善数据安全管理制度,确保数据安全管理的持续有效性。
一、概述数据信息安全是企业信息化建设中的一个重要环节,它关系到企业核心业务的稳定运行和重要信息的保护。
为了保障企业信息安全,制定一套完整的数据信息安全管理制度是非常必要的。
二、数据信息安全管理制度2.1 数据信息安全存储要求为保障数据信息的安全性,所有数据都应该存储在安全可靠的存储设备中,并进行定期备份。
数据规范安全管理制度
第一章总则第一条为加强公司数据安全管理,确保公司数据资源的保密性、完整性和可用性,根据国家相关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有涉及数据存储、处理、传输和使用的部门及个人。
第三条本制度遵循以下原则:1. 法规遵从原则:严格遵守国家法律法规和行业标准,确保数据安全。
2. 风险控制原则:识别、评估和防范数据安全风险,降低数据泄露、篡改和破坏的风险。
3. 安全责任原则:明确数据安全责任,落实安全措施,确保数据安全。
4. 技术保障原则:采用先进的技术手段,加强数据安全防护。
第二章数据分类与分级第四条数据分类根据数据的重要性和敏感性,将公司数据分为以下四类:1. 核心数据:对公司业务运营、核心竞争力有重大影响的敏感数据。
2. 重要数据:对公司业务运营有较大影响的敏感数据。
3. 一般数据:对公司业务运营有一定影响的非敏感数据。
4. 公开数据:不涉及公司商业秘密和隐私,可公开的数据。
第五条数据分级根据数据的重要性和敏感性,将公司数据分为以下三个等级:1. 一级数据:核心数据,需最高级别的安全保护。
2. 二级数据:重要数据,需较高的安全保护。
3. 三级数据:一般数据和公开数据,需基本的安全保护。
第三章数据安全管理职责第六条数据安全管理组织1. 成立数据安全管理委员会,负责公司数据安全工作的统筹规划、组织协调和监督指导。
2. 设立数据安全管理办公室,负责日常数据安全管理工作。
第七条数据安全管理职责1. 数据安全管理委员会职责:(1)制定公司数据安全管理制度;(2)监督各部门落实数据安全措施;(3)组织开展数据安全培训和宣传活动;(4)评估数据安全风险,提出改进措施。
2. 数据安全管理办公室职责:(1)负责数据安全管理制度的具体实施;(2)组织数据安全风险评估和检查;(3)协调各部门解决数据安全问题;(4)监督数据安全事件的处理。
3. 各部门职责:(1)落实数据安全管理制度;(2)对本部门数据安全负责;(3)配合数据安全管理办公室开展数据安全相关工作。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言为了保护商业银行的数据安全,防止数据泄露和未经授权的访问,制定本数据安全管理规范。
本规范适合于商业银行的所有数据处理活动,包括数据采集、存储、传输、处理和销毁等环节。
二、数据分类和等级商业银行的数据根据其重要性和敏感程度进行分类和等级划分。
数据分类和等级应根据商业银行的业务特点和法律法规的要求进行确定。
常见的数据分类和等级包括:公开数据、内部数据、机密数据和个人敏感数据等。
三、数据安全管理责任1. 商业银行应设立专门的数据安全管理部门,并明确其职责和权限。
2. 数据安全管理部门应负责制定数据安全策略、规范和流程,并监督其执行情况。
3. 商业银行的各级管理人员应对数据安全负有直接责任,并定期进行数据安全培训。
四、数据访问控制1. 商业银行应建立完善的数据访问控制机制,包括身份验证、权限管理和审计等措施。
2. 数据访问控制应根据数据等级和用户权限进行设置,确保惟独经过授权的人员才干访问相应的数据。
3. 商业银行应定期审计数据访问日志,发现异常情况及时采取措施。
五、数据传输安全1. 商业银行在数据传输过程中应采用加密技术,确保数据的机密性和完整性。
2. 商业银行应建立安全的网络通信通道,防止数据在传输过程中被窃听或者篡改。
3. 商业银行应定期对网络通信设备进行安全检查和维护,确保其正常运行和安全性。
六、数据备份和恢复1. 商业银行应定期进行数据备份,并将备份数据存储在安全的地点。
2. 商业银行应建立完善的数据恢复机制,确保在数据丢失或者损坏时能够及时恢复。
3. 商业银行应定期测试数据备份和恢复的可行性,发现问题及时解决。
七、数据销毁1. 商业银行应制定数据销毁流程和标准,确保数据在销毁过程中不可恢复。
2. 商业银行应采用安全的数据销毁方法,包括物理销毁和逻辑销毁等。
3. 商业银行应定期对数据销毁过程进行监督和检查,确保数据的彻底销毁。
八、数据安全事件管理1. 商业银行应建立数据安全事件管理制度,明确数据安全事件的报告和处理程序。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业务平台安全管理制度
—数据安全管理规范xxxxxxxxxXK司网络运行维护事业部
目录
一.概述 (1)
二.数据信息安全管理制度 (2)
2.1数据信息安全存储要求 (2)
2.2数据信息传输安全要求 (2)
2.3数据信息安全等级变更要求 (3)
2.4数据信息安全管理职责 (3)
三.数据信息重要性评估 (4)
3.1数据信息分级原则 (4)
3.2数据信息分级 (4)
四.数据信息完整性安全规范 (5)
五.数据信息保密性安全规范 (6)
5.1 密码安全 (6)
5.2密钥安全 (6)
六.数据信息备份与恢复 (8)
6.1数据信息备份要求 (8)
6.1.1 备份要求 (8)
6.1.2 备份执行与记录 (8)
6.2备份恢复管理 (8)
概述
数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的
保障。
为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
数据信息安全管理制度
2.1数据信息安全存储要求
数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。
存储介质管理须符合以下规定:
包含重要、敏感或关键数据信息的移动式存储介质须专人值守。
删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对
介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。
任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。
2.2数据信息传输安全要求
在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和
应用加密技术时,应符合以下规范:
必须符合国家有关加密技术的法律法规;
根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密
钥的长度;
听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。
机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称
加密。
机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数
字签名时应符合以下规范:
充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。
采取保护公钥完整性的安全措施,例如使用公钥证书;确定签名算法的类型、属性以及所
用密钥长度;用于数字签名的密钥应不同于用来加密内容的密钥。
2.3 数据信息安全等级变更要求
数据信息安全等级经常需要变更. 一般地,数据信息安全等级变更需要由数据资产的所有者进行,然
后改变相应的分类并告知信息安全负责人进行备案. 。
对于数据信息的安全等级,应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,这样可以降低数据防护的成本,并增加数据访问的方便性。
2.4 数据信息安全管理职责
数据信息涉及各类人员的职责如下:
拥有者:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指定数据资产的
管理者/ 维护人;管理者:被授权管理相关数据资产;负责数据的日常维护和管理;访问者:
在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性
数据信息重要性评估
3.1数据信息分级原则
分级合理性
数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。
过于复杂的分级规划可能很累赘,而且使用和执行起来也不经济实用。
分级周期性
数据信息的分级具有一定的保密期限.对于任何数据信息的分级都不一定自始至终固定不变,可按照一些预定的策略发生改变。
如果把安全保护的分级划定得过高就会导致不必要的业务开支。
3.2数据信息分级
数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级如等级标识数据信息价值定义
5很高重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响
重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响4高
3中重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响2低重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响
重要程度都很低,其安全属性破坏后可能导致系统受到很低程度的影1很低
响,甚至忽略不计
四.数据信息完整性安全规范
数据信息完整性应符合以下规范:
确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。
应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系
统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到
完整性错误时采取必要的恢复措施;
应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系
统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到
完整性错误时采取必要的恢复措施;
具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计。
在数据信息时,经过不安全网络的(例如INTERNET网),需要对传输的数据信息
提供完整性校验。
应具备完善的权限管理策略,支持权限最小化原则、合理授权。
五.数据信息保密性安全规范
数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用,
确保数据信息能够被安全、方便、透明的使用。
为此,业务平台应采用加密等安全措施开展
数据信息保密性工作:
应采用加密效措施实现重要业务数据信息传输保密性;
应采用加密实现重要业务数据信息存储保密性;
加密安全措施主要分为密码安全及密钥安全。
5.1 密码安全
密码的使用应该遵循以下原则:
不能将密码写下来,不能通过电子邮件传输;
不能使用缺省设置的密码;
不能将密码告诉别人;
如果系统的密码泄漏了,必须立即更改;
密码要以加密形式保存,加密算法强度要高,加密算法要不可逆;
系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、
复杂性等;
如果需要特殊用户的口令(比如说UNIX下的Oracle ),要禁止通过该用户进行交
互式登录;
在要求较高的情况下可以使用强度更高的认证机制,例如:双因素认证;
(要定时运行密码检查器检查口令强度,对于保存机密和绝密信息的系统应该每周
检查一次口令强度;其它系统应该每月检查一次。
5.2 密钥安全
密钥管理对于有效使用密码技术至关重要。
密钥的丢失和泄露可能会损害数据信息的保
密性、重要性和完整性。
因此,应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;还应
对生成、存储和归档保存密钥的设备采取物理保护。
此外,必须使用经过业
务平台部门批准的加密机制进行密钥分发,并记录密钥的分发过程,以便审计跟踪,统一对密钥、证书进行管理。
密钥的管理应该基于以下流程:
密钥产生:为不同的密码系统和不同的应用生成密钥;
密钥证书:生成并获取密钥证书;
密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活;
密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括授权用户如何访问
密钥;
密钥变更:包括密钥变更时机及变更规则,处置被泄露的密钥;
密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露或者相关运维操作员离开
业务平台部门时(在这种情况下,应当归档密钥);密钥恢复:作为业务平台连续性管理的一部分,对丢失或破坏的密钥进行恢复;密钥归档:归档密钥,以用于归档或备份的数据信息;密钥销毁:密钥销毁将删除该密钥管理下数据信息客体的所有记录,将无法恢复,因此,
在密钥销毁前,应确认由此密钥保护的数据信息不再需要。
六.数据信息备份与恢复
6.1数据信息备份要求
6.1.1 备份要求
数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光盘等。
备份数据信息
的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境
保管。
一般情况下对服务器和网络安全设备的配置数据信息每月进行一次的备份,当进行
配置修改、系统版本升级、补丁安装等操作前也要进行备份;网络设备配置文件在
进行版本升级前和配置修改后进行备份。
运维操作员应确保对核心业务数据每日进行增量备份,每周做一次包括数据信息的
全备份。
业务系统将进行重大系统变更时,应对核心业务数据进行数据信息的全备
份。
6.1.2 备份执行与记录
备份执行过程应有详细的规划和记录,包括备份主体、备份时间、备份策略、备份路径、
记录介质(类型)等。
6.2备份恢复管理
运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。
对于因设备故障、操作失误等造成的一般故障,需要恢复部分设备上的备份数据信息,遵循异常
事件处理流程,由运维操作员负责恢复。
应尽可能地定期检查和测试备份介质和备份信息,保持其可用性和完整性,并确保
在规定的时间内恢复系统。
应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。
恢复程序应定期接受检查及测试,以确保在恢复操作程序所预定的时间内完成。
恢复策略应该根据数据信息的重要程度和引入新数据信息的频率设定备份的频率每周、增量或如每日或word 范文
整体)。
—…word范文。