网络数据和信息安全管理规范4篇网络数据和信息安全管理规范 GB/TXXXXX—XXXX5信息安全技术网络数据处理安全规范1范围本文件规定了网络运营者利用网络开展数据收集、存储、使用下面是小编为大家整理的网络数据和信息安全管理规范4篇,供大家参考。
篇一:网络数据和信息安全管理规范
/T XXXXX—XXXX5信息安全技术 网络数据处理安全规范1 范围本文件规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。本文件适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22080 信息技术 安全技术 信息安全管理体系 要求GB/T 25069 信息安全技术 术语GB/T 35273 信息安全技术 个人信息安全规范3 术语和定义GB/T 25069、GB/T 35273和GB/T 22080界定的以及下列术语和定义适用于本文件。3.1数据 data本文件所称数据是指网络数据,即通过网络处理和产生的各种电子数据,如个人信息、重要数据等。3.2网络运营者 network operator网络的所有者、管理者和网络服务提供者。3.3个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。注:个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。[来源:GB/T 35273—2020,3.1,有修改]3.4个人敏感信息 personal sensitive informationGB/T XXXXX—XXXX6一旦泄露、非法提供或者滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇等的个人信息。注:个人敏感信息包括自然人的身份证件号码、生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪信息、住址、健康信息、交易信息、14 岁以下(含)儿童的个人信息等。[来源:GB/T 35273—2020,3.2,有修改]3.5个人信息主体 personal data subject个人信息能够识别或者关联到的自然人。[来源:GB/T 35273—2020,3.3,有修改]3.6重要数据 key data一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据,包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。3.7数据提供方 data provider数据处理活动中提供数据的组织或者个人。3.8数据接收方 data receiver数据处理活动中接收数据的组织或者个人。3.9第三方应用 third party application由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务的自动化工具,包括但不限于软件开发工具包(SDK等)、第三方代码、组件、脚本、接口、算法模型、小程序等。3.10匿名化 anonymization是指对个人信息进行加工,使之无法识别特定个人且不能复原。[来源:GB/T 35273—2020,3.14,有修改]4 数据处理总体要求4.1 数据识别网络运营者应识别数据处理活动中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新。4.2 分级分类网络运营者应按照法律法规、国家标准有关要求,根据业务运营需要,对所掌握的数据进行分级分类管理;采取加密、脱敏、访问控制等措施,对重要数据和个人信息进行重点保护。
GB/T XXXXX—XXXX74.3 风险防控网络运营者开展数据处理活动,应按照有关法律法规的规定履行数据安全保护义务,采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等。建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育培训。4.4 审计追溯网络运营者应对数据处理活动的全生命周期进行记录,确保数据处理活动可审计、可追溯。5 数据处理5.1 收集网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不得收集与其提供的服务无直接关联的个人信息,且符合以下要求:a) 制定、公开个个人信息保护政策并严格遵守,个人信息保护政策应满足GB/T 35273 5.5 有关个人信息保护政策的要求;b) 收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意,法律法规另有规定的除外;c) 改变处理个人信息的目的、类型、范围、用途的,应修改个人信息保护政策,并重新征得个人信息主体同意;d) 明示所提供产品和服务类型,以及该类产品和服务所必需的个人信息,不得因用户拒绝提供该类产品和服务所必需的个人信息以外的信息,而拒绝提供服务;不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求用户同意收集个人信息;e) 收集个人敏感信息前,应征得个人信息主体的明示同意,确保明示同意是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;f) 收集不满14周岁未成年人个人信息前,应征得其监护人的明示同意;g) 从个人信息主体以外的其他途径获得个人信息的,应按照本标准的要求履行安全保护义务。5.2 传输和存储网络运营者应对数据传输、存储活动采取安全措施,包括:a) 传输重要数据和个人敏感信息,应采用加密等安全措施;b) 存储重要数据和个人敏感信息,应采用加密、安全存储、访问控制、安全审计等安全措施;c) 存储个人信息,不应超出与个人信息主体约定的存储期限,法律法规另有规定的除外;d) 存储生物识别信息,应满足GB/T 35273 6.3 b)c)的要求。5.3 加工网络运营者开展数据加工过程中,发现或者应发现可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动并按要求向网信部门和有关部门报告。5.4 公开
GB/T XXXXX—XXXX8网络运营者利用所掌握的数据资源,公开市场预测、统计等信息,不得危害国家安全、公共安全、经济安全和社会稳定。5.5 定向推送及信息合成网络运营者利用个人信息和算法为用户提供定向推送信息服务的,应同时提供非定向推送信息服务的选项。注:可参照GB/T 35273 7.5。网络运营者利用大数据、机器生产、人工智能等技术自动合成文字、图片、音视频的等信息,应以明显方式提示用户。5.6 个人信息查阅、更正、删除及用户账号注销网络运营者应建立渠道和机制,及时响应和处理个人信息主体查阅、复制、更正、删除其个人信息及用户注销账号的请求,不应对请求设置不合理条件,应满足GB/T 35273 8.7 有关响应个人信息主体请求的要求。5.7 私人信息和可转发信息的处理方式即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项,并按照以下方式处理:a) 对以私人选项发送的信息予以严格保护,不提供转发功能;b) 对以可转发选项发送的信息,或者转发此类信息的,同时发送信息始发者在该平台上的账号名称,该账号名称唯一且不可更改。5.8 投诉、举报受理处置网络运营者应建立投诉、举报受理处置制度,收到通过其平台编造、传播虚假信息,发布侵害他人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、举报的,应及时查实,并依法采取停止传输、消除等处置措施。5.9 访问控制与审计网络运营者开展数据处理活动时,应基于数据分级分类,明确相关人员的访问权限,防止非授权访问。网络运营者开展数据处理活动时,对重要数据、个人信息的关键操作,如批量修改、拷贝、删除等,应设置内部审批和审计流程,并严格执行。5.10 向他人提供网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、公共安全、经济安全和社会稳定的,不得向他人提供。a) 向他人提供个人信息,应告知向他人提供的目的、类型、方式、范围、用途、存储期限,并征得个人信息主体同意,但是经过匿名化处理的除外;b) 共享、转让重要数据,应与数据接收方通过合同等形式明确双方的保护责任和义务,采取加密、脱敏等措施保障重要数据安全;c) 委托第三方开展数据加工活动,应与第三方通过合同等形式明确双方的保护责任和义务,要求第三方在委托业务结束时返还并删除接收和产生的数据;
GB/T XXXXX—XXXX9d) 发生兼并、重组、破产,数据接收方应继续履行相关数据安全保护义务;没有数据接收方的,应对数据作删除处理。5.11 数据删除和匿名化处理当个人信息超出法律法规规定或者双方约定的存储期限,或者网络产品和服务停止运营,或者个人信息主体注销账号后,网络运营者应及时对个人信息作删除或者匿名化处理,法律法规、部门规章另有规定的除外。存储重要数据和个人信息的介质进行报废处理时,网络运营者应采用物理损毁等方式进行销毁,以确保重要数据和个人信息不能被恢复。5.12 数据出境网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。境内用户访问境内网络的,其流量不应被路由至境外。5.13 第三方应用网络运营者应对接入其平台的第三方应用加强数据安全管理,包括:a) 通过合同等形式,明确双方的数据安全保护责任和义务;b) 督促监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;c) 网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必要措施的,应与第三方应用运营者承担连带责任;d) 第三方应用之间、第三方应用和平台之间共享个人信息的,应满足本文件5.10a)的要求;网络运营者对嵌入的第三方自动化工具,如软件开发工具包(SDK等)、第三方代码、组件、脚本、接口、算法模型等,宜开展技术检测确保其个人信息处理行为符合双方约定要求,对审计发现超出双方约定的行为及时停止接入。6 安全管理6.1 数据安全责任人网络运营者开展经营和服务活动,收集重要数据和个人敏感信息的,应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行职责。数据安全责任人应具备数据安全专业知识和相关管理工作经历,参与有关数据处理活动的重要决策,履行以下职责:a) 组织确定数据保护目录,制定数据安全保护计划并督促落实;b) 组织开展数据安全影响分析和风险评估,督促整改安全隐患;c) 按要求向网信部门和有关部门报告数据安全保护和事件处置情况;d) 组织受理处置数据安全投诉、举报。6.2 人力资源保障与考核网络运营者应明确数据安全保护岗位及职责,并提供人力资源保障。网络运营者应建立人力资源考核制度,明确数据安全管理考核指标和问责机制,对相关人员特别是重要岗位人员的履职情况进行考核。出现数据安全重大事件时,对直接负责的主管人员和其他直接责任人员进行问责。
GB/T XXXXX—XXXX106.3 事件应急处置网络运营者应建立数据安全事件应急响应机制,确保数据安全事件得到及时有效处置:a) 应急响应机制包括:1) 数据安全事件分级;2) 启动条件;3) 启动所需的资源,如人员、设备、场所、工具、资金等;4) 流程、人员安排和操作手册。b) 配备应急响应所需的资源,确保应急响应机制能够有效实施;c) 制定应急演练计划,按计划或者在应急响应机制发生变化后,组织开展应急演练,检验和完善应急响应机制,提高实战能力;d) 发生数据安全事件时,网络运营者应立即启动应急响应机制,采取相应的补救和防范措施,涉及个人信息的及时以电话、短信、邮件或者信函等方式告知个人信息主体,同时按要求向网信部门和有关部门报告。7 突发公共卫生事件个人信息保护7.1 概述本章所称突发公共卫生事件,是指依据突发公共卫生事件专项预案启动Ⅰ级(特别重大)、Ⅱ级(重大)响应的事件。7.2 个人信息服务协议为应对突发公共卫生事件,由国务院卫生健康行政部门或者省级人民政府有关部门指定的机构(以下称“指定机构”),利用个人信息为社会提供位置、行踪查询等信息服务时,应当按照与国务院卫生健康行政部门或者省级人民政府有关部门签订的服务合同或者其他有约束力的协议,履行个人信息保护要求,承担违约责任等。7.3 个人信息收集突发公共卫生事件应对中,收集个人信息应事先征得个人信息主体同意。但是,为控制事件扩大、减轻事件危害而必须收集的,由指定机构实施并经全国突发公共卫生事件应急指挥部(以下称“指挥部”)或者国务院卫生健康行政部门同意的除外。7.4 个人信息调用为控制事件扩大、减轻事件危害,指定机构确需调用关键信息基础设施运营单位已经收集的个人信息,应经指挥部同意,或者由国务院卫生健康行政部门会同相关行业管理部门同意,并明确调用个人信息的范围、类型及程序。7.5 收集、调用规则指定机构收集、调用个人信息应坚持最小化原则,一般只限于个人信息主体的联系方式、位置、行踪信息;根据应对突发公共卫生事件实际需要,严格限定调用个人信息的范围、规模、数量以及行踪信息的回溯时间跨度。7.6 人脸识别验证
GB/T XXXXX—XXXX11指定机构在提供信息服务过程中,以人脸识别作为身份验证方式时,原则上应提供其他身份验证方式供用户选择。利用人脸识别信息进行身份验证的,原则上不留存可提取人脸识别信息的原始图像。7.7 信息查阅服务指定机构提供信息查阅服务,应通过境内手机号码等能够确认身份的方式核验查阅人身份,防止非授权查阅他人个人信息。7.8 公开、向他人提供个人信息和改变个人信息用途指定机构收集掌握的个人信息,未经个人信息主体同意,不得公开或者非法向他人提供,不得改变用途。确需公开、向他人提供或者改变用途的,应报指挥部或者国务院卫生健康行政部门同意。指定机构不...
篇二:网络数据和信息安全管理规范
省劳动和社会保障厅计算机信息系统数据安全管理规定 第一章 总则 第一条为了加强对我厅劳动保障计算机信息系统数据的安全管理, 确保网络数据信息的安全, 根据《中华人民共和国计算机信息系统安全保护条例》 、 《计算机信息网络国际联网安全保护管理办法》 等有关规定, 结合我厅实际, 制定本规定。第二条加强对劳动保障计算机信息系统数据安全保护工作的目 的是:
确保劳动和社会保障业务计算机信息系统正常运行, 维护数据信息应用工作的正常开展, 预防、 打击利用或针对劳动保障计算机信息系统数据进行违法犯罪活动的行为, 提高我厅劳动保障计算机信息系统数据整体安全水平, 净化网络信息环境。
第三条本规定中所指计算机信息系统数据是指各常规工作中所建立和存储在电子设备和计算机内的业务、 财务、 人事等电子数据。
第四条劳动保障系统内计算机信息系统数据安全保护工作应按照“谁主管、 谁负责, 预防为主、 综合治理, 制度防范与技术防范相结合”的原则, 逐级建立数据安全管理领导问责制和岗位责任制, 加强制度建设, 逐步实现数据安全管理的科学化、 规范化。
第五条劳动保障计算机信息系统内部数据实行安全等级保护, 计算机信息系统数据的建设和存储应符合相应的安全等级标准, 使用的安全产品必须具有《计算机信息系统安全专用产品销售许可证》 , 其等级应与计算机信息系统数据确定的安全等级相适应。
第二章组织管理 第六条厅长是全厅计算机信息系统数据安全第一责任人。
厅信息化工作领导小组为全厅计算机信息系统安全工作领导机构, 全面负责全厅计算机信息系统数据安全管理工作, 建立计算机信息系统数据安全管理工作小组(以下简称“数据安全管理小组”)
。
第七条数据安全管理小组负责确定本厅计算机信息系统数据安全等级, 并组织有关人员制定、 评审本厅计算机信息系统数据安全策略、 安全标准、 系统实施方案、 安全工作流程和各项规章制度。
第八条数据安全管理小组依据本规定, 定期对厅属各处室及事业单位计算机信息系统数据安全情况进行检查、 考核。
对于存在计算机信息系统数据安全隐患的单位, 协助提出整改方案, 限期整改。
因不及时整改而发生重大案件和事故的, 由该单位的有关责任人承担责任;对违反国家相关法律法规的, 由公安机关依法进行处罚, 构成犯罪的, 由司法机关依法追究刑事责任。
第九条厅属各处室及事业单位要设立专(兼)
职计算机信息系统数据安全管理人员。
数据安全管理人职责是按照安全管理工作流程和规范, 执行各项数据安全管理操作任务, 保障本部门各项业务数据的安全。
第十条数据安全管理小组负责组织工作人员的计算机安全教育培训, 设立有关计算机安全课程, 学习计算机安全管理法律、 法规, 提高全体工作人员的法律意识。
第三章计算机信息系统安全管理
第十一条建立计算机信息系统安全登记备案制度。
厅属各处室及事业单位的计算机信息系统上线使用前, 要向数据安全管理小组申请安全检查验收与系统备案登记, 确定系统安全等级, 指定数据安全责任人。
第十二条对计算机信息系统建立定期风险分析和安全评估制度。
由公安机关公共信息网络安全监察部门及省信息办等相关部门定期对我厅计算机信息系统进行安全检查和风险评估。
对于存在问题, 提出相应安全措施整改意见。
所有评估检查信息要详细记录, 存档备查。
第十三条计算机信息系统必须使用正版软件, 并及时进行系统升级或更新补丁; 计算机信息系统必须装有防毒杀毒软件, 并定期进行病毒检验; 与互联网相联的计算机信息系统要有防止非法入侵措施。
第十四条计算机信息系统必须有全面、 规范、 严格的用户管理策略或办法。
重要的计算机信息系统必须有双人互备做为系统管理员, 系统管理员必须对计算机信息系统的各种服务器加设口令, 严禁采用系统默认超级管理员用户命或口令; 由系统管理员对用户实行集中管理, 对用户按职能分组管理, 设定用户访问权限, 严禁跨岗位越权操作; 严防非法用户或非授权用户对非授权服务、 数据及文件的访问、 使用和修改等。
对计算机信息系统的用户身份、主机身份、 事件类型等应进行安全审计, 并留存审计日志, 审计日志应进行妥善保存。
第十五条计算机信息系统的主要硬件设备、 软件、 数据等要有完整可靠的备份机制和手段, 并具有在要求时间内恢复系统功能以及重要数据的能力。
对重要计算机信息系统及设备要有应急处理预案, 数据安全管理小组要对应急预案备案登记, 并每年定期举行数据安全应急演习。
第十六条计算机信息系统与数据库主机必须建立在正规机房, 机房要在场地面积、 用电环境、 使用环境、 消防防雷等方面符合国家有关规定。
第十七条计算机信息系统主机或存储设备发生故障时, 要尽量现场维修, 系统管理员要在现场监督; 确需要送出维修时, 注意去掉存储部件或删除数据。
第十八条严格计算机信息系统客户机接入管理。
只有经过系统管理员批准并经过安全登记备案的计算机才能接入计算机信息系统, 严禁未经批准接入外来笔记本电脑、 计算机系统或其他配件。
接入计算机信息系统的客户机要满足以下要求:
1 、 装有杀毒防毒软件; 2、与互联网或外网物理隔离; 3、 只装指定的业务软件; 4、 未经允许, 不得接入移动存储设备; 5、 除有特殊用途外, 应锁定所有业务经办计算机的US B 接口, 拆除或禁用软驱、 光驱。
第十九条各类计算机信息系统的安装、 升级、 调试和维护由系统管理员负责。
未经系统管理员许可, 不得随意在计算机信息系统的客户机上安装新软件。
第四章互联网安全管理 第二十条坚持“涉密计算机不上互联网, 非涉密计算机不处理涉密信息”的原则。
涉及国家秘密的计算机信息系统, 不得直接或间接地与国际互联网或其它公共信息网络相联接, 也不得与业务内网相联接, 必须实行物理隔离。
笔记本电脑不允许启用无线网卡, 以避免泄密。
第二十一条对重要或涉密数据的存储和传输应进行加密处理。
对重要或涉密数据的存储介质, 应采取必要的安全保护措施, 并建立相应的登记管理制度。
对保密信息不得遗失、 泄露。
未经同意, 涉密计算机不得使用U盘、 移动硬盘、 刻录机等相关设备。
第二十二条对废弃的涉密数据要严格按照保密要求进行清零覆盖处理。
第二十三条各业务经办计算机信息系统中的计算机均不得接入国际互联网, 不得做与业务处理无关的工作。
除有特殊用途外, 应锁定所有业务经办计算机的US B 接口, 拆除或禁用软驱、 光驱。
第二十四条需接入互联网的计算机按正常程序申请, 操作人员接受网络安全管理培训后, 由厅信息中心分配相应的上网权限。
第二十五条杜绝以各种形式违规外联互联网, 包括利用办公电话拔号上网、 无线上网等,维护厅网络安全防护体系。
第二十六条在办公范围内不允许启用笔记本电脑自 带的无线网卡。
以避免泄密以及对网络系统造成电磁干扰。
第二十七条接入互联网的计算机应具备必要的防黑客攻击、 防病毒以及过滤有害信息等安全技术措施。
对计算机、 服务器账户均设置密码, 各种账户和密码严格保密。
根据信息的安全规定和权限, 确定使用人员的存取、 使用权限。
通过网络传送的程序或信息, 必须经过安全检测, 方可使用。
各类操作人员必须具有病毒防范意识, 做好计算机病毒的预防、 检测、清除工作, 及时升级防病毒系统, 定期进行病毒的查杀, 发现病毒要及时处理, 并做好记录。防止各类针对网络的攻击, 保证数据安全。
第二十八条建立互联网信息发布的审核和登记制度, 坚持“先审后贴”“谁上网谁负责”的原则, 凡向国际互联网的站点提供或发布信息, 必须经过发布部门的保密审查批准, 并由专职部门负责统一发布, 同时做好审核登记记录。
未经允可, 任何人员不得将数据信息以任何形式发布到互联网上或对外提供, 防止数据泄密。
第二十九条提供电子邮件服务的计算机应具备有害信息和垃圾邮件过滤功能, 相应技术参数应符合国家相关标准。
第三十条在国际互联网上提供WWW、 F T P 、 I D C 、 邮件、 交互式栏目 、 S P 等服务的, 应当报当地公安机关公共信息网络安全监察部门备案。
第三十一条建立政务外网信息的监视、 保存和备份制度, 要有专人对网站、 交互式栏目发布的信息进行监视, 发现有害信息备份后立即删除, 并报告当地公安机关公共信息安全监察部门。
第三十二条任何单位和个人不得利用国际互联网危害国家安全、 泄露国家秘密, 不得侵犯国家的、 社会的、 集体的利益和公民的合法权益, 不得从事违法犯罪活动。
第五章数据维护及备份管理 第三十三条建立计算机信息系统管理员制度。
重要的计算机信息应用系统要实行系统管理员双人互备。
系统管理员承担系统的运行维护和数据的安全管理工作。
第三十四条各计算机信息应用系统本着“谁应用谁负责”的原则, 由系统管理应用单位制定数据安全管理方案, 配备专职系统管理员, 并将数据安全管理方案、 数据备份策略、 管理流程和人员组织情况向厅数据安全管理小组登记备案。
第三十五条系统管理员要严格遵守数据备份策略, 及时做好数据的备份工作。
严格数据库管理员口令管理, 要定期更换数据库管理员口令。
在系统升级或数据有较大变动情况时必
须备份并长期异地保存; 系统数据每天应作数据库的增量备份, 每周应作数据库的完全备份;各类统计报表、 各类外部电子信息数据应每月备份; 重要数据读入系统后应及时备份。
第三十六条数据备份采用在线存储与脱机介质两种形式进行双备份。
一方面要将数据备份到非本机的存储设备上; 另一方面备份到脱机介质上, 脱机备份要实行本地与异地双存储。数据备份后要认真填写数据管理日 志。
第三十七条重要数据必须定期、 完整、 真实、 准确地备份到不可更改的介质上, 并要求做到集中和异地双备份保存。对长期保存的数据光盘等备份介质, 应每年进行一次以上检查,以防止存储介质损坏造成损失。
第三十八条备份数据资料保管地点应有防火、 防潮、 防尘、 防磁、 防盗等安全设施。
废弃的数据信息存储介质要严格按照保密要求进行粉碎处理。
第三十九条系统出现故障和遭到破坏时, 由系统管理员负责完成数据恢复工作, 系统管理员必须保证备份数据能够及时、 准确、 完整地恢复。
确因特殊原因不能恢复的, 应及时向分管领导汇报, 妥善处理。
数据恢复后要认真填写数据管理日 志。
第四十条对数据的各项操作实行日 志管理, 严格监控操作过程, 对发现的数据安全问题,要及时处理和上报。
第四十一条未经批准, 系统管理员不得直接对后台数据库进行数据更改操作, 确需后台操作的, 必须上报分管领导批准, 并事先对数据库进行备份后进行, 同时, 详细记录操作过程及数据更改情况存档备查。
第六章人员管理 第四十二条建立计算机信息系统安全管理人员的录用、 考核制度, 不能胜任工作的人员必须及时调离。
涉密人员应有相当强的保密意识, 自觉遵守涉密信息不上网的规定, 严禁涉密信息的有意或无意泄漏。
第四十三条计算机管理人员调离时, 必须按规定移交全部技术资料和有关数据, 设有口令密钥的要及时进行更换。
涉及重要业务的人员调离时, 应确认对业务不会造成危害后方可调离。
第四十四条操作人员应严格遵守软件的操作规范, 离开操作岗位时, 必须退出应用软件操作界面或锁定计算机, 以防他人进行未经授权的操作。
第四十五条操作人员必须遵守有关计算机管理的安全保密法律法规, 各类应用系统的使用必须实行用户身份验证, 对自己的帐号负责。
操作人员应注意自己用户名和口令的保密,并定期或不定期修改口令。
如出现他人借用或盗用本人帐号引起不良后果的, 要按规定追究有关责任人的责任。
第四十六条发生重大计算机事故, 应当立即报告计算机信息系统数据安全工作领导小组和专职部门。
第四十七条发现计算机违法、 犯罪案件, 须立即向公安机关公共信息网络安全监察部门报案。
第七章档案管理 第四十八条计算机介质与技术资料等应设专柜存放。
对新购和上级单位下发的软件、 资料等要分别记入“介质登记册”和“技术资料登记册”。
纳入管理的资料包括系统软件、 工具软件、 应用软件、 备份数据、 技术资料等。
其中技术资料包括各个主机配置情况、 系统参数、
网络设备配置参数、 网络物理连接图、 逻辑连接图、 系统备份方案、 系统故障应急操作手册等和其它认为有必要纳入管理的各类技术资料; 密码包括主机密码、 数据库管理员密码、 路由器密码、 应用软件超级用户密码以及计算机介质等。
第四十九条本规定自下发之日起执行。
篇三:网络数据和信息安全管理规范
/T20269—2006
信息安全技术
信息系统安全管理要求
Information security technology Information system security management requirements
2006 -5-31 发布
2006-12-1 实施
中华人民共和国国家标准
中华人民共和国国家质量监督检验检疫总局
中 国 国 家 标 准 化 管 理 委 员 会 发布 ICS 35.040 L 80
GB/T 20269-2006
II 目
次 前 言 ................................................................................. V 引 言 ................................................................................ VI 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 信息系统安全管理的一般要求 .......................................................... 1 4.1 信息系统安全管理的内容 ............................................................. 1 4.2 信息系统安全管理的原则 ............................................................. 2 5 信息系统安全管理要素及其强度 ........................................................ 3 5.1 策略和制度 ......................................................................... 3 5.1.1 信息安全管理策略 ................................................................. 3 5.1.2 安全管理规章制度 ................................................................. 4 5.1.3 策略与制度文档管理 ............................................................... 5 5.2 机构和人员管理 ..................................................................... 6 5.2.1 安全管理机构 ..................................................................... 6 5.2.2 安全机制集中管理机构 ............................................................. 7 5.2.3 人员管理 ......................................................................... 7 5.2.4 教育和培训 ....................................................................... 9 5.3 风险管理 .......................................................................... 10 5.3.1 风险管理要求和策略 .............................................................. 10 5.3.2 风险分析和评估 .................................................................. 10 5.3.3 风险控制 ........................................................................ 11 5.3.4 基于风险的决策 .................................................................. 11 5.3.5 风险评估的管理 .................................................................. 12 5.4 环境和资源管理 .................................................................... 13 5.4.1 环境安全管理 .................................................................... 13 5.4.2 资源管理 ........................................................................ 14 5.5 运行和维护管理 .................................................................... 15 5.5.1 用户管理 ........................................................................ 15 5.5.2 运行操作管理 .................................................................... 16 5.5.3 运行维护管理 .................................................................... 19 5.5.4 外包服务管理 .................................................................... 21 5.5.5 有关安全机制保障 ................................................................ 21 5.5.6 安全集中管理 .................................................................... 25 5.6 业务连续性管理 .................................................................... 26 5.6.1 备份与恢复 ...................................................................... 26 5.6.2 安全事件处理 .................................................................... 27 5.6.3 应急处理 ........................................................................ 28 5.7 监督和检查管理 .................................................................... 29 5.7.1 符合法律要求 .................................................................... 29
GB/T
20269-2006
III 5.7.2 依从性检查 ...................................................................... 29 5.7.3 审计及监管控制 .................................................................. 30 5.7.4 责任认定 ........................................................................ 31 5.8 生存周期管理 ...................................................................... 31 5.8.1 规划和立项管理 .................................................................. 31 5.8.2 建设过程管理 .................................................................... 32 5.8.3 系统启用和终止管理 .............................................................. 34 6 信息系统安全管理分等级要求 ......................................................... 34 6.1 第一级:用户自主保护级 ............................................................ 34 6.1.1 管理目标和范围 .................................................................. 34 6.1.2 政策和制度要求 .................................................................. 34 6.1.3 机构和人员管理要求 .............................................................. 35 6.1.4 风险管理要求 .................................................................... 35 6.1.5 环境和资源管理要求 .............................................................. 35 6.1.6 操作和维护管理要求 .............................................................. 35 6.1.7 业务连续性管理要求 .............................................................. 36 6.1.8 监督和检查管理要求 .............................................................. 36 6.1.9 生存周期管理要求 ................................................................ 36 6.2 第二级:系统审计保护级 ............................................................ 37 6.2.1 管理目标和范围 .................................................................. 37 6.2.2 政策和制度要求 .................................................................. 37 6.2.3 机构和人员管理要求 .............................................................. 37 6.2.4 风险管理要求 .................................................................... 37 6.2.5 环境和资源管理要求 .............................................................. 38 6.2.6 操作和维护管理要求 .............................................................. 38 6.2.7 业务连续性管理要求 .............................................................. 39 6.2.8 监督和检查管理要求 .............................................................. 39 6.2.9 生存周期管理要求 ................................................................ 39 6.3 第三级:安全标记保护级 ............................................................ 39 6.3.1 管理目标和范围 .................................................................. 39 6.3.2 政策和制度要求 .................................................................. 40 6.3.3 机构和人员管理要求 .............................................................. 40 6.3.4 风险管理要求 .................................................................... 40 6.3.5 环境和资源管理要求 .............................................................. 41 6.3.6 操作和维护管理要求 .............................................................. 41 6.3.7 业务连续性管理要求 .............................................................. 42 6.3.8 监督和检查管理要求 .............................................................. 42 6.3.9 生存周期管理要求 ................................................................ 42 6.4 第四级:结构化保护级 .............................................................. 42 6.4.1 管理目标和范围 .................................................................. 42 6.4.2 政策和制度要求 .................................................................. 43 6.4.3 机构和人员管理要求 .............................................................. 43 6.4.4 风险管理要求 .................................................................... 43
GB/T 20269-2006
IV 6.4.5 环境和资源管理要求 .............................................................. 44 6.4.6 操作和维护管理要求 .............................................................. 44 6.4.7 业务连续性管理要求 .............................................................. 44 6.4.8 监督和检查管理要求 .............................................................. 45 6.4.9 生存周期管理要求 ................................................................ 45 6.5 第五级:访问验证保护级 ............................................................ 45 6.5.1 管理目标和范围 .................................................................. 45 6.5.2 政策和制度要求 .................................................................. 45 6.5.3 机构和人员管理要求 .............................................................. 45 6.5.4 风险管理要求 .................................................................... 46 6.5.5 环境和资源管理要求 .............................................................. 46 6.5.6 操作和维护管理要求 .............................................................. 46 6.5.7 业务连续性管理要求 .............................................................. 46 6.5.8 监督和检查管理要求 .............................................................. 47 6.5.9 生存周期管理要求 ................................................................ 47 附 录 A(资料性附录)安全管理要素及其强度与安全管理分等级要求的对应关系 .............. 48 附 录 B(资料性附录)信息系统安全管理概念说明 ........................................ 51 B.1 主要安全因素 ..................................................................... 51 B.1.1 资产 ............................................................................ 51 B.1.2 威胁 ............................................................................ 51 B.1.3 脆弱性 .......................................................................... 52 B.1.4 意外事件影响 .................................................................... 52 B.1.5 风险 ............................................................................ 52 B.1.6 保护措施 ........................................................................ 52 B.2 安全管理的过程 .....................
篇四:网络数据和信息安全管理规范
安信息网安全管理规定( ( 试行) )【法规类别】互联网网络安全管理
【发文字号】公通字[2017]8 号
【发布部门】公安部
【发布日期】2017.03.17
【实施日期】2017.03.17
【时效性】现行有效
【效力级别】部门规范性文件
公安信息网安全管理规定(试行)
(2017 年 3 月 17 日公安部 公通字[2017]8 号印发)
第一章
总
则
第一条
为加强公安信息网安全管理,保护公民个人信息安全,保障公安信息网安全稳定运行,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等网络安全、保密法律法规和规范性文件,制定本规定。
第二条
本规定所称公安信息网,是指公安机关开展工作使用的内部专用计算机网络。公
安信息网不得传输、处理、存储涉及国家秘密的信息。
本规定所称公安信息网用户是指建设、开发、使用、运维公安信息网的公安机关、公安民警以及经授权使用的警务辅助人员等。
第三条
本规定适用于公安信息网以及网上运行的软硬件、存储数据等的建设、开发、使用、运维的安全管理。
第四条
公安信息网安全管理遵循统一安全策略、统一技术规范、分级管理、属地负责、保障应用的原则。
第二章
管理职责
第五条
公安部负责制定统一的公安信息网安全管理要求、规划和技术规范;地方公安机关负责制定本区域内公安信息网具体的安全管理要求和规划。
第六条
公安机关领导机构或者其授权的科技信息化领导机构,负责公安信息网安全管理的统筹协调和重大事项决策等工作。
科技信息化部门是公安信息网安全管理的归口单位,负责建设安全基础设施、审核信息化项目安全建设方案、监控安全风险、开展安全检查、对安全违规案事件进行技术调查等工作。
人事训练部门协助科技信息化部门对申请公安信息网数字证书的民警身份信息予以核实,指导科技信息化部门开展公安信息网安全教育培训工作。
保密部门负责公安信息网的日常保密监督管理、组织保密技术防护手段建设和失泄密案事件查处工作。
机要密码部门负责公安信息网密码应用的监督管理工作。
纪检、警务督察部门负责会同科技信息化等部门对公安信息网安全违规案事件进行查处。
各部门负责本部门在公安信息网上运行的应用系统及自建机房、网络的日常安全管理工作。
第三章
建设安全
第七条
公安信息网上的建设项目应当包括安全设计方案,并采用国产密码进行保护。
【网络数据和信息安全管理规范4篇】相关文章: