數(shù)據(jù)庫安全管理規(guī)范

1、 第三十五條【訪問交換原則】數(shù)據(jù)的訪問和交換應遵循“知所必需、用所必需、共享必需、公開必需、互聯(lián)互通必需的原則。第三十六條【內(nèi)部共享】內(nèi)部共享數(shù)據(jù)管理要求如下：（一）人力資源社會保障部門內(nèi)部的各應用系統(tǒng)使用或交換數(shù)據(jù)須先提出申請，由信息部門、數(shù)據(jù)歸口部門均審批通過后，信息部門提供技術(shù)方案給予實現(xiàn)。（二）人力資源社會保障系統(tǒng)內(nèi)上下級、同級間的數(shù)據(jù)傳輸，應通過業(yè)務專網(wǎng)完成。（三）各應用系統(tǒng)間須進行相互授權(quán)后，方可進行數(shù)據(jù)交換，未通過有效身份驗證的應用系統(tǒng)不得訪問數(shù)據(jù)庫。（四）各類數(shù)據(jù)交換應進行詳細的工作記錄。（五）重要數(shù)據(jù)在網(wǎng)絡傳輸時，應盡量避免從高等級安全域向低等級安全域交換。如無法避免，應經(jīng)過

2、審核、論證并提供必要的安全保護機制，以規(guī)避安全風險。第三十七條【外部交換】外部交換數(shù)據(jù)管理要求如下：（一）外部系統(tǒng)使用或交換數(shù)據(jù)須先提出申請，明確數(shù)據(jù)項目、使用用途和期限后，待本級人力資源社會保障部門同意，并報上級人力資源社會保障部門批準后方可提供15。15關(guān)于進一步加強勞動保障數(shù)據(jù)安全管理的通知（勞社廳發(fā)200631號）：“嚴格實行業(yè)務數(shù)據(jù)歸口管理。各地對于涉及勞動保障方面的數(shù)據(jù)信息，要實行業(yè)務數(shù)據(jù)歸口管理。凡涉及到用人單位和個人的原始數(shù)據(jù)，要嚴格執(zhí)行保密法和統(tǒng)計法等有關(guān)法律法規(guī)的規(guī)定，確保數(shù)據(jù)安全和有序管理。各地政府部門因工作需要，要求從金保工程數(shù)據(jù)庫中提取有關(guān)數(shù)據(jù)時，須經(jīng)同級勞動保障部門

3、同意，并報上級勞動保障部門批準后方可提供。國家有關(guān)部門如需使用勞動保障相關(guān)數(shù)據(jù)，需商我部同意，共同安排部署，各地不得自行提供?！保ǘ┡c外部系統(tǒng)的數(shù)據(jù)交換，可采用聯(lián)機或脫機的方式。聯(lián)機方式不得通過互聯(lián)網(wǎng)直接傳輸，須經(jīng)有效身份驗證的前置設備進行交換；脫機方式可通過數(shù)據(jù)光盤的方式進行交換。（三）脫機方式下的交換數(shù)據(jù)須進行加密處理，對稱密鑰加密的密鑰長度至少達到128位，非對稱密鑰加密的密鑰長度至少達到1024位，所用密碼技術(shù)產(chǎn)品和算法應經(jīng)國家密碼管理主管部門批準，不得用數(shù)據(jù)壓縮技術(shù)（如winzip等）代替數(shù)據(jù)加密。（四）各類數(shù)據(jù)交換應進行詳細的工作記錄。第三十八條【臨時介質(zhì)管理】臨時存放數(shù)據(jù)的存儲

4、介質(zhì)不得帶離工作場所，用完后須及時清除數(shù)據(jù)。第六章數(shù)據(jù)備份與恢復管理第三十九條【災備建設】統(tǒng)籌建設災難備份系統(tǒng)，完善相應工作機制，制定災難恢復預案，定期進行災難恢復演練，確保數(shù)據(jù)安全和核心應用系統(tǒng)連續(xù)運行。第四十條【要求】建立數(shù)據(jù)備份機制，設置數(shù)據(jù)備份專人專崗，加強對各類數(shù)據(jù)存儲和備份的管理，保障應用系統(tǒng)的正常運行，保存完整的歷史數(shù)據(jù)。第四十一條【備份方式】數(shù)據(jù)備份可采用在線存儲與脫機介質(zhì)兩種形式進行，也可同時使用兩種方式。第四十二條【備份策略16】視應用系統(tǒng)的特性和安全保護16信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求（GB/T22239-20087.1.5.3）三級備份和恢復：“a）應提供本

5、地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；b）應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；c）應采用冗余技術(shù)設計網(wǎng)絡拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；d）應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性?！钡燃?，設置合理的備份周期和備份策略，要求如下：（一）在數(shù)據(jù)庫補丁安裝、版本升級、配置變更或數(shù)據(jù)有較大變動前，應先行備份。（二）核心應用系統(tǒng)要實現(xiàn)數(shù)據(jù)每日增量、每周全量備份，建立異地應用級災備系統(tǒng)，備份介質(zhì)異地存放；其他應用系統(tǒng)的數(shù)據(jù)可每周或每月進行備份。（三）數(shù)據(jù)備份應不影響業(yè)務，或在不影響業(yè)務的時間段內(nèi)進行。第四十

6、三條【備份文件管理17】備份文件應按照一定的規(guī)則編目存放和管理，要求如下：（一）備份文件應存放在非本機磁盤的其他介質(zhì)中，備份文件存儲介質(zhì)放置地點應防盜、防火、防潮、防塵、防磁，保證溫度、濕度在規(guī)定范圍內(nèi)。（二）備份文件存儲介質(zhì)要嚴格管理、嚴格保密，不得外借，備份介質(zhì)應能防止信息拷貝泄露。（三）備份數(shù)據(jù)應嚴格保證其真實性、完整性，不得更改。備份數(shù)據(jù)出現(xiàn)異常必須立即向領(lǐng)導匯報。（四）廢棄的備份文件存儲介質(zhì)應在刪除數(shù)據(jù)后及時銷毀。第四十四條【恢復策略】定期進行備份數(shù)據(jù)的恢復演練17信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求（GB/T22239-20087.2.5.11）三級備份與恢復管理：“a）應識別

7、需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b）應建立備份與恢復管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進行規(guī)范；c）應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ǎ籨）應建立控制數(shù)據(jù)備份和恢復過程的程序，對備份過程進行記錄，所有文件和記錄應妥善保存；e）應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性，確保可以在恢復程序規(guī)定的時間內(nèi)完成備份的恢復?！贝_保所備份數(shù)據(jù)的完整性和可用性。每年進行一次重要應用系統(tǒng)的數(shù)據(jù)恢復測試。根據(jù)恢復過程中發(fā)現(xiàn)的問題，及時調(diào)整備份策略。第七章附則第四十五條數(shù)據(jù)庫相關(guān)的應用系統(tǒng)安