部信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定

部門信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定前言為了保證本部門信息資產(chǎn)的機密性、完整性和可用性，保護本部門的數(shù)據(jù)安全，規(guī)范信息資產(chǎn)的管理和使用，特制定本《部門信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定》。一、概述1.1適用范圍本規(guī)定適用于本部門的所有信息資產(chǎn)和數(shù)據(jù)的管理、使用、存儲和傳輸。1.2安全目標(biāo)本規(guī)定的安全目標(biāo)是確保本部門信息和數(shù)據(jù)資產(chǎn)的合法、安全、可靠、保密、完整和可用。1.3安全保障措施（1）保障信息和數(shù)據(jù)資產(chǎn)的機密性和完整性；（2）保障信息和數(shù)據(jù)資產(chǎn)的可用性；（3）建設(shè)安全的信息和數(shù)據(jù)資產(chǎn)管理系統(tǒng)，包括保護措施、技術(shù)措施、管理措施和運維措施。二、資產(chǎn)分類和等級2.1分類（1）核心資產(chǎn)：包括本部門管理和業(yè)務(wù)系統(tǒng)核心應(yīng)用數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等；（2）非核心資產(chǎn)：除核心資產(chǎn)以外的其他資產(chǎn)。2.2等級（1）絕密級：對本部門的核心利益、員工隱私、國家安全的保護有直接關(guān)系的信息和數(shù)據(jù)資產(chǎn)，采取最高安全保障措施；（2）機密級：對本部門的業(yè)務(wù)和管理有直接影響的信息和數(shù)據(jù)資產(chǎn)，采取高度保護措施；（3）秘密級：對本部門的業(yè)務(wù)和管理有一定影響的信息和數(shù)據(jù)資產(chǎn)，采取一定的保護措施；（4）內(nèi)部級：不屬于上述等級的信息和數(shù)據(jù)資產(chǎn)。三、安全管理要求3.1責(zé)任制度（1）本部門領(lǐng)導(dǎo)應(yīng)對信息和數(shù)據(jù)資產(chǎn)安全負最終責(zé)任，負責(zé)制訂本部門安全管理規(guī)定和安全保障策略；（2）信息和數(shù)據(jù)資產(chǎn)安全管理工作由本部門負責(zé)人或其委派的專門人員負責(zé)，建立健全安全管理制度，并進行有效的實施和監(jiān)督；（3）本部門全員參與信息和數(shù)據(jù)資產(chǎn)安全管理工作，保證信息和數(shù)據(jù)的安全使用，并積極參加數(shù)據(jù)資產(chǎn)保護培訓(xùn)。3.2計算機房、機房設(shè)備和電源管理（1）計算機房應(yīng)位于安全的地理位置，并采取相應(yīng)的防盜、防水、防火、防雷及其他安全防范措施，確保計算機房的安全性和可靠性；（2）所有的機房設(shè)備必須安裝到位，并按照規(guī)定準(zhǔn)確、安全地連接并使用，確保機房設(shè)備的完好無損；（3）電源管理應(yīng)符合國家有關(guān)規(guī)定，提供安全、可靠、穩(wěn)定的電源供應(yīng)，確保計算機設(shè)備的正常運行。3.3網(wǎng)絡(luò)和應(yīng)用系統(tǒng)管理（1）網(wǎng)絡(luò)和應(yīng)用系統(tǒng)應(yīng)符合國家相關(guān)規(guī)定，遵守相關(guān)法律法規(guī)及政策；（2）加強網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全保護，及時升級等級較低的網(wǎng)絡(luò)設(shè)備軟硬件，防范黑客攻擊和惡意程序的侵犯；（3）規(guī)范應(yīng)用系統(tǒng)的使用，建立應(yīng)用系統(tǒng)安全審計機制，及時發(fā)現(xiàn)和處理安全和操作風(fēng)險。3.4數(shù)據(jù)備份與恢復(fù)（1）建立完整的數(shù)據(jù)備份與恢復(fù)機制，對主要數(shù)據(jù)進行備份；（2）規(guī)范備份頻率和時點，針對不同等級的數(shù)據(jù)，采取不同的備份和恢復(fù)方式；（3）考慮數(shù)據(jù)備份介質(zhì)、備份計劃、備份策略和備份的空間存儲等因素，并嚴(yán)格控制備份介質(zhì)的地理位置、存儲環(huán)境、存儲期限等因素。3.5權(quán)限管理（1）建立完整的權(quán)限管理制度，規(guī)范用戶權(quán)限申請、審核、授權(quán)和取消流程，嚴(yán)格控制用戶的權(quán)限；（2）定期進行用戶權(quán)限審計，確保用戶權(quán)限在有效期內(nèi)，并及時對不合理的權(quán)限予以限制；（3）設(shè)立安全紅線，保障核心資產(chǎn)安全，不得授權(quán)非核心部門和人員訪問，嚴(yán)禁泄密。3.6安全保障制度要求（1）建立完整的安全保障設(shè)施，包括防火墻、網(wǎng)關(guān)、入侵檢測等；（2）定期評估安全保障設(shè)施和系統(tǒng)的安全性能，提高安全保障水平；（3）制定規(guī)定的應(yīng)急預(yù)案，確保在網(wǎng)絡(luò)安全事件發(fā)生時能夠快速應(yīng)對。四、安全管理措施4.1安全管控措施（1）數(shù)據(jù)資產(chǎn)保密要求：對需要進行保密管理的數(shù)據(jù)和信息進行加密，保持其機密性；（2）數(shù)據(jù)資產(chǎn)完整性要求：利用數(shù)字簽名、MD5校驗等技術(shù)標(biāo)識手段，保持?jǐn)?shù)據(jù)的完整性；（3）數(shù)據(jù)資產(chǎn)可用性要求：定期檢查數(shù)據(jù)傳輸和存儲設(shè)備的運行狀態(tài)，維護硬件的有效運行。4.2安全性能指標(biāo)（1）數(shù)據(jù)資產(chǎn)保密性能：定期對硬件進行保密性能評估；（2）數(shù)據(jù)資產(chǎn)完整性性能：核查數(shù)據(jù)存儲、傳輸和處理環(huán)節(jié)中的各項安全措施的完備性；（3）數(shù)據(jù)資產(chǎn)可用性性能：檢測數(shù)據(jù)的硬件設(shè)備、存儲設(shè)備和傳輸設(shè)備的運行狀態(tài)，確保不出現(xiàn)意外情況，保證數(shù)據(jù)存儲和傳輸?shù)挠行院图皶r性。五、監(jiān)督與管理5.1監(jiān)督檢查由本部門專門人員組成監(jiān)督檢查組，對信息和數(shù)據(jù)資產(chǎn)安全管理工作的執(zhí)行情況進行定期檢查，及時發(fā)現(xiàn)和糾正存在的問題，并及時制定改進方案。5.2舉報投訴建立部門信息和數(shù)據(jù)資產(chǎn)安全管理舉報投訴制度，專門設(shè)立舉報投訴專線，對被舉報或投訴的問題隨時進行調(diào)查，并依據(jù)調(diào)查結(jié)果做出處理和反饋。結(jié)語本《部門信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定