数据安全操作规程

数据安全操作规程按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，我公司建立完善企业内部数据安全管理制度1数据信息完整性1.1确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。1.2应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。1.3具备完整的用户访问、处理、删除数据信息的操作记录能力，以备审计。1.4在传输数据信息时，经过不安全网络的（例如INTERNET网），需要对传输的数据信息提供完整性校验。1.5应具备完善的权限管理策略，支持权限最小化原则、合理授权。2数据信息保密性2.1数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用，确保数据信息能够被安全、方便、透明的使用。为此，业务平台应采用加密等安全措施开展数据信息保密性工作。2.2应采用加密效措施实现重要业务数据信息传输保密性；2.3应采用加密实现重要业务数据信息存储保密性；2.4加密安全措施主要分为密码安全及密钥安全。3数据信息备份与恢复3.1备份要求3.1.1数据信息备份应采用性能可靠、不宜损坏的介质，如磁带、光盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息，并置于安全环境保管。3.1.2一般情况下对服务器和网络安全设备的配置数据信息每月进行一次的备份，当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份；3.1.3网络设备配置文件在进行版本升级前和配置修改后进行备份。3.1.4运维操作员应确保对核心业务数据每日进行增量备份，每周做一次包括数据信息的全备份。业务系统将进行重大系统变更时，应对核心业务数据进行数据信息的全备份。3.1.5备份执行过程应有详细的规划和记录，包括备份主体、备份时间、备份策略、备份路径、记录介质（类型）等。3.2备份恢复管理3.2.1运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。3.2.2对于因设备故障、操作失误等造成的一般故障，需要恢复部分设备上的备份数据信息，遵循异常事件处理流程，由运维操作员负责恢复。应尽可能地定期检查和测试备份介质和备份信息，保持其可用性和完整性，并确保在规定的时间内恢复系统。3.2.3应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。3.2.4恢复程序应定期接受检查及测试，以确保在恢复操作程序所预定的时间内完成。4用户信息安全管理制度网站为充分保护用户的个人隐私、保障用户信息安全，特制订用户信息安全管理制度。4.1定期对相关人员进行网络信息安全培训并进行考核，使网站相关管理人员充分认识到网络安全的重要性，严格遵守相应规章制度。4.2尊重并保护用户的个人隐私，除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下，未经用户授权不随意公布和泄露用户个人身份信息。4.3对用户的个人信息严格保密，并承诺未经用户授权，不得编辑或透露其个人信息及保存在本网站中的非公开内容，但下列情况除外：①违反相关法律法规或本网站服务协议规定；②按照主管部门的要求，有必要向相关法律部门提供备案的内容；③因维护社会个体和公众的权利、财产或人身安全的需要；④被侵害的第三人提出合法的权利主张；⑤为维护用户及社会公共利益、本网站的合法权益的需要；⑥事先获得用户的明确授权或其它符合需要公开的相关要求。4.4用户应当严格遵守网站用户帐号使用登记和操作权限管理制度，并对自己的用户账号、密码妥善保管，定期或不定期修改登录密码，严格保密，严禁向他人泄露。4.5每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码，也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况，有义务立即通告本网站。4.6如用户不慎泄露登陆账号和密码，应当及时与网站管理员联系，请求管理员及时锁定用户的操作权限，防止他人非法操作；在用户提供有效身份证明和有效凭据并审查核实后，重新设定密码恢复正常使用。4.7严格执行本规章制度，并形成规范化管理，并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组，并确定至少两名安全负责人作为突发事件处理的直接责任人。