数据安全管理制度

数据安全管理规定

一．目的

1.1为了提高公司网络系统的安全性，最大限度的防止资料流失。特制定本制度

二．范围

2.1电子文档向外发送时遵循此规定。

三．定义

3.1 向外发送的数据：包括对外光盘的刻录，因工作需要向外发送的电子文件及通过其它途径传递的资料。

3.2有效数据：指工作所需的和各种文档，不包括音乐、影视、生活图片或其它与工作无关的文件。

四．权责

4.1 计算机使用：各部门经（副）理指定人员；

4.3 数据安全监管：人力资源部指定之人员；

五．作业内容

5.1 所有申请使用电脑办公的同事需经过人力资源部网络中心的相关培训，培训日期按年度培训计划执行。考核合格后，网络中心分配相应的电脑使用权限，准许使用电脑办公。

5.2 人力资源部根据办公系统的使用情况，将不定期的组织临时性的专项培训。

5.3公司对外的电子文档输出由人力资源部负责。包括刻录光盘，向外发送文件等。所有部门如有上述需要，请填写统一的<<申请单>>，经部门经理或直接上级审批后，由人力资源部相关岗位处理。

5.4 电子邮件的使用由操作员自己负责。网络中心在总经理同意后，有权在不发布公告时对电子邮件系统进行监控。

5.5除总经理批准或有特殊用途的电脑外，锁定所有电脑的USB接口，拆除或禁用软驱、光驱。

5.6除人力资源部指定岗位外，所有电脑禁止安装刻录机或相关设备。

5.7 除签订<<资料保密协议>>的同事外，未经事业部总经理同意，不得使用U盘、移动硬盘等设备，一经发现，立即没收。并记小过一次。

5.8 未经允许，员工不应将不属于公司的电脑整机或配件带入公司使用，也不允许接入公司网络系统。违者记大过一次。并对其设备进行检查，确认后归还给当事人。

5.9 所有的电脑操作员最多每6天向服务器备份一次有效数据。人力资源部指定岗位每月3日前必须将所有数据备份到光盘存档。具体备份方式另行通知。

5.10 在公司办公场所内需上网的同事请按正常程序申请，在学习公司的

<>后开通相应上网权限。禁止利用公司电话拔号上网，一经发现，当事人记小过一次，电话责任人记警告一次。

5.11 在公司范围内不允许启用笔记本电脑自带的无线网卡。以避免对网络系统造成电磁干扰。

5.12员工应有相当强的保密意识，不允许将公司资料以任何形式发布到Internet上。一经发现，报总经办处理。并且公司保留送交公安机关的权利。

数据安全管理规定

目的：通过采用各种技术和管理措施，保护计算机硬件、软件和数据不会因偶然和恶意的原因而遭到破坏、更改和泄漏；确保通过网络传输和交换的数据不会发生增加、修改、丢失和泄露，从而确保数据的可用性、完整性和保密性。

适用范围：适用于企业计算机系统软硬件和网络传输数据的操作和管理。

责任：本文信息中心起草，本部门负责人批准后，由部门人员共同遵守和实施。

内容：数据的基本特点是：保密性、完整性、可用性。数据安全包含两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、身份认证等；二是数据防护的安全，主要是采用信息存储手段对数据进行主动的保护，如通过磁盘阵列、数据备份、异地容灾等手段

保护数据的安全。

1 威胁数据安全的因素很多，主要有以下几项：

1.1 硬件因素：

1.1.1 磁盘驱动器损坏：一个磁盘驱动器的物理损坏意味着数据丢失。

1.1.2 自然灾害：地震或洪水等。

1.1.3 电源故障：电源供给系统故障，一个瞬间过载电功率会损坏在硬盘或存储设备上的数据。

1.1.4 电磁干扰：电磁干扰是指重要的数据接触到有静电或者磁性的物质，会造成计算机数据被破坏。

1.2 软件因素：

1.2.1 人为错误：由于操作失误，使用者可能会误删除系统的重要文件，或者修改影响系统运行的参数，以及没有按照规定要求或操作不当导致的系统宕机。

1.2.2 黑客入侵：入侵者通过网络远程入侵系统，入侵的方式有很多种，比如系统漏洞。

1.2.3 病毒：由于感染计算机病毒而破坏计算机系统，造成重要数据丢失或损坏。

1.2.4 信息窃取：从计算机上复制删除信息，或盗取硬件。

2 基于以上原因，确保信息中心网络中心机房重要数据的安全保密，做出如下规定：

2.1 硬件维护：

2.1.1 数据机房要求每天巡检，机房具有防雷、防火、防水、防静电等基本功能。

2.1.2 特殊用途计算机未经允许不准安装其他软件、不准使用未经查毒处理的存储介质，如U盘、移动硬盘等。

2.1.3对报废设备中存有的程序、数据等资料进行备份后清除，并妥善处理废弃无用的资料和存储介质，防止泄密。

2.2 数据备份：

2.2.1对应用系统使用、产生的数据按其重要性进行分类，按要求进行定时

备份，并保存在非系统盘中，同时要求进行异地备份，固定的保存在局域网中的其它安全地方，并对外严格保密。如果存放备份数据是某种介质，则要有明确的标志，并明确落实备份数据的管理职责。

2.2.2进行数据恢复之前，必须对原环境的数据进行备份，防止数据丢失。数据恢复过程要严格按照恢复步骤执行，数据恢复后必须进行验证和确认，以保证备份数据的完整性和可用性。

2.3 权限划分：

2.3.1要有专门的数据安全操作规程，内容要包括：数据访问的身份验证、权限管理、数据的加密、数据的保密、各种应用系统定期不定期的更改口令等。

2.3.2根据数据的保密规定和用途，确定业务部门使用人员的存取权限、存取方式和审批手续。业务部门提出新的数据查询、统计、分析请求时，首先需要将其需求汇报给信息部门经理，部门经理审核同意后（符合公司对数据的管理制度及数据的安全制度）方可实施，实施完毕后需要登记备案并将处理过程和结果以书面形式汇报至部门部门经理。

2.4 定时杀毒：

2.4.1应指定专人进行计算机病毒和网络攻击的防范工作，定期进行计算机病毒检查和漏洞扫描，发现病毒和数据安全隐患等安全问题要及时处理和上报。

3 维护注意事项

3.1非本公司的技术人员对公司的设备、系统等进行维护维修时，必须有本公司技术人员现场全程监督。计算机设备送外维修需要经信息部门经理审核批准。送修前，需将设备存储介质内的软件和数据等涉及经营管理的信息备份后删除，并进行登记。对修复好的设备，信息部技术人员应对设备进行验收、并检测和登记。

3.2对数据库数据结构、表格、字段等进行修改，必须由信息部门修改人向部门经理提出申请，经部门经理同意后方可操作，完成后需通过以报告形式向部门经理说明处理过程以及处理结果，并做好修改记录，以备查询。

4 本文件由信息中心负责解释