数据安全管理制度

石家庄**有限公司文件

目的：通过采用各种技术和管理措施，保护计算机硬件、软件和数据不会因偶然和恶意的原因而遭到破坏、更改和泄漏；确保通过网络传输和交换的数据不会发生增加、修改、丢失和泄露，从而确保数据的可用性、完整性和保密性。

适用范围：适用于企业计算机系统软硬件和网络传输数据的操作和管理。

责任：本文信息中心起草，本部门负责人批准后，由部门人员共同遵守和实施。

内容：数据的基本特点是：保密性、完整性、可用性。数据安全包含两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、身份认证等；二是数据防护的安全，主要是采用信息存储手段对数据进行主动的保护，如通过磁盘阵列、数据备份、异地容灾等手段保护数据的安全。

1 威胁数据安全的因素很多，主要有以下几项：

1.1 硬件因素：

1.1.1 磁盘驱动器损坏：一个磁盘驱动器的物理损坏意味着数据丢失。

1.1.2 自然灾害：地震或洪水等。

1.1.3 电源故障：电源供给系统故障，一个瞬间过载电功率会损坏在硬盘或存储设备上的数据。

1.1.4 电磁干扰：电磁干扰是指重要的数据接触到有静电或者磁性的物质，会造成计算机数据被破坏。

1.2 软件因素：

1.2.1 人为错误：由于操作失误，使用者可能会误删除系统的重要文件，或者修改影响系统运行的参数，以及没有按照规定要求或操作不当导致的系统宕机。

1.2.2 黑客入侵：入侵者通过网络远程入侵系统，入侵的方式有很多种，比如系统漏洞。

1.2.3 病毒：由于感染计算机病毒而破坏计算机系统，造成重要数据丢失或损坏。

1.2.4 信息窃取：从计算机上复制删除信息，或盗取硬件。

2 基于以上原因，确保信息中心网络中心机房重要数据的安全保密，做出如下规定：

2.1 硬件维护：

2.1.1 数据机房要求每天巡检，机房具有防雷、防火、防水、防静电等基本功能。

2.1.2 特殊用途计算机未经允许不准安装其他软件、不准使用未经查毒处理的存

SY/ZB/10.120 2/2

储介质，如U盘、移动硬盘等。

2.1.3对报废设备中存有的程序、数据等资料进行备份后清除，并妥善处理废弃无用的资料和存储介质，防止泄密。

2.2 数据备份：

2.2.1对应用系统使用、产生的数据按其重要性进行分类，按要求进行定时备份，并保存在非系统盘中，同时要求进行异地备份，固定的保存在局域网中的其它安全地方，并对外严格保密。如果存放备份数据是某种介质，则要有明确的标志，并明确落实备份数据的管理职责。

2.2.2进行数据恢复之前，必须对原环境的数据进行备份，防止数据丢失。数据恢复过程要严格按照恢复步骤执行，数据恢复后必须进行验证和确认，以保证备份数据的完整性和可用性。

2.3 权限划分：

2.3.1要有专门的数据安全操作规程，内容要包括：数据访问的身份验证、权限管理、数据的加密、数据的保密、各种应用系统定期不定期的更改口令等。

2.3.2根据数据的保密规定和用途，确定业务部门使用人员的存取权限、存取方式和审批手续。业务部门提出新的数据查询、统计、分析请求时，首先需要将其需求汇报给信息部门经理，部门经理审核同意后（符合公司对数据的管理制度及数据的安全制度）方可实施，实施完毕后需要登记备案并将处理过程和结果以书面形式汇报至部门部门经理。

2.4 定时杀毒：

2.4.1应指定专人进行计算机病毒和网络攻击的防范工作，定期进行计算机病毒检查和漏洞扫描，发现病毒和数据安全隐患等安全问题要及时处理和上报。

3 维护注意事项

3.1非本公司的技术人员对公司的设备、系统等进行维护维修时，必须有本公司技术人员现场全程监督。计算机设备送外维修需要经信息部门经理审核批准。送修前，需将设备存储介质内的软件和数据等涉及经营管理的信息备份后删除，并进行登记。对修复好的设备，信息部技术人员应对设备进行验收、并检测和登记。

3.2对数据库数据结构、表格、字段等进行修改，必须由信息部门修改人向部门经理提出申请，经部门经理同意后方可操作，完成后需通过以报告形式向部门经理说明处理过程以及处理结果，并做好修改记录，以备查询。

4 本文件由信息中心负责解释

SY/ZB/10.120 3/2