公用数据安全管理规范含表格.docx
《公用数据安全管理规范含表格.docx》由会员分享,可在线阅读,更多相关《公用数据安全管理规范含表格.docx(7页珍藏版)》请在冰豆网上搜索。
公用数据安全管理规范含表格
公用数据安全管理规范
(ISO45001-2017)
1范围
本标准规定了公司数据分类分级的方法和准则,并规定了与电厂业务及管理相关的信息
系统处理数据的安全保护要求措施、备份策略、备份存储介质的管理和备份的恢复等数据备份相关工作内容的管理办法。
本标准适用于公司公用数据管理。
2规范性引用文件
《中华人民共和国计算机信息系统安全保护条例》
《中华人民共和国计算机信息网络国际互联网暂行规定》
《信息系统运行维护管理办法》
3术语和定义
下列术语和定义适用于本标准。
3.1数据分类
是指信息化领导小组按照信息资产对实现公司整体战略目标的重要性对信息进行分类。
3.2备份介质
是指用来存储数据的介质,光盘,磁带、硬盘等。
4职责
4.1综合工作部的职责
4.1.1数据库管理员负责按照本办法中的有关规定执行和管理数据备份工作。
4.1.2对所有应用系统的备份策略进行分析,制定《备份工作表》。
综合工作部负责人对此表批准后,数据库管理员按照此表的要求进行数据备份工作。
4.1.3负责数据库数据的备份、恢复测试工作。
4.1.4负责数据库操作日志的备份、分析工作。
4.1.5对数据库提出改进和修改意见。
4.2各部门的职责
应配合数据库管理员进行的备份工作,对备份前的数据做好正确性、完整性的检验。
5流程与风险分析
5.1数据管理流程图见附录A。
5.2控制点
5.2.1数据分类:
对信息按照重要性进行分类,对其制订相应的安全保护措施,并经信息化管理领导小组审批。
5.2.2使用与维护:
数据的产生、传输、使用、保存及销毁应采取严格的控制措施,并履行审批手续。
5.2.3备份与恢复:
按照安全保护措施中的备份策略对所有数据以不同的方式和执行频率进行有效的备份。
制订恢复计划并履行相关的审批手续,并按需求进行恢复。
5.2.4备份介质保存:
备份存储介质实行专人管理、异地保存,确保其不被修改、丢失及损毁。
5.2.5备份恢复测试:
定期在测试环境中进行备份恢复测试。
出现异常或操作失败时,及时分析、解决问题。
5.2.6管理权限:
明确数据库用户及其权限的管理标准,用户和权限的申请、变更应履行完整审批手续。
5.3风险分析
5.3.1由于对数据分类划分不清,没有制定相应的保护措施,可能导致重要数据得不到保护。
5.3.2由于未对数据的产生、传输、使用、保存及销毁采取严格的控制措施或未履行审批手续,可能导致数据使用混乱。
5.3.3由于未对数据进行有效的备份,可能导致数据被破坏后无法正常恢复。
5.3.4由于备份介质保存不当,可能导致存储数据破坏。
5.3.5由于未对备份数据进行恢复测试,可能导致备份的数据不可用。
5.3.6由于未明确数据库用户及其权限或用户和权限的申请、变更未履行完整审批手续。
可能导致数据管理权限混乱,数据使用安全得不到保障。
6管理内容与方法
6.1数据分类
6.1.1按数据的重要性分类,本厂数据分为三个等级
a)普通数据:
本企业全厂职工都可以使用的数据信息。
b)重要数据:
对厂内有重大影响或对安全生产有很大影响的数据,一般由职能部门内部人员
使用的数据信息。
c)机密数据:
限定特定人员使用的数据信息。
6.1.2数据重要性等级分类确认
数据的使用者提请自己使用数据信息的等级报到综合工作部微机室,由微机室归纳、整理、汇总后报到信息化领导小组,信息化领导小组立会研究确定、并在内网中发布。
6.1.3数据信息的保护
数据管理员根据数据信息化领导小组确定的重要性等级,对数据信息进行设定保护策略。
6.2数据信息使用与维护
6.2.1数据信息的产生、传输、使用、保存及销毁按照《记录控制管理标准》执行。
6.2.2最终用户不允许有直接访问数据库的权限。
6.2.3数据库管理员每季度对直接访问数据库的情况进行检查,查看是否有XX的直接访问数据库的情况存在。
发现异常情况后报告信息中心负责人,并且记录、保存相关文档,存期2年。
6.3备份与恢复
6.3.1数据库管理员每月月初进行一次数据备份。
备份的存储介质必须异地存放,备份文件名按照“数据库名+备份日期”进行命名。
6.3.2数据库管理员每季度进行一次数据恢复测试,将备份恢复过程记录、保存相关文档,存期2年以上。
6.3.3当数据信息遭到破坏需要恢复时,按照《存储系统灾难备份方案》进行(格式见附录B)。
6.3.4数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复过程中要严格按照《存储系统灾难备份方案》进行,出现问题时由技术部门进行现场技术支持。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
6.3.5恢复测试失败时,数据库管理员应分析原因、解决问题,并向信息中心负责人汇报这一情况。
6.3.6数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作
6.4备份介质保存
6.4.1备份存储介质由数据库管理员管理、异地保存。
6.4.2数据库管理员必须确保它们在保存期间不被修改。
6.5权限管理
6.5.1数据库管理权限的使用,须经过信息中心负责人的批准。
6.5.2数据库管理员需更改数据库安全设定或参数时(例如:
口令策略)必须提出申请并经信息中心负责人的签字确认,。
6.5.3系统管理员根据一般用户工作的实际需要,按其所在部门提出的要求填写《权限变更申请单》(格式见附录C),为其分配操作权限(必要时应请示领导),管理员不得授予超出其实际工作需要的操作权限。
6.5.4系统管理员应严格控制用户帐户的使用方式,控制最小口令长度不得少于6位(16位以下),强制修改口令的时间间隔不得长于一个季度,新口令至少与前3次的口令不能相同,密码的复杂程度必须满足由字母、数字和普通符号组成,但至少由其中两种混合使用。
6.6备份恢复测试
6.6.1数据库管理员应建立一个完整的数据备份恢复测试环境。
6.6.2数据管理员应每季度对备份的数据信息进行恢复测试一次,与数据使用者一起测试恢复后的数据的可用性。
如果在数据恢复时出现异常或操作失败时,数据管理员应向业务部门负责人汇报,并分析异常或操作失败的原因,最终解决问题。
恢复备份过程要及时填写好《备份恢复测试记录表》(格式见附录D)。
7相关/支持性文件
《机房管理标准》
《数据管理标准》
《网络管理标准》
《应用系统管理标准》
《信息化工作管理标准》
8记录
附录A(规范性附录)数据管理流程图
附录B(规范性附录)存储系统灾难备份方案
附录C(规范性附录)权限变更申请单
附录D(规范性附录)备份恢复测试记录表
附录A(规范性附录)
数据管理流程图
附录B(规范性附录)
存储系统灾难备份方案
为更好利用厂内信息系统给我们工作带来的便利,防止工作中重要的数据丢失,结合我厂的实际情况,利用原有设备确定在网络中(特别是服务器)存储必要的数据。
1灾难前的日常工作
根据我厂的情况,主要的数据存储包括如下内容:
a)生产运行的日常数据。
各种机组运行数据。
b)汇流河发电厂论坛数据。
主要内容是各个部门开展日常工作的数据。
c)“两票”管理系统数据
d)日常工作中需要配置或下载的常用软件等
这些数据的存储,主要以数据库mssql和文件的形式存在。
因此针对其特点,制定我厂数据存储灾难恢复办法。
具体做法是:
MSSQL数据库的数据采用定期备份的方法将其形成数据文件备份的临时目录中,周期为每周一次。
临时文件每月一次考到移动硬盘中保存。
每季度将临时文件拷贝的光盘中保存。
其他上传的文件和软件,采用每月一次拷到临时目录中,每季度转刻录到光盘中保存。
要求凡上传的文件,各部门都要自己保留一份。
2灾难发生的处置方法:
当服务器或存储设备发生故障时,采取以下流程进行:
a)通知生产部、及相关部门做好资料确认。
b)查看系统破坏的情况,及时向上级汇报。
c)恢复系统。
d)找到日常备份数据进行恢复。
e)确认系统数据恢复程度,恢复使用。
附录C(规范性附录)
权限变更申请单
姓名:
申请时间:
权限生效日期:
信息中心批准:
申请操作权限:
所在部门签字:
综合工作部批准:
备注:
附录D(规范性附录)
备份恢复测试记录表
测试人
时间
测试硬件环境
测试软件应用系统
记录测试过程
恢复测试失败原因
措施
负责人签字
升级会员 