企业内部数据存储方式包括:纸质文档、数据库、报告、硬盘、光存储介质。存储管理须符合以下规定:
1)含有重要、敏感或关键数据的移动式存储介质须专人管理。
2)删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对介质进行彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。
3)数据库访问权限须由专人管理,重要、敏感或关键数据访问时,需使用多重身份认证,认证通过后才能访问。
4)数据读写权限分离,不同操作需要采用不同申请流程进行授权,避免人为原因导致数据被删除或拷贝。
5)任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。
对数据信息进行传输时,应该考虑数据所属安全等级,在兼顾传输性能的同时,采用合理的加密传输技术。选择和使用加密传输时,应符合以下要求:
1)采用标准密码算法实现传输过程中的明文加密,密文解密流程,密钥存储符合数据存储安全要求。
2)根据数据安全保护级别,确定加密算法的类型、属性,以及所用密钥的长度。
3)听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。
4)重要、敏感或关键数据在存储和传输时必须加密,加密方式可以分为对称加密和非对称加密。
5)重要、敏感或关键数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数字签名时应符合以下要求:
保护私钥的机密性,防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施,例如使用公钥证书;确定签名算法的类型、属性以及所用密钥长度。
用于数字签名使用的密钥与数据传输加密机线路加密所使用的密钥应分开管理,提升密钥安全等级。
重要、敏感或关键数据的数据安全等级定期评定。对于数据的安全等级应每年进行评审,只要实际情况允许,就进行数据信息安全等级递减,以便降低数据安全保护的成本,并增加数据访问的便捷性。
数据涉及各角色人员及职责如下:
1)业务人员:拥有数据的所有权;拥有对数据的处置权利;对数据进行分类与分级;指定数据资产的管理者/维护人。
2)系统管理员:对数据管理相关系统进行管理和配置,确保系统正常运行。
3)安全管理员:对数据拥有者、数据使用者、数据访问者进行权限管理,根据安全保护要求将不同角色的权限隔离。
4)运维人员:被授权管理相关数据资产;负责数据的日常维护和管理。
5)研发人员:在授权的范围内访问所需数据;确保访问对象的机密性、完整性、可用性等。