數(shù)據(jù)安全實(shí)施方案

1、數(shù)據(jù)安全實(shí)施方案 目 錄第一節(jié)數(shù)據(jù)信息安全管理概論3第二節(jié)網(wǎng)絡(luò)管理員部門工作權(quán)限4第三節(jié)數(shù)據(jù)使用審批程序4第四節(jié)數(shù)據(jù)備份方案6第五節(jié)銀行保管箱業(yè)務(wù)7第六節(jié)機(jī)房管理規(guī)定9第一節(jié) 數(shù)據(jù)信息安全管理概論信息安全是指保護(hù)科研數(shù)據(jù)在公司和法律范圍內(nèi)得到完整和系統(tǒng)的管理，規(guī)避管理風(fēng)險(xiǎn)和各種威脅。信息安全要做到如下三個(gè)方面，a） 保密性：確保信息只能夠有得到授權(quán)的人訪問、使用和處置。b） 完整性：保護(hù)信息的精確性和可靠性。c） 有效性：保證經(jīng)授權(quán)的用戶可以訪問到信息，并得到準(zhǔn)確控制。公司制定管理政策，包括但不限于采取處理流程、組織結(jié)構(gòu)、軟件功能實(shí)現(xiàn)等方法，建立這些控制措施以確保實(shí)現(xiàn)公司的信息安全目標(biāo)。主要安

2、全工作規(guī)范：1 對(duì)敏感信息和信息處理程序的訪問，需將其限制在得到授權(quán)的個(gè)人，并對(duì)其所有訪問需進(jìn)行授權(quán)和驗(yàn)證。2 授權(quán)和驗(yàn)證程序?yàn)椋河尚柙L問數(shù)據(jù)的人員填寫訪問申請(qǐng)書，在得到項(xiàng)目經(jīng)理的同意后由項(xiàng)目經(jīng)理簽字并送交技術(shù)總監(jiān)審批生效。3 在訪問期間由項(xiàng)目經(jīng)理保持對(duì)所有訪問的審查跟蹤。由網(wǎng)絡(luò)管理員定期檢查和更新對(duì)安全區(qū)域的訪問權(quán)限。4 第三方支持服務(wù)人員必須嚴(yán)格限制訪問安全區(qū)域和敏感信息處理設(shè)備的權(quán)利。這些訪問必須得到授權(quán)后并由本公司員工對(duì)其進(jìn)行監(jiān)督。5 由網(wǎng)絡(luò)管理員定期備份數(shù)據(jù)，并在離主要業(yè)務(wù)地址足夠遠(yuǎn)的地方建立備份信息地點(diǎn)，以確保它可以免受主要業(yè)務(wù)地址發(fā)生災(zāi)難性事故所造成的損壞。對(duì)于重要的業(yè)務(wù)應(yīng)用程序

3、，需至少保存三代或者三個(gè)周期的備份數(shù)據(jù)。每月一次由網(wǎng)絡(luò)管理員提交備份數(shù)據(jù)清單，在公司領(lǐng)導(dǎo)簽字并得到許可后由安全員及授權(quán)人送至備份信息地點(diǎn)保存。6 由網(wǎng)絡(luò)管理員定期檢測(cè)備份介質(zhì)，以確保其在需要的時(shí)候是可用的，并定期檢查測(cè)試恢復(fù)的程序，以確保它們的有效性并保證能夠在指定的時(shí)間內(nèi)按照恢復(fù)操作程序完成信息恢復(fù)。 7 訪問控制規(guī)定：任何人不得私自改變服務(wù)器上由于信息系統(tǒng)自動(dòng)引發(fā)的用戶許可和系統(tǒng)管理員所做的這種改變；如工作需要改變?cè)L問控制列表，需由相關(guān)人員填寫訪問變更申請(qǐng)書，在得到項(xiàng)目經(jīng)理的同意后，由項(xiàng)目經(jīng)理簽字送交技術(shù)總監(jiān)審批生效。8 對(duì)一個(gè)多用戶的信息系統(tǒng)和服務(wù)的訪問，每一個(gè)員工必須使用唯一的用戶身份

4、登錄；用戶的注冊(cè)和注銷必須由項(xiàng)目經(jīng)理填寫注冊(cè)和注銷申請(qǐng)書，由技術(shù)總監(jiān)審批生效。9 劃分科研數(shù)據(jù)的使用權(quán)限，是按照公司的工作按排制定的，所的員工必須按照申請(qǐng)程序使用公司數(shù)據(jù)。第二節(jié) 網(wǎng)絡(luò)管理員部門工作權(quán)限一 網(wǎng)絡(luò)管理員編制和管理歸行政部，負(fù)責(zé)考勤、業(yè)績考核、工作安排等。二 公司科研數(shù)據(jù)的具體內(nèi)容等技術(shù)具體內(nèi)容，行政部負(fù)責(zé)人和本部門其他人員無權(quán)管轄，即無權(quán)察看、拷貝、傳遞科研數(shù)據(jù)等，領(lǐng)導(dǎo)特別授權(quán)的情況除外。三 網(wǎng)絡(luò)管理人員工作權(quán)限僅限于按照公司規(guī)定的程序辦理數(shù)據(jù)存儲(chǔ)備份、根據(jù)書面授權(quán)更改用戶的使用權(quán)限，無修改科研數(shù)據(jù)的權(quán)限等。四 行政部負(fù)責(zé)制定數(shù)據(jù)安全管理流程規(guī)則及負(fù)責(zé)此規(guī)則的執(zhí)行。五 公司的數(shù)據(jù)

5、安全管理工作是全體員工的責(zé)任，由網(wǎng)絡(luò)管理員、項(xiàng)目經(jīng)理和技術(shù)負(fù)責(zé)人組成管理組負(fù)責(zé)公司的具體安全工作。第三節(jié) 數(shù)據(jù)使用審批程序一 公司制定了詳細(xì)的數(shù)據(jù)安全分割方案，根據(jù)工作性質(zhì)與目的，劃分了不同的權(quán)限。具體權(quán)限規(guī)定如下：一、 公司主管領(lǐng)導(dǎo)：能查看所有數(shù)據(jù)。二、 項(xiàng)目經(jīng)理：能查看所有本項(xiàng)目組提交的數(shù)據(jù)。三、 普通工程師：能讀寫本用戶下的數(shù)據(jù)，并能查看與其工作相關(guān)的目錄。四、 其他：網(wǎng)絡(luò)管理員負(fù)責(zé)管理劃分?jǐn)?shù)據(jù)使用權(quán)限，嚴(yán)格執(zhí)行公司管理流程。 二 數(shù)據(jù)使用審批程序 儲(chǔ)存在服務(wù)器或其他存貯點(diǎn)上的公司科研數(shù)據(jù)，根據(jù)數(shù)據(jù)使用權(quán)限的規(guī)定，當(dāng)需要察看或者使用非本人權(quán)限的數(shù)據(jù)時(shí)，需要提出申請(qǐng)，經(jīng)公司主管領(lǐng)導(dǎo)（項(xiàng)目經(jīng)

6、理、技術(shù)負(fù)責(zé)人、公司主管領(lǐng)導(dǎo)）的審批同意后，方可開放數(shù)據(jù)權(quán)限。需求人員MAIL提出申請(qǐng)，權(quán)限負(fù)責(zé)人批準(zhǔn)后，網(wǎng)絡(luò)管理人員按照要求辦理數(shù)據(jù)許可業(yè)務(wù)，同時(shí)，網(wǎng)絡(luò)管理人員需要根據(jù)申請(qǐng)，填寫紙質(zhì)文檔，按照電子郵件申請(qǐng)程序，相關(guān)責(zé)任人簽字確認(rèn)，留存?zhèn)浒?，順序編?hào)。或者直接采取紙質(zhì)文檔申請(qǐng)。三 非公司正式人員登陸服務(wù)器的相關(guān)規(guī)定非公司正式員工因業(yè)務(wù)需要登陸查看公司科研數(shù)據(jù)，應(yīng)首先與公司簽訂保密協(xié)議，之后必須嚴(yán)格按照流程簽字審批，憑簽字齊全的紙質(zhì)數(shù)據(jù)申請(qǐng)備案表，辦理許可手續(xù)。四 遠(yuǎn)程登錄使用數(shù)據(jù)的員工，需要提前辦理數(shù)據(jù)申請(qǐng)備案表。在遠(yuǎn)程工作活動(dòng)停止時(shí)，需及時(shí)告知網(wǎng)絡(luò)管理員，取消遠(yuǎn)程訪問權(quán)限。網(wǎng)絡(luò)管理人員要及時(shí)

7、跟蹤項(xiàng)目進(jìn)度。五 數(shù)據(jù)申請(qǐng)備案表數(shù)據(jù)申請(qǐng)備案表日期編號(hào)所需數(shù)據(jù)與分割區(qū)域使用時(shí)間開始： 結(jié)束：用途人事部非公司正式員工，需要經(jīng)人事部確認(rèn)，使用人是否已經(jīng)與公司簽署保密協(xié)議。簽字： 申 請(qǐng) 人項(xiàng)目經(jīng)理技術(shù)負(fù)責(zé)人公司領(lǐng)導(dǎo)網(wǎng)絡(luò)管理員1審核無誤： 2.問題：第四節(jié) 數(shù)據(jù)備份方案一 每周五作一次數(shù)據(jù)全備份，包括：/data/project/hongjing001和/data/project/hj_stb及/data/usr/local/CVS三個(gè)目錄下的數(shù)據(jù)。二 每周三作一次數(shù)據(jù)的增量備份包括以上三個(gè)目錄下的數(shù)據(jù)。三 本節(jié)一、二項(xiàng)內(nèi)容會(huì)隨著公司的項(xiàng)目的開展目錄會(huì)逐步增加變動(dòng)。四 每月的最后一個(gè)星期往銀行

8、保險(xiǎn)箱送一次數(shù)據(jù)備份磁帶。五 遇到假日調(diào)整，時(shí)間順延提前。六 數(shù)據(jù)備份登記表每月編制數(shù)據(jù)備份登記表，網(wǎng)絡(luò)管理人員以簽字確認(rèn)為準(zhǔn)，簽字即確認(rèn)完成該項(xiàng)數(shù)據(jù)備份工作。數(shù)據(jù)備案登記表每月1張，網(wǎng)絡(luò)管理員簽字，并自行保管，月底報(bào)主管經(jīng)理，簽字審核。第五節(jié) 銀行保管箱業(yè)務(wù)一、 根據(jù)數(shù)據(jù)備份管理方案的要求，公司辦理銀行保險(xiǎn)箱業(yè)務(wù)，業(yè)務(wù)需要公司主管領(lǐng)導(dǎo)審批。二、 經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)，數(shù)據(jù)備份磁帶存放在民生銀行上地支行保險(xiǎn)箱。以劉波賢個(gè)人名義辦理開戶手續(xù)，公司注冊(cè)完成后，正式轉(zhuǎn)到公司名下（該項(xiàng)業(yè)務(wù)需要主管領(lǐng)導(dǎo)再次審批）。三、 銀行保險(xiǎn)箱業(yè)務(wù)開戶辦理要求，必須2人以上共同辦理。四、 銀行保險(xiǎn)箱業(yè)務(wù)實(shí)行三人分制管理的方

9、式，即以公司或者個(gè)人名義申請(qǐng)，申請(qǐng)人即業(yè)務(wù)經(jīng)辦人按照銀行的規(guī)定辦理開戶手續(xù)，留有銀行密碼和指紋。申請(qǐng)人初始完成第一次業(yè)務(wù)申請(qǐng)后，經(jīng)辦人授權(quán)網(wǎng)絡(luò)管理人員辦理銀行保險(xiǎn)箱業(yè)務(wù)（被委托人員有自己的業(yè)務(wù)辦理密碼），以后每次的實(shí)際業(yè)務(wù)的辦理由網(wǎng)絡(luò)管理員自己本人到銀行辦理。銀行保險(xiǎn)箱的鑰匙由公司第三人保管。公司需要備份保存數(shù)據(jù)磁帶等資料時(shí)，需要填寫數(shù)據(jù)備份銀行保險(xiǎn)箱業(yè)務(wù)備案登記表。五、 權(quán)限分工：保管箱業(yè)務(wù)經(jīng)辦人只有經(jīng)領(lǐng)導(dǎo)審批辦理開戶、過戶、銷戶權(quán)限，無日常保管存放物品辦理業(yè)務(wù)的權(quán)限，該權(quán)限歸網(wǎng)絡(luò)管理員。鑰匙負(fù)責(zé)人只負(fù)責(zé)保管權(quán)限。六、 銀行保險(xiǎn)箱業(yè)務(wù)備案登記表銀行保險(xiǎn)箱業(yè)務(wù)備案登記表由網(wǎng)管本人負(fù)責(zé)填寫，辦理

10、簽字審批手續(xù)，并負(fù)責(zé)保管本表格。網(wǎng)管本人簽字后，保險(xiǎn)箱經(jīng)辦人簽字，然后公司主管領(lǐng)導(dǎo)簽字，保險(xiǎn)箱鑰匙負(fù)責(zé)人見簽字齊全后，予以辦理鑰匙借用手續(xù)，并嚴(yán)格登記時(shí)間（時(shí)間到小時(shí)分鐘）。七、 授權(quán)委托書保管箱業(yè)務(wù)的相關(guān)責(zé)任人，需要簽署正式的業(yè)務(wù)委托書。 茲委托_辦理銀行保險(xiǎn)箱_業(yè)務(wù)，特此授權(quán)和說明！ 授權(quán)人： 見證人： 日 期： 序號(hào)日期保管物品網(wǎng)管部門經(jīng)理主管領(lǐng)導(dǎo)鑰匙負(fù)責(zé)人名稱數(shù)量保管內(nèi)容鑰匙領(lǐng)取時(shí)間鑰匙歸還時(shí)間簽字12345678保險(xiǎn)箱業(yè)務(wù)備案登記表第六節(jié) 機(jī)房管理規(guī)定機(jī)房是公司管理重點(diǎn)，要求專人負(fù)責(zé)管理，根據(jù)崗位職責(zé)，由公司網(wǎng)絡(luò)管理員負(fù)責(zé)機(jī)房的設(shè)施與安全工作。一、 網(wǎng)絡(luò)管理員負(fù)責(zé)公司的機(jī)房管理。二、 對(duì)機(jī)房的環(huán)境與溫度以及用電安全提出運(yùn)行方案，保障儀器設(shè)備的正常運(yùn)轉(zhuǎn)。三、 任何人未經(jīng)網(wǎng)絡(luò)管理員的許可，不得進(jìn)入機(jī)房。進(jìn)出機(jī)房必須經(jīng)過網(wǎng)絡(luò)