大理州數(shù)據(jù)金庫管理細則

11-大理州數(shù)據(jù)金庫管理細則第一章?總則第一條??編制依據(jù)。為加強和保障大理州數(shù)據(jù)金庫安全保護和穩(wěn)定運行，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等相關(guān)法律法規(guī)規(guī)定，制定本辦法。第二條??適用范圍。大理州數(shù)據(jù)金庫的建設(shè)、使用、運營及其相關(guān)管理活動適用本細則。第三條??名詞解釋。本細則所稱數(shù)據(jù)金庫，是由政府主管部門監(jiān)管，統(tǒng)一標準、自主可控、軟硬一體、安全可靠的數(shù)據(jù)基礎(chǔ)設(shè)施，用于核心數(shù)據(jù)、重要數(shù)據(jù)和數(shù)據(jù)元件的存儲計算和互聯(lián)互通，定位于解決目前關(guān)鍵數(shù)據(jù)過于分散、安全保障不足等難題。數(shù)據(jù)金庫是大理州數(shù)據(jù)計算存儲的重要基礎(chǔ)設(shè)施，納入國家關(guān)鍵信息基礎(chǔ)設(shè)施管理，進行重點管理和保護。本規(guī)定所稱的數(shù)據(jù)金庫運營商，是指通過州人民政府依法按有關(guān)程序授權(quán)，承擔數(shù)據(jù)金庫的建設(shè)、運營、維護、升級等工作的法人或者非法人組織。第四條??數(shù)據(jù)金庫產(chǎn)品構(gòu)成。數(shù)據(jù)金庫包括數(shù)據(jù)金柜、數(shù)據(jù)金庫管理系統(tǒng)、機房，實現(xiàn)數(shù)據(jù)存儲計算、合規(guī)與風險控制、資產(chǎn)管理、數(shù)據(jù)互聯(lián)互通、安全管控等。數(shù)據(jù)金柜由管理系統(tǒng)、智能金倉、交換單元、計算單元、存儲單元組成，是存儲核心數(shù)據(jù)、重要數(shù)據(jù)和數(shù)據(jù)元件的軟硬一體數(shù)據(jù)存儲計算設(shè)施，可以按需部署并支持彈性拓展。第五條??數(shù)據(jù)金庫建設(shè)和使用要求。數(shù)據(jù)金庫建設(shè)和使用管理應當依法維護國家安全、公共安全、經(jīng)濟安全、社會穩(wěn)定，保守國家秘密，保護商業(yè)秘密和個人隱私。第六條??數(shù)據(jù)金庫安全要求。任何單位、組織和個人不得實施非法侵入、干擾、破壞數(shù)據(jù)金庫的活動，不得危害數(shù)據(jù)金庫的安全。第二章?責任分工第七條??州數(shù)據(jù)管理行政主管部門。州數(shù)據(jù)管理行政主管部門指導數(shù)據(jù)運營服務中心和數(shù)據(jù)金庫運營商依照法律、行政法規(guī)的規(guī)定以及國家標準，加強對數(shù)據(jù)金庫建設(shè)運營的管理，保障數(shù)據(jù)金庫安全穩(wěn)定運行。第八條??數(shù)據(jù)運營服務中心。數(shù)據(jù)運營服務中心在州數(shù)據(jù)管理行政主管部門的指導下，負責統(tǒng)籌推進數(shù)據(jù)金庫的建設(shè)運營，對參與數(shù)據(jù)金庫建設(shè)運營的相關(guān)市場主體進行登記，確保數(shù)據(jù)安全管理責任明晰、過程規(guī)范、全程可追溯。第九條??市場主體登記內(nèi)容。市場主體登記內(nèi)容包括：（一）市場主體基本信息；（二）參與建設(shè)運營過程中提供的產(chǎn)品、技術(shù)、服務等信息；（三）數(shù)據(jù)安全管理制度規(guī)范及防護措施；（四）網(wǎng)絡安全等級保護、數(shù)據(jù)安全評估、數(shù)據(jù)安全審計相關(guān)報告等。第十條??數(shù)據(jù)金庫運營商。數(shù)據(jù)金庫運營商負責承擔數(shù)據(jù)金庫的建設(shè)、運營、維護、升級等工作。數(shù)據(jù)金庫運營商應當具備國家網(wǎng)信領(lǐng)域相關(guān)資質(zhì)要求，滿足核心數(shù)據(jù)、重要數(shù)據(jù)存儲相關(guān)的國家標準。第十一條??其他部門。州數(shù)據(jù)管理行政主管部門和數(shù)據(jù)運營服務中心協(xié)調(diào)州發(fā)改、工信、信息通信建設(shè)管理等部門，為數(shù)據(jù)金庫運營商提供相關(guān)資源，提升服務保障能力。州網(wǎng)信、機要和保密、公安、國家安全等部門在各自職責范圍內(nèi)對數(shù)據(jù)金庫建設(shè)及運營活動進行監(jiān)管。公安部門負責及時依法查處破壞數(shù)據(jù)金庫或者危害數(shù)據(jù)金庫安全的違法行為。州宣傳、教體、廣電等部門和機構(gòu)，負責開展電信法律法規(guī)、信息基礎(chǔ)設(shè)施保護、網(wǎng)絡安全等相關(guān)知識的宣傳和普及，對危害信息基礎(chǔ)設(shè)施安全、影響數(shù)據(jù)金庫正常運行的行為進行輿論監(jiān)督。第三章金庫建設(shè)管理第一節(jié)?物理環(huán)境第十二條??物理位置要求。數(shù)據(jù)金庫物理位置應當符合下列規(guī)定：（一）選擇在具有防震、防風和防雨等能力的建筑內(nèi)；（二）應當避免設(shè)在建筑物的頂層或地下室，否則應加強防水和防潮措施；（三）應當避開火災危險程度高的區(qū)域，周圍100米內(nèi)不得有加油站、燃氣站等危險建筑；（四）用于數(shù)據(jù)金庫的物理設(shè)施與其他用途的設(shè)施物理隔離；（五）數(shù)據(jù)金庫的設(shè)備位于中國境內(nèi)。第十三條??物理訪問控制要求。數(shù)據(jù)金庫物理訪問控制應當符合下列規(guī)定：（一）數(shù)據(jù)金庫出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員；（二）重要區(qū)域應配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員；（三）應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域。第二節(jié)?設(shè)備采購第十四條??設(shè)備安全性能要求。數(shù)據(jù)金庫運營商采購產(chǎn)品應當滿足自主知識產(chǎn)權(quán)的要求并通過安全部門組織的安全審查，確保數(shù)據(jù)金庫的本質(zhì)安全。第十五條??采購安全保密協(xié)議。數(shù)據(jù)金庫運營商采購數(shù)據(jù)金庫的硬件設(shè)備，應當按照國家有關(guān)規(guī)定與硬件設(shè)備供應商簽訂安全保密協(xié)議，明確提供者的技術(shù)支持和安全保密義務與責任，并對義務與責任履行情況進行監(jiān)督。第十六條??硬件設(shè)備供應商要求。數(shù)據(jù)運營服務中心應當定期組織對硬件設(shè)備供應商的資質(zhì)、經(jīng)營行為、業(yè)績、服務體系和服務品質(zhì)等方面進行評估。第三節(jié)?軟件部署第十七條??軟件系統(tǒng)應具備功能。數(shù)據(jù)金庫管理系統(tǒng)應當具備數(shù)據(jù)加工和數(shù)據(jù)管理功能，實現(xiàn)數(shù)據(jù)清洗治理、數(shù)據(jù)元件開發(fā)、數(shù)據(jù)元件交易，核心、重要數(shù)據(jù)與數(shù)據(jù)元件存儲，以及通過安全、合規(guī)、標準、質(zhì)檢、定評五大支撐系統(tǒng)實現(xiàn)原始數(shù)據(jù)的三級蝶變。數(shù)據(jù)金庫運營商應當分別建立獨立的數(shù)據(jù)元件開發(fā)環(huán)境和生產(chǎn)環(huán)境并實行物理隔離；合作方使用樣本數(shù)據(jù)在開發(fā)環(huán)境中開發(fā)數(shù)據(jù)元件，使用數(shù)據(jù)資源在生產(chǎn)環(huán)境中生產(chǎn)數(shù)據(jù)元件。第十八條??軟件開發(fā)要求。軟件開發(fā)過程中應當同步完成相關(guān)文檔手冊的編寫工作，保證相關(guān)資料的完整性和準確性。第十九條??適配數(shù)據(jù)治理工具。數(shù)據(jù)金庫應當實現(xiàn)數(shù)據(jù)治理工具配置的靈活性，可以適配不同廠商的數(shù)據(jù)歸集、數(shù)據(jù)處理、數(shù)據(jù)元件開發(fā)、交易合約等工具。第四節(jié)?網(wǎng)絡通信第二十條??網(wǎng)絡架構(gòu)要求。數(shù)據(jù)金庫的網(wǎng)絡架構(gòu)應當符合下列規(guī)定：（一）保證網(wǎng)絡設(shè)備的業(yè)務處理能力滿足業(yè)務高峰期需要，業(yè)務處理能力能滿足業(yè)務高峰期需要的50%以上；（二）保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；（三）劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址；（四）實現(xiàn)不同分區(qū)網(wǎng)絡之間及同一用戶不同分區(qū)網(wǎng)絡之間的隔離；（五）避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取物理隔離手段；（六）提供通信線路、關(guān)鍵網(wǎng)絡設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性；（七）按照業(yè)務服務的重要程度分配帶寬，優(yōu)先保障重要業(yè)務；（八）至少支持“兩地三中心多活”的容災模式；（九）使用前置設(shè)備實現(xiàn)跨區(qū)域聯(lián)網(wǎng)系統(tǒng)與數(shù)據(jù)金庫核心區(qū)的隔離，防止外部系統(tǒng)直接對數(shù)據(jù)金庫核心數(shù)據(jù)區(qū)的訪問和操作；（十）使用專用網(wǎng)絡用于數(shù)據(jù)金庫各物理邏輯分布間的重要信息交換，與公用網(wǎng)絡隔離；（十一）至少通過兩條主干鏈路接入跨區(qū)域交換網(wǎng)絡，并可根據(jù)實際情況選擇使用；（十二）具有根據(jù)業(yè)務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。第二十一條??通信傳輸要求。通信傳輸應當符合下列規(guī)定：（一）通信前基于密碼技術(shù)對通信的雙方進行驗證或認證；（二）采用密碼技術(shù)保證數(shù)據(jù)的完整性、保密性，并按照國家密碼管理部門與行業(yè)有關(guān)要求使用密碼算法；（三）基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理；（四）核心數(shù)據(jù)和重要數(shù)據(jù)應當采用單向光閘傳輸技術(shù)。第二十二條??數(shù)據(jù)金庫布線。數(shù)據(jù)金庫布線應做到跳線整齊，跳線與配線架統(tǒng)一編號，標記清晰。第四章服務運營管理第一節(jié)?場所管理第二十三條??數(shù)據(jù)金庫巡查值守。數(shù)據(jù)金庫運營商應當指定專門的部門和人員負責數(shù)據(jù)金庫安全，對機房出入進行管理，每天巡查機房運行狀況，密切監(jiān)視設(shè)備運行狀況以及各節(jié)點運行情況，定期對數(shù)據(jù)金庫供配電、空調(diào)、溫濕度控制、消防等設(shè)施進行維護管理，如實詳細填寫數(shù)據(jù)金庫值班記錄、巡視記錄，以備后查。第二十四條??數(shù)據(jù)金庫進出要求。數(shù)據(jù)金庫運營商應當對出入人員進行相應級別的授權(quán)，對進入重要安全區(qū)域的人員和活動實時監(jiān)視等。第二十五條??數(shù)據(jù)金庫值班要求。數(shù)據(jù)金庫執(zhí)行7*24小時人員值班，值班人員須提前30分鐘到達工作崗位完成工作交接。第二節(jié)?操作管理第二十六條??操作要求。數(shù)據(jù)金庫軟件系統(tǒng)維護、更改配置，添加、更換硬件設(shè)備應當經(jīng)運營負責人批準。相關(guān)信息應當詳細記錄，各類軟件、現(xiàn)場資料、檔案等應當妥善管理。第二十七條??流程操作規(guī)范。數(shù)據(jù)金庫操作應當嚴格按照各項預制操作流程進行，業(yè)務更新或者特殊情況需要變更流程的，應當事先詳細安排，并經(jīng)報運營負責人批準。所有操作變更應當記錄存檔。第二十八條??數(shù)據(jù)金庫機房管理。數(shù)據(jù)金庫機房包括建筑結(jié)構(gòu)、電氣系統(tǒng)、空調(diào)系統(tǒng)、弱電系統(tǒng)、消防系統(tǒng)等，未經(jīng)相關(guān)負責人的批準，不得在機房設(shè)備上編寫、修改、更換各類軟件系統(tǒng)及更改設(shè)備參數(shù)配置。第三節(jié)?保密管理第二十九條??機線與資料保密要求。任何人未經(jīng)批準不得擅自抄錄、復制機線及設(shè)備圖紙、電路和網(wǎng)絡組織資料、機密文件、軟件版本、技術(shù)檔案、用戶資料、內(nèi)部資料等。第三十條??工作人員保密規(guī)范。數(shù)據(jù)金庫工作人員應恪守保密制度，不得泄露數(shù)據(jù)金庫的各種信息資料與數(shù)據(jù)。嚴格執(zhí)行密碼管理規(guī)定，不得將密碼告知非工作人員，對操作密碼定期更改，重要密碼由系統(tǒng)管理員掌握。如有工作人員調(diào)任或離任后，必須更改操作密碼。第三十一條??來訪人員保密要求。外部人員進入數(shù)據(jù)金庫必須遵守數(shù)據(jù)金庫的管理規(guī)定和相關(guān)安全規(guī)定，非經(jīng)同意,

外來人員不得觸摸設(shè)備及終端，不得翻閱文件資料。第四節(jié)?網(wǎng)絡和系統(tǒng)安全管理第三十二條??角色管理分工。數(shù)據(jù)金庫運營商應當區(qū)分網(wǎng)絡安全管理和系統(tǒng)安全管理，并明確各自管理人員的責任和權(quán)限。第三十三條??賬戶管理。數(shù)據(jù)金庫運營商應當指定專門的部門和人員進行賬戶管理，對申請賬戶、建立賬戶、刪除賬戶等進行控制。第三十四條??網(wǎng)絡和系統(tǒng)安全管理制度。數(shù)據(jù)金庫運營商應當建立網(wǎng)絡和系統(tǒng)安全管理制度，對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規(guī)定。第三十五條??網(wǎng)絡和系統(tǒng)運維管理。數(shù)據(jù)金庫運營商應當定期對數(shù)據(jù)金庫計算、存儲、網(wǎng)絡等硬件設(shè)施設(shè)備進行檢查與維護，對數(shù)據(jù)金庫相關(guān)系統(tǒng)、平臺、工具等軟件進行更新升級，按需進行網(wǎng)絡帶寬擴容和結(jié)構(gòu)優(yōu)化，提升網(wǎng)絡安全承載能力。第五節(jié)?數(shù)據(jù)安全管理第三十六條??數(shù)據(jù)分類分級存儲。數(shù)據(jù)金庫運營商應當按照數(shù)據(jù)資源、數(shù)據(jù)元件分類分級存儲規(guī)則，對核心數(shù)據(jù)、重要數(shù)據(jù)、數(shù)據(jù)元件進行加密存儲，加密算法使用國密算法，并對數(shù)據(jù)存儲進行安全域劃分，不同等級的數(shù)據(jù)采用不同的安全防護策略，保障數(shù)據(jù)安全。第三十七條??數(shù)據(jù)訪問權(quán)限管理。數(shù)據(jù)金庫運營商應當建立統(tǒng)一權(quán)限管理平臺，制定數(shù)據(jù)權(quán)限管理策略，實現(xiàn)認證、權(quán)限授予、賬號、審計方面的統(tǒng)一管理，防止核心、重要數(shù)據(jù)泄露。第三十八條??備份和恢復。數(shù)據(jù)運營服務中心負責制定數(shù)據(jù)備份與恢復相關(guān)安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等進行規(guī)范。數(shù)據(jù)金庫運營商應當按照數(shù)據(jù)運營服務中心的制度規(guī)范要求，制定交換網(wǎng)絡、智能金倉、計算單元、數(shù)據(jù)加工系統(tǒng)、數(shù)據(jù)管理系統(tǒng)等的備份策略和恢復策略、備份程序和恢復程序等。第五章安全監(jiān)督管理第一節(jié)?漏洞和風險管理第三十九條??安全監(jiān)測預警。數(shù)據(jù)金庫運營商應當建設(shè)運營監(jiān)測預警平臺，對數(shù)據(jù)金庫的運行狀態(tài)進行監(jiān)測診斷和預警分析，加強金庫壓力測試和風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時立即采取補救措施，提升數(shù)據(jù)金庫全過程安全監(jiān)管能力。第四十條??識別安全漏洞和隱患措施。數(shù)據(jù)金庫運營商應當采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補。第四十一條??安全風險評估。數(shù)據(jù)金庫運營商應當每年至少依托第三方機構(gòu)進行一次安全檢測與風險評估，對發(fā)現(xiàn)的問題及時采取防護和補救措施，評估結(jié)果報送數(shù)據(jù)運營服務中心。第四十二條??安全檢測檢查。州數(shù)據(jù)管理行政主管部門、網(wǎng)信、公安等部門與數(shù)據(jù)運營服務中心定期對數(shù)據(jù)金庫運營商的安全管理措施、安全防護能力進行檢查檢測，提出改進意見，指導監(jiān)督數(shù)據(jù)金庫運營商及時整改安全隱患、完善安全措施。第二節(jié)?應急預案演練第四十三條??應急預案制定。數(shù)據(jù)運營服務中心負責制定統(tǒng)一的應急預案框架，包括啟動預案的條件、應急組織構(gòu)成、應急資源保障、事后教育和培訓等內(nèi)容。數(shù)據(jù)金庫運營商在應急預案框架下，制定詳細具體的數(shù)據(jù)金庫應急預案，報數(shù)據(jù)運營服務中心、州數(shù)據(jù)管理行政主管部門審核。第四十四條??應急預案評估。數(shù)據(jù)運營服務中心應當對數(shù)據(jù)金庫運營商提交的應急預案進行評估，提出修改意見和建議，指導數(shù)據(jù)金庫運營商修訂和完善應急預案。第四十五條??應急演練。數(shù)據(jù)金庫運營商定期開展應急演練，涉及主機和網(wǎng)絡的應急演練，應至少提前3個工作日審批，涉及前置機和網(wǎng)絡等小規(guī)模的應急演練，應至少提前3個工作日報數(shù)據(jù)運營服務中心審批。演練結(jié)束后，數(shù)據(jù)金庫運營商應組織相關(guān)人員編寫《應急演練總結(jié)報告》，并存檔備查。第三節(jié)?安全應急處置第四十六條??應急工作統(tǒng)籌管理。州網(wǎng)信部門、州數(shù)據(jù)管理行政主管部門、數(shù)據(jù)運營服務中心組織和協(xié)調(diào)應急處理工作，數(shù)據(jù)金庫運營商要服從統(tǒng)一指揮，全力配合做好各項應急處理工作，根據(jù)應急管理需要，設(shè)備供應商現(xiàn)場參與處理。第四十七條??安全應急體系建設(shè)。數(shù)據(jù)金庫運營商應當建立數(shù)據(jù)金庫安全應急體系，包括人員、設(shè)備、軟件、數(shù)據(jù)等資源的準備，以及制定和下發(fā)《數(shù)據(jù)金庫安全應急操作手冊》。第四十八條??安全備份。數(shù)據(jù)金庫運營商至少每季度一次對交換網(wǎng)絡、智能金倉、計算單元、數(shù)據(jù)加工系統(tǒng)、數(shù)據(jù)管理系統(tǒng)等進行備份，以備應急使用。第四十九條??安全應急處置。發(fā)生應急事件時，數(shù)據(jù)金庫運營商應當準確啟動應急方案，并按照《數(shù)據(jù)金庫應急操作手冊》所規(guī)定的應急事件處置步驟和規(guī)范要求進行操作處置。應急處理工作必須由數(shù)據(jù)運營服務中心負責人到場指揮，負責人無法及時到場時，應指定人員現(xiàn)場指揮并盡快開展工作。第四節(jié)?安全事件報告第五十條??報告制度建設(shè)。數(shù)據(jù)運營服務中心應當制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的職責分工。第五十一條??安全事件報告。數(shù)據(jù)金庫運營商應當對運營過程中發(fā)現(xiàn)的安全弱點和可疑事