跳转至

DSMM-021 存储媒体安全管理规范V1.0

第一章 总则

第一条 为加强北京思度咨询科技有限公司存储安全管理,即对存储媒体的使用、存储、携带、记录、清单等活动和逻辑存储提供明确的安全管理标准,特制定此规范。

第二条 本规范适用于北京思度咨询科技有限公司所有部门存储安全管理。

第二章 适用范围

第三条 本规范所指存储安全为存储媒体安全和逻辑存储安全,指XXX科技发展有限公司存储数据载体(如文件档案、计算机硬盘、打印媒体、云服务器等)的安全和逻辑存储系统(如数据库)的安全。

第三章 职责权限

第四条 保障服务中心-数据库运维岗,主要履行的职责包括但不限于:

(一)协助制定存储媒体、逻辑存储系统访问和使用相关的安全管理规范;

(二)组织业务团队人员定期对使用的存储媒体、逻辑存储系统进行安全检查,并留存记录;

(三)负责监督存储媒体、逻辑存储安全管理制度的执行情况,及时发现存在的问题,并上报数据安全领导小组办公室;

(四)负责存储媒体、逻辑存储系统的日常维护、巡检以及策略调整;

(五)负责建立数据保管清单,对云服务器上采购的服务进行梳理,并定期进行核查。

第四章 存储媒体安全管理

第五条 存储媒体采购规范

(一)存储媒体由存储媒体安全管理部门进行统一采购;

(二)存储媒体采购时严格遵循北京思度咨询科技有限公司申报、审批、采购、标识、入账、使用的流程;

(三)存储媒体采购需要建立可信的渠道提供商,选择可靠的品牌,确保产品质量;

(四)存储媒体采购中应进行防病毒等安全性检测,在确保安全的情况下入账。

第六条 存储媒体存放规范

(一)存储媒体存放环境应有防火、防盗、防水、防震、防腐蚀等措施,防止其被盗、被毁、被未授权修改以及其信息的非法泄露;

(二)存储媒体必须具有明确的分类标识,标识须包括归属、大小、保密程度等,存储媒体的标识必须醒目;

(三)建立存储媒体保管清单,由保障服务中心-数据库运维岗定期根据保管清单对存储媒体的使用现状进行检查,检查内容包括完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)等,确保存储媒体的使用符合机构公布的关于存储媒体使用的制度。

第七条 存储媒体使用规范

(一)新启用的存储媒体或使用移动存储介质时,必须进行安全检查和查杀病毒处理;

(二)非本单位的移动存储介质一律不得和涉密计算机连接;

(三)涉密和非涉密的存储媒体禁止交叉使用;

(四)如使用移动介质转移存储敏感数据,需在使用前格式化,并在使用后立即删除敏感数据。

第八条 云服务器账户及口令需遵循以下管理要求:

(一)严禁不同的云服务器使用相同的账户与口令;

(二)云服务器用户账户与管理员账户分离;

(三)云服务器的账号和口令的安全设置应遵循北京思度咨询科技有限公司对账号及口令的管理要求执行。

第九条 部署于云服务器上系统安全配置需遵循以下管理要求:

(一)由保障服务中心-数据库运维岗人员定期检查云服务器的配置基线,当发现不合规项时,提出配置基线变更的申请;

(二)数据安全领导小组办公室负责组织制定安全配置基线策略;

(三)应有日志功能记录所有用户的登录时间、操作记录;

(四)日志的访问、保存及分析等安全策略要求按照北京思度咨询科技有限公司数据分析安全管理要求执行。

第五章 逻辑存储安全管理

第十条 逻辑存储系统账号管理

(一)申请人需使用同一而规范的申请表提出用户账号创建、修改、删除、禁用等申请;

(二)在受理申请时,保障服务中心-数据库运维岗根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号和权限。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号;

(三)当用户岗位和权限发生变化时,应主动申请所需逻辑存储系统过的账号和权限;

(四)用户账号口令的发放要严格保密,用户必须及时更改初始口令;

(五)账号口令最小长度为6位,并要求具有一定的复杂度,账号口令需定期更改,账号口令的更新周期不得超过90天;

(六)严禁共享个人用户账号口令。

第十一条 逻辑存储系统访问控制

(一)保障服务中心-数据库运维岗需制定逻辑存储系统的访问规则,所有使用的用户都必须按规定执行,以确保逻辑存储设备和业务数据的安全;

(二)对逻辑存储系统进行设置,保证在进入系统前必须执行登录操作,并且记录登录成功与失败的日志;

(三)保障服务中心-数据库运维岗必须确保用户的权限被限定在许可的范围内,同时能够访问到有权访问的信息;

(四)访问控制的规则和权限应结合实际情况,并记录在案。

第十二条 病毒和补丁管理

(一)保障服务中心-数据库运维岗定期进行病毒检测,发现病毒立即处理并通知上级领导部门或专职人员;

(二)逻辑存储系统应及时升级或安装安全补丁,弥补系统漏洞;必须为逻辑存储服务器做好病毒及木马的实时监测,及时升级病毒库;

(三)未经保障服务中心-数据库运维岗许可,不得在逻辑存储系统上安装新软件,若确为需要安装,安装前应进行病毒检查。

第十三条 日志管理

(一)定期检查逻辑存储系统上的安全日志进行检查,对错误、异常、警告等日志进行分析判断,并将判读结果进行有效解决处理并记录存档;

(二)逻辑存储系统上的日志要定期备份,以便帮助用户了解在与安全相关的事物中所涉及到的操作、流程以及事件的整体信息。

第十四条 逻辑存储系统安全配置要求

(一)账号管理与授权

1、删除或锁定可能无用的账户;

2、按照用户角色分配不同权限的账号;

3、口令策略设置符合复杂度要求;

4、设定不能重复的口令;

5、口令生存期不得长于90天;

6、设定连续认证失败次数。

(二)日志配置要求

1、审核策略设置为成功失败都要审核;

2、设置日志查看器大小。

(三)其他配置要求

1、安装防病毒软件;

2、设置带密码的屏幕保护;

3、交互式登录不显示上次登录用户名。

(四)内部数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置。

第六章 附则

第十五条:本规范由数据安全领导小组办公室负责制定、解释和修改。

第十六条:对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。

第十七条:本规范自发布之日起执行。

Back to top