商業(yè)秘密數據在不同階段需要受到嚴格的保護,尤其是非結構化商業(yè)秘密數據。本文將詳細探討非結構化商業(yè)秘密數據在不同階段的安全保護要求和措施。

一、形成階段數據安全

商業(yè)秘密數據在形成階段需要經歷明確的安全定密過程,以確保其安全性和保密性。以下是形成階段的安全保護要求:

密級標識管理:應采取統(tǒng)一的定密標識管理,包括統(tǒng)一定密和定密標識變更等措施。

密級標識設置:服務器、應用系統(tǒng)、數據庫等存儲商業(yè)秘密數據的設備和載體應設置并管理密級標識。

不可篡改性:密級標識本身應不可分離,并且不可篡改。

標識結構:密級標識應包括單位規(guī)范簡稱或標識、密級、保密期限等三個部分。

變更標識:商業(yè)秘密的密級和保密期限發(fā)生變更時,應在原標識位置附近明顯標注新信息,同時廢除原標識。

加密保護:終端上創(chuàng)建的商業(yè)秘密數據及其使用過程中產生的數據應采取加密等技術進行保護。

訪問控制:商業(yè)秘密數據的知悉范圍和訪問權限應進行細粒度的控制。

安全審計:商業(yè)秘密數據在形成階段的操作行為應進行安全審計,并生成安全審計統(tǒng)計分析報告。

二、流轉與應用階段數據安全

在商業(yè)秘密數據流轉與應用階段,重要的是確保數據的安全管控。以下是相關的安全保護要求:

1.流轉過程控制

數據傳輸保護:商業(yè)秘密數據在非內部網絡傳輸時,應采取商用密碼加密等技術進行保護,以防止信息被竊取。

數字簽名:采用數字簽名和時間戳等技術,以防止參與通信的雙方或一方對自己的行為進行否認。

網絡嗅探工具禁止:在運行商業(yè)秘密信息系統(tǒng)的網絡中,不得使用帶有網絡嗅探功能的工具或設備,以防止未經授權的監(jiān)控。

郵件和網頁審計:對電子郵件、網頁訪問、FTP、P2P等軟件的使用應采取黑/白名單方式管理,并進行審計。

2.應用控制

權限設置:對不同類別的商業(yè)秘密數據應根據企業(yè)實際情況設置相應的權限,確保只有授權人員可以訪問和編輯。

審計操作行為:對商業(yè)秘密數據的應用操作行為應進行審計,對違規(guī)操作行為進行報警,并保存審計記錄至少半年。

不影響正常業(yè)務:商業(yè)秘密數據的管理和控制不應影響員工的正常編輯、閱讀、數據處理等業(yè)務操作,同時不受網絡連通狀況的影響。

三、外發(fā)過程控制

審批與授權:商業(yè)秘密數據的外發(fā)行為應經過審批和授權控制。

權限控制:對商業(yè)秘密數據的知悉范圍和權限應進行精確控制,包括限制閱讀人員、閱讀次數和閱讀期限。

數據加密:外發(fā)的商業(yè)秘密數據內容應采用數據加密等安全技術進行保護。

審計外發(fā)行為:對商業(yè)秘密數據的外發(fā)行為應進行審計,對違規(guī)操作行為進行報警,并保存審計記錄至少半年。

四、存儲階段數據安全

商業(yè)秘密數據在存儲階段需要受到特別的保護,以確保不被泄露或竊取。以下是相關的安全保護要求:

1.終端存儲保護

加密技術:終端上的商業(yè)秘密數據應采用商用密碼加密等技術進行保護,同時實施讀寫訪問控制,以防止數據泄露。

審批和審計:商業(yè)秘密數據導出時應經過審批,審批過程應可審計。

移動存儲介質保護:使用移動存儲介質時應進行嚴格的授權訪問控制,確保數據安全。

2.服務器存儲保護

數據加密:商業(yè)秘密數據在服務器中存儲應采取商用密碼加密等技術進行保護,以防止數據被竊取。

完整性監(jiān)測:應對存儲的商業(yè)秘密數據采取完整性監(jiān)測措施,以防止數據被篡改。

訪問控制:對于保存在服務器上的商業(yè)秘密數據應實行訪問控制,防止未經授權的訪問。

維修處理:需要維修的服務器存儲介質應進行數據擦除,確保數據不被泄露。

五、脫密及銷毀階段數據安全

最后,在商業(yè)秘密數據的脫密和銷毀階段需要采取以下安全措施:

脫密審批和審計:商業(yè)秘密數據的脫密應經過審批,審批過程應可審計,對脫密的商業(yè)秘密數據進行審計。

數據銷毀:商業(yè)秘密數據銷毀后,應對處理商業(yè)秘密數據的載體進行數據擦除和銷毀。

自動銷毀:超出使用權限的外發(fā)商業(yè)秘密數據應自動銷毀,以防止越權訪問。

綜上所述,非結構化商業(yè)秘密數據的安全保護要求包括形成階段的定密管理、流轉與應用階段的數據管控、存儲階段的保密措施,以及脫密及銷毀階段的安全處理。企業(yè)需要綜合考慮這些要求,以確保商業(yè)秘密數據在整個生命周期內得到充分的保護。