信息安全技术 存储介质数据恢复服务安全规范.docx

《信息安全技术 存储介质数据恢复服务安全规范.docx》由会员分享，可在线阅读，更多相关《信息安全技术 存储介质数据恢复服务安全规范.docx（22页珍藏版）》请在优知文库上搜索。

1、ICS35.030CSS1.80中华人民共和国国家标准GB/TXXXXX-XXXX信息安全技术存储介质数据恢复服务安全规范Informationsecuritytechno1.ogySecurityspecificationofdatarecoveryserviceforstoragemedia在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上。（征求意见稿）本稿完成时间：2023-08-21国家市场监督管理总局国家标准化管理委员会XXXX-XX-XXXXXX-XX-XX实施发布1范国本文件规定了存储介质数据恢及眼分的安全原则、安全管理要求和安全实施要求，并描述了满足安全管理要求和安全

2、实施要求的评价方法。本文件玷用于指导行储介质数据恢史服务机构针对非涉及国家秘密的数据恢发服务的实施和管理、存谛介质数据恢复服务机构的白评价和第三方监督评审,也适用于存储服务使用舱位采的数据恢复服务的评价.2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.我中，注日期的引用文件,仅该11期对应的版本适用于本文件；不注I1.期的引用文件，其最新版本包括所有的改单适用于本文件。GB50073洁净厂房设计规范GB50174电子信息系绘机房设计规范GB/T25069-2022信息安全技术术语3术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件.电子数

3、据e1.ectronicdata狼于计算机应用和通信等电子化技术手段形成的客观资料，般用以表示文字、图形符号、多媒体等信息，包括以电子形式存谛、处理或传输的峥态数据和动态数据。3.2存储媒体storagemedia存储介质承我电子数据（3.D的各类载体或设备，包括但不限于计算机硬盘、磁带、软盘、光盘、各种形式的存储卡、存储芯片等.来源：GB/T250692022,3.94,有修改：添加同义术语中文“存储介质”3.3数据恢复datarecovery通过专门的计算机软现件技术,再生成（复原存储介质（3.2）内己钱丢失或被破坏的电子数据（3.1）的过程。3.4数据恢复服务datarecoveryse

4、rvice格无法正常读取的数规从存储介质（3.2）中复原，使其能正常使用.3.5镜像生成imaginggeneration通过逐比特红制获得与被更制数据完全一致的电子数据3.1）的过程.3.6镜像数据，magcdata钺像生成（3.5）的数据.3.7硬件故障physica1.damage由于存储介质（3.2硬件损坏而造成数据无法访问的故障,一般是指电路故障、机械故障、固件故障等.3.8逻辑故障1.ogica1.damage由于存储介质（3.2中数据损坏而造成用户数据无法访问的故障，一般是指操作系统故障、应用程序故障、用户误操作、计算机病毒破坏等.3.9开盘修复interiordiskrepai

5、ring打开硬盘盘体或拆收存谛芯片,修红存储介质（3.2硬件故障（3.7）的操作.3.10数据销毁datadestruction使用数据覆盖、介质消磁、便件破坏等技术手段,消除存储介质（3.2）上部分或全部数据的操作.3 .11写保护Writeprotect保证存储介质（3.2中电子数据3,1无法被修改的防护措施。3.12远程数据恢复remotedatarecovery通过网络实现的数据恢发服务（3.4）方式。4概述和原则4 1概述存储介质数据恢更服务是数据处理的一种特殊形式,是网络安全保障的关键环节,共数据恢复级别划分为基本级数据恢笑服务和增强级数据恢复服务，增强级数非恢登眼芬的要求是对基本

6、欲的增加和强化。4. 2原则实脩存储介脑数据恢复服务遵循如下基本原则：a）合规原则：符合涉及数据核或的法律法规和标准；b）可用性原则：恢发的数据可被授权用户正确访问和使用：C）保密性原则：服务过程中用户的个人信息及存储介质中的数据不被非授权个人、实体处理：d）完整性原则：数据恢配过程中确保用户送脩存储介质中的数据不被更改：e）可审计原则：检保数据恢复眼务实施各流程的操作可追溯：f）合作原则：数据恢复极务提供方和需求方通力合作，共同保障数据核更眼务安全.5安全管理要求4.1 机构4.1.1 基本要求机构安全管理基本要求如下：a）应具备合法经营资格：b）法定代表人、主要负说人、实际控制人应无犯罪行

7、为记录且未被列入失信人员名单：c）应具备与开展数据恢复业务相匹配的专业技术团队：d）应具得保护用户数据安全、防止数据泄羯的防护措施，4.1.2 增强要求机构安全管理埴强要求如下：a）应是在中华人民扶和国境内依法成立一年以上的法人：b）应设立数据安全管理机构协询配置必要的人力、物力、资金等资源保障用户数据安全：c）数据安全管理机构负击人应由从业机构最高负责人担任，成员应包括机构高层管理人员和业务仪设人，将负出人和工作职贡描述记录在文档之中，并向全机构进行通告；（1）应隹立业务全流程数据安全权限管理制度,进行必要的联责分离以防止对快复数据未经授权的访问和数据泄露：e）应建立数据安全应急处就和报告机

8、制，发生数据安全事件时及时启动应急响应机制，采取措施防止危古扩大，消除安全患，并记录处置过程，包括人员、时间、对象、方式等关键信息；f）应提而数据安全意识,制定业务培训制度,包括，开展网络安全法、数据安全法、个人信息保护法、反间读法笄安全意识教育和培训,为所有员工（包括管理层制定并实施培训计划.定期对相关人员进行安全意识培训、技术培训和技能考核，并对过程和结果诳行记录：应定期开展数据安全各项管理制度执行情况的内部监督检杳、评审和改进。4.2 人员4.2.1 基本要求人员安全管理基本要求如下：a）应对拟任联人员进行犯罪记录调交和信用调杳：b）应对拟任职人员进行任职审查.确认任职资格：c）应制定从

9、业人员管理制度，如关键岗位人员签订保密协议，说明与职位和安全相关的要求及其员任，并为任职人其分配唯一的身份标识，定期迸行尽职考核并进行奖惩；（1）应与从业机构签署劳动合同，无历史违规行为或事件的声明、相关离职要求等文件和声明：e）应具有良好的计算机应用知识.熟悉计算机系统结构、数据存储原理等专业知识：。应熟悉数据安全基本知识，如数据安全基本概念、数据安全技术、数据安全保障等：g）实施存储介桢逻辑故障恢发的技术人员应掌握各种应J1.J操作系统、文件系统的基础理改知识和相关软件和设需使用方法，具有处理设辑故障的能力：h）实施存储介质现件故障恢复的技术人员应掌握各类集成电路、现盘结构、存储芯片的范础

10、理论知识和相关软件和设招使用方法,具有处理埋件故障的能力。5. 2.2增强要求从业人员安全管理增强要求如下：a）应建立临时人员（包含短期工作人员或第三方合作人员）职费文档，应明确短期工作人员或第三方合作人员（例如代岗人员、学生、实习生等）的要求和贲住：b）临时人员不应参与重要数掘级别以上的数据恢曳业务服务，5. 3环境5. 3.1服务场所5. 3.1.1基本要求眼务场所安全管理基本要求如下：a）应具有与服务基本相匹配的独立的、面枳适宜的、配符相关设备和消防设施的服务场所：b）应根据不同的功能划分相互独立的用户接待区、数据恢复工作区和管理办公区：C）应具备独立的机房，专门用于数据慢或的技术实施，

11、实施硬盘开盘怪复操作应在不低于六级沽净等级的洁净环境中进行。机房建设要求应按照GB50174的C娘，洁净环境建设要求应按照GB50073：d）机房应安装烹码门禁系统,只允许数据恢复工作人员进入，其他人员进入应经过审批：C）机房应安装录像监控系统，监控范阳应图放整个机房，旦录像记录应至少保存3个月：f）应设置安全管理员并定期检交机房设备设施的运游情况.查般相关日志信息,及时排杳故障除患：g）机房内的资料、数据、航跟参数等信息应妥部保管未经批准不应以任何形式提供给其它无关人员。6. 3.1.2增强要求服芬场所安全管理增强要求如下：a）应安装双向刷卡和密码门禁/生物识别系统，只允许被授权数据快处工作

12、人员进入，其他人M进入应经过审批：b）建立机房资料、数据、软硬件配置麴数消单,所有信息应分类保存.执行严格的审核制度访问.未经批准不应以任何形式提供给其它无关人员：c）应建立机房安全区域管理制度，访问登记制度，并定期核杳执行情况；机房应设立处理JR要数据级别以上的安全区域，在安全区域建立适当的进入控制措施以确保只有得到授权的人员才能进入：外部人员访问该区域前先提出书面申请,经批准后由专人全程陪同或监野,并登记备案.53.2设施设备5. 3.2.1基本要求设施设备安全管理法本要求如下；a）应按照附件1配符实施数据修复限务若要的软、埋件工具:b）应建立设备维护和管理清单：c）应做到所有设法专机专用

13、，定机定而，不应安装使用与数据恢复无关的应用程序：d）应区分用于远程数据恢H的计尊机，在数据快女过程中，除用于远程数据恢发的计算机外，其他设备不应连接互联网：遹过N络传输的数据文件应经过加密：e）未经批准，不应改变现有设备的配置：O存储介质管理应遵循易取易存原则，集中存放、分类管理（包括用户盘、工作做、备件盘）;X）应建立专用的存储介质库，并指定存储介质管理员负责对存储介质库的维护和管理工作：h）应严格执行存储介施出入库管理制度,未经批准，不应将存储介质带出机房：i）应建立存储介痂档案，包括：对存储介质逐一编号，详细记录其砧牌、型号、容盘、序列号及性能等信息；j）用户存储介质应粘贴唯一性标签，

14、同一工作单的用户行储介质应集中放置一处，并在专门防磁、防静电的存储环境中保存.6. 3.2.2增强要求设旗设符安全管理增强要求如卜Ia）应做到所有设的专机专用.定人定岗定机定货.不应安装使用与数据愦复无关的应用程序：b）未经审批许可不应提供远程数据修坡服务：c）应建立设在变更制度，未羟批准，不应改变现有设备的配比，对软硬件配置的正大变更，应先形成方案文件，经论证并获得相关负好人批准后，由具备资格的技术人员进行更改,并保序更改和操作记录：d）应建立设备使用记录清胞，专用设备只能由钱授权人员进行操作（证实方法中增加不应加入外来移动存储介质）；e）应定期检测设莅运转情况，进行必要的升段维护，保障设符

15、运依正常并详细记录检杳情况和问题改进：f）应建立专用的存储介质库，弁指定存储介质笆理员负由对存储介质诲的维护和管埋JS作：成建立出入库登记制度，并定期做点，详细记录制度执行情况；g）设立安全管理员对存储介质的管理过程进行监督；h）应建立存储介质访问和生命周期管理机制,记录使用情况以及相关责任人.定期盘点,如果含有数据的存储介质报废不再使用，及时进行信息彻底捌除或物理销毁：i）应选择合格合规的设施设备供应商，确保设法使用的安全性、可用性和可追溯性，7. 4质Ig控制8. 4.1基本要求质地控制安全管理基本要求如下：a）应建立服务质St目标,用户满意度不低于80%,并明确目标在机构的各级人员得到理解和执行:b）应确认质疑控制人，制定业务执行流程手册：C）应制定并实行顷品抽查要求和实旗流程文档；d）应建立便捷的数据安全投诉举报机制，并对举报及时受理、处置数据安全投诉举报并记录处理情况.9. 4.2增强要求质控制安全管理增演要求如下：a）应建立服务质量目标,用户满意度不低于9y.并明确目标在机构的各级人员得到理解和执行:b）应制定