数据安全管理规范

2.2数据信息传输安全要求在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范：必须符合国家有关加密技术的法律法规；根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范：充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施，例如使用公钥证书；确定签名算法的类型、属性以及所用密钥长度；用于数字签名的密钥应不同于用来加密内容的密钥。2.3数据信息安全等级变更要求数据信息安全等级经常需要变更.一般地，数据信息安全等级变更需要由数据资产的所有者进行，然后改变相应的分类并告知信息安全负责人进行备案.。对于数据信息的安全等级，应每年进行评审，只要实际情况