移動介質(zhì)使用管理規(guī)定

1、精選優(yōu)質(zhì)文檔-傾情為你奉上文件編制、審批、修改頁版次生效日期修改編號修訂內(nèi)容A/0第一版版次編制/日期部門審核/日期體系審核/日期審定/日期批準(zhǔn)/日期A/0表單編號：P-RD-010-01-001-A/1專心-專注-專業(yè)移動介質(zhì)使用管理規(guī)定1 目的妥善的管理和物理上的保護(hù)存儲介質(zhì)，使它們免遭破壞、偷盜和未經(jīng)授權(quán)的訪問。2 范圍適用于公司配發(fā)移動介質(zhì)。3 職責(zé)3.1 綜合辦負(fù)責(zé)建立可移動存儲介質(zhì)清單和發(fā)放控制；3.2 各使用人員負(fù)責(zé)按照公司要求安全處理存儲介質(zhì)。4 工作程序及內(nèi)容4.1 計算機(jī)信息系統(tǒng)的存儲介質(zhì)主要包括磁盤、磁帶、光盤、盒式磁帶、打印文件等。存儲介質(zhì)應(yīng)得到妥善的管理和物理上的保護(hù)

2、，使它們免遭破壞、偷盜和未經(jīng)授權(quán)的訪問。4.2 可移動存儲介質(zhì)的管理4.2.1 存儲介質(zhì)在不用的時候，應(yīng)當(dāng)?shù)玫桨踩卮娣牛貏e是存有敏感信息和數(shù)據(jù)的介質(zhì)更不能隨意放置，以防被泄露。4.2.2 可移動存儲介質(zhì)系統(tǒng)科建立清單，明確相應(yīng)的責(zé)任人和使用人。4.2.3 對于從企業(yè)中移走的可重復(fù)使用的存儲介質(zhì)，不再需要時應(yīng)及時刪除；4.2.4 所有的存儲介質(zhì)應(yīng)保存在符合其要求的安全環(huán)境中。4.3 存儲介質(zhì)的處理4.3.1 可能需要安全處置的物品如下：書面文件、錄音或其他形式的記錄、復(fù)寫紙、輸出報告、一次性打印色帶、磁帶、可移動的磁盤或磁帶、光學(xué)存儲媒體(包括所有形式和所有制造商制造的軟件分銷媒體)、程序列

3、表、測試數(shù)據(jù)、系統(tǒng)文檔等。4.3.2 對載有敏感信息的媒體應(yīng)加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞接尚畔⒅行募右蕴幹?，如焚燒或碎片，或在清空?shù)據(jù)后供本組織的其他機(jī)構(gòu)使用。4.3.3 選擇一個適當(dāng)?shù)挠凶銐虻目刂拼胧┖徒?jīng)驗(yàn)的承包商收購和處理文件、設(shè)備和媒體，并和承包商簽訂安全協(xié)議。4.4 信息處理程序4.4.1 所有介質(zhì)按照信息資產(chǎn)要求進(jìn)行標(biāo)注和處理，明確責(zé)任人和使用人員；4.4.2 對訪問進(jìn)行限制以識別未授權(quán)的人員；4.4.3 保留數(shù)據(jù)的合法收件人的正式記錄；4.4.4 確保輸入數(shù)據(jù)的完整性、處理過程得以正確完成及對輸出的有效確認(rèn)；4.4.5 對等待輸出的數(shù)據(jù)采取與其敏感性相應(yīng)的保護(hù)；4.4.6 把

4、媒體存放在符合制造商規(guī)定的環(huán)境中；4.4.7 盡量減少數(shù)據(jù)的分發(fā)；4.4.8 對所有的數(shù)據(jù)副本進(jìn)行清楚標(biāo)示,以引起其合法接收人員的注意；4.4.9 定期對分發(fā)清單和合法收件人的名單進(jìn)行回顧。4.5 系統(tǒng)文檔安全系統(tǒng)文檔可能載有系列敏感信息,如對應(yīng)用程序、流程、數(shù)據(jù)結(jié)構(gòu)、授權(quán)過程的描述。 應(yīng)當(dāng)考慮下面的控制措施以保護(hù)系統(tǒng)文檔免受未授權(quán)的訪問。4.5.1 系統(tǒng)文檔應(yīng)當(dāng)被安全地保存。4.5.2 系統(tǒng)文檔的訪問清單要盡量簡潔，并要經(jīng)過應(yīng)用者的授權(quán)。4.5.3 保留在公共網(wǎng)絡(luò)上的或通過公共網(wǎng)絡(luò)所提供的系統(tǒng)文檔應(yīng)當(dāng)被適當(dāng)?shù)乇Ｗo(hù)4.6 安全移動存儲介質(zhì)的策略4.6.1 安全移動存儲介質(zhì)管理系統(tǒng)將存儲介質(zhì)和制

5、定的一臺或多臺內(nèi)網(wǎng)計算機(jī)進(jìn)行信息綁定，在同一安全策略控制下，這些被綁定的計算機(jī)就構(gòu)成同一個信任域。只有屬于同一信任域的內(nèi)網(wǎng)計算機(jī)能夠使用注冊過的存儲介質(zhì)進(jìn)行信息交換。4.6.2 安全移動存儲介質(zhì)管理系統(tǒng)支持兩種安全控制策略。安全控制策略一即單獨(dú)保密區(qū)策略。安全控制策略二即保密區(qū)加交換區(qū)策略。4.6.3 安全控制策略一是指存儲介質(zhì)只允許設(shè)置數(shù)據(jù)加密的保密區(qū)，只有屬于同一信任域的內(nèi)網(wǎng)計算機(jī)能夠正常讀寫保密區(qū)數(shù)據(jù)，存儲介質(zhì)與其他計算機(jī)的信息交換必須借助中間機(jī)完成。4.6.4 安全控制策略二是指存儲介質(zhì)可設(shè)置為保密區(qū)和交換區(qū)兩個區(qū)，屬于同一信任域的內(nèi)網(wǎng)計算機(jī)能夠正常讀寫存儲介質(zhì)的兩個區(qū)，其他計算機(jī)通過

6、口令認(rèn)證后可使用交換區(qū)。4.7 安全移動存儲介質(zhì)的配發(fā)4.7.1 各部門應(yīng)按照規(guī)定的范圍發(fā)放和使用安全移動存儲介質(zhì)。安全移動硬盤的配發(fā)根據(jù)部門業(yè)務(wù)工作性質(zhì)、員工數(shù)量等，按比例配，由各部門制定專人負(fù)責(zé)管理。4.7.3 公司內(nèi)網(wǎng)計算機(jī)均應(yīng)安裝安全移動存儲介質(zhì)管理系統(tǒng)客戶端軟件。員工內(nèi)網(wǎng)計算機(jī)若因特殊情況不安裝安全移動存儲介質(zhì)客戶端，須經(jīng)部門主要負(fù)責(zé)人和公司信息安全歸口管理部門負(fù)責(zé)人簽字同意。4.7.2 根據(jù)需要及所選擇策略為部門配置中間機(jī)，各部門制定專人進(jìn)行管理。4.7.3 各部門和員工現(xiàn)有的移動存儲介質(zhì)經(jīng)過注冊、編號后，也可作為安全移動存儲介質(zhì)使用。4.8 安全移動存儲介質(zhì)的使用4.8.1 安全移動存儲介質(zhì)應(yīng)當(dāng)用于存儲工作信息，不得用于其它用途。涉及公司企業(yè)秘密的信息必須存放在保密區(qū)，不得使用普通存儲介質(zhì)存儲涉及公司企業(yè)秘密的信息。4.8.2 禁止將安全移動存儲介質(zhì)中涉及公司企業(yè)秘密的信息拷貝到外網(wǎng)計算機(jī)，禁止在外網(wǎng)計算機(jī)上保存、處理涉及公