1、版本记录版本号版本日期编写人审核人审批人说 明 目 录第一章总则1第二章存储介质安全管理要求1第三章附则5第一章 总则第一条 为保障存储介质的信息安全,对存储介质的使用、存储、携带、记录、清单等活动提供明确的安全管理要求,制定本细则。第二条 本细则适用于管理人员对磁带、磁盘、光盘、硬盘、磁盘阵列等存储介质进行的所有安全管理活动。第二章 存储介质安全管理要求第三条 属于机密的存储介质标志必须放在很容易看到的地方,此标签必须在存储介质的表面上出现;第四条 管理员的存储介质库中介质的转移和支配应该是可记录的;第五条 信息的分类是数据所有者的责任;如果不是用户提出需要,要做所有者标签或分类等特别标签;
2、第六条 保管人控制下的存储介质和用来备份或是用做灾难恢复的,存放在一定安全级别的区域,或是当无人看管时,要将这些介质存放在办公室或保密柜中;第七条 用做一般系统备份的存储介质可以与用户控制下的存储介质分开放置,必须被慎重管理以保证在需要恢复的情况下能够得到,同时必须记录在管理员的目录清单里;第八条 必须对所有存储介质的出库和入库及其保持记录进行控制,如要被从库中移出,应该遵守下面的过程:a) 移出请求应该由一个人完成并且需要主管签字同意,并注明原因和移出时间;b) 磁带管理员应该在申请书上签名且在日志上记下借出日期,当磁带被拿出时,日志应该记录,当这个磁带被返回时,日志应该注明还回日期。第九条
3、 存储介质被运离或送到公司外时,要被放在一个被锁住箱子里,用防篡改的封条封住;第十条 安装和使用存储设备时必须防止非授权的访问;第十一条 对磁带库的原始的存储目录清单必须建立,完整原始的可记录清单(包括相关文档)必须经相关人员同意,以备将来使用。对备用目录清单至少一年盘点一次。管理员可以参与这个调查过程,但需入库操作不直接相关的人参加这个盘点。详细目录文档(包括相关文档一次,存储介质目录清单的管理人负责执行盘点控制的流程,并且存储必须每年盘点一次。当磁带库所有权发生变化时,必须进行一次存储库盘点;第十二条 任何的存储介质盘点与检查出现差异必须报告给部门领导,并且介质库房的所有介质,包括打开过的
4、空白带、格式化过的、擦除过的、媒体操作装置中的都必须包括在清单盘点中。对存储介质库房负责的管理者必须对所有的清单文档签字(包括上次对所有纸件的总数签字);第十三条 当存储介质中含有机密信息、被邮递或在内部传输必须被放在标记的密封套子或是包装盒中。机密信息被邮递或是传输到外部时,内部的标签需要明确标记为公司机密,外盒或封套不要标记公司机密字样;第十四条 对含有机密信息的存储介质应该不能被不需要知道的人知道,不能被放在无人看护的地方,除非这个机密信息介质放在被锁的房间或柜子中,办公室的门和柜子的锁的类型需要经过相关安全部门的核准;各类存储介质必须被某种机制保护,这种机制保证机密信息不被非授权的用户
5、访问;制定硬盘加密,硬盘口令等;第十五条 对含有机密信息的存储介质不再使用时,应提供专门的垃圾箱,便于碎掉这些垃圾箱中的内容,以使这些信息不能使用,并与本地的安全工作人员联系,销毁这些机密信息存储介质。第十六条 存储介质要全面考虑数据分类标签的需求,如磁带,磁盘及其它存储介质等有不同的分类标签;第十七条 对含有信息的存储介质的拷贝要有跟踪,出处、输送,对拷贝的人需要了解具体情况,不允许随便再转发拷贝;第十八条 任何含有机密信息的中间存储介质,都需要做销毁其中信息的处理;第十九条 在拷贝过程中,含有废弃的信息存储介质应该销毁其中内容;第二十条 在拷贝或输出机密信息到存储介质时,需要有人监控(不能
6、让机密信息自行输出到远程存储介质,特别是远程的存储介质是可移动的);第二十一条 对含有机密信息的存储介质,其中的每件表面均需要注明质量和当前件所排的序号;第二十二条 存储介质的保存需要有静电保护措施;第二十三条 如果将存储介质给第三方使用,需要安全中心确认机密信息已经删除;第二十四条 存储介质的销毁也要管理上的批准(没有批准的销毁是犯罪行为);第二十五条 需要有确定的可以接收的归档介质要求(标准,例如至少6个月不能自动消磁);第二十六条 归档介质内的数据内容需要定期测试(确认是否还可用);第二十七条 需要对存储介质归档数据进行保管维护(旦发现数据损害,要重新备份到不同的介质);第二十八条 如果
7、绝密信息通过计算机存储介质传递,那么也要加密;第二十九条 当绝密信息不再使用的时候,也必须加密;第三十条 存储硬盘的信息必须加密;第三十一条 当携带存储介质离开公司时必须需要通行证,所有此类物品必须在门卫处记录;第三十二条 数据中心须对磁带、磁盘和文档库实施访问控制,对这些存储介质的访问必须严格限制为工作职责是管理这些介质的员工;第三十三条 没有批准允许,禁止移动计算机存储设备。第三十四条 必须保证文档在转移、销毁和重用时,所承载的信息已被妥善处理。第三十五条 对长期存放的文档,应该在介质有效期内对信息进行转存,确保信息可用。第三十六条 对于存储敏感信息的文档,在将其销毁时,应该确保存储在其上的所有敏感数据被不可恢复地彻底销毁。第三十七条 对于存储敏感信息的文档,在停止使用后或重用前,应该确保所有敏感数据已被彻底删除或覆盖。第三十八条 对于已毁坏的包含敏感数据的文档,应该对其进行风险评估,以确定是否应该销毁、修理或弃置。第三章 附则第三十九条 本细则由总裁办公室负责解释。第四十条 本细则如与此前发布的相关办法相抵触的,以本细则为准。第四十一条 本细则自发布之日起施行。
