1、 科学技术委员会介质安全管理制度科委保留所有权利。未经版权所有者的书面许可,禁止通过直接复印机、缩微胶片、静电复印术或任何其他方式以任何形式分发本文任何部分。修订及复核记录修订记录版次起草复核批准发行日期摘要审核栏条目姓名审核日期批准复核起草目录第一章 总 则4第二章 术语解释4第三章 人员及职责4第四章 原 则4第五章 标 准55.1 介质标识 55.2 介质传递55.3 介质访问55.4 介质保管65.5 介质销毁65.6 系统文档的安全7第六章 检查表7第七章 相关记录9第八章 相关文件9第九章 附 则9附件一 介质清单表9附件二:介质进出记录表10附件三:介质授权记录表10附件四:介质
2、销毁记录表10附件五:备份介质更换记录表11第一章 总 则第一条 为保障科学技术委员会存储介质里的信息安全,对存储介质的标识、传递、访问、保管、销毁等活动提供明确的安全管理规定;第二条 科学技术委员会科委信息中心管理人员对磁带、磁盘、光盘、硬盘等存储介质进行的所有安全管理活动;第二章 术语解释第三条 存储介质:指用于科学技术委员会各类业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘等;第四条 介质安全管理员:是科委信息中心一个管理可移动存储介质的人;第五条 附件中的经手人,即为负责跟踪介质进出及销毁的记录人;第三章 人员及职责第六条 存储介质管理员:对存储介质的出入库,使
3、用和销毁必须填写相应的记录表;第七条 介质授权人:负责对存储介质的出入库,使用和销毁做授权;第四章 原 则第八条 在科学技术委员会进行日常业务工作涉及存储介质的使用时,必须填写相关申请表单并得到科委信息中心管理人员的授权;第九条 存储介质的归档必须有制度与记录;第十条 存储介质的销毁必须获得科委信息中心管理人员的批准和按指定方式进行;第十一条 确保有关存储介质的记录必须包括对其进行的任何操作;第十二条 存储介质的清单必须包括任何有存储信息的物理设备;第五章 标 准第十三条 以下从介质标识、介质传递、介质访问、介质保管、介质销毁和系统文件的安全等几方面进行了说明;5.1 介质标识第十四条 存储介
4、质的标签必须放在较容易看到的地方,此标签必须在存储介质的表面上出现;第十五条 存储介质要全面考虑数据分类标签的需求,如磁带、磁盘及其它存储介质等有不同的分类标签;第十六条 必须对存储介质进行分类,标明介质的重要程度,介质重要程度。5.2 介质传递第十七条 存储介质被运离或送到本单位外时,需要将介质进行妥善包裹并用防篡改的封条封住;第十八条 含有保密信息的存储介质在传递过程中必须由相关当事人亲自交给接受方;第十九条 当存储介质中含有机密信息、被邮递或在内部传输必须被放在标记的密封套子或是包装盒中。机密信息被邮递或是传输到外部时,内部的标签需要明确标记为单位密件,外盒或封套不要标记单位机密字样;机
5、密信息如必须经传递到外部时,经机要局专门快递,不使用任何社会公共快递系统;第二十条 介质安全管理员对存储介质库中介质的转移和支配应该被有效记录并且是可追踪的。5.3 介质访问第二十一条 安装和使用存储设备时必须防止非授权的访问;第二十二条 如果将存储介质给第三方使用,需要介质安全管理员确认机密信息已经清除;第二十三条 必须对所有存储介质的出库和入库及其保持记录进行控制,如要被从库中移出,移出请求应该由一个人完成并且需要相关领导签字同意,并注明原因和移出时间;第二十四条 所有含有本单位内部信息的存储介质对外部人员都是保密的,严禁非本单位的员工、顾问和合作方带走;如更换属于合作方保修范围内的损坏介
6、质,需要和合作方签订保密协议,以防止泄漏其中的保密信息;第二十五条 当携带存储介质离开本单位时必须申请通行证,所有此类物品必须在介质安全管理员处记录;5.4 介质保管第二十六条 存储介质保存的环境要求(防火、电力、空调、湿度、静电及其他环境保护措施);第二十七条 对含有机密和绝密信息的存储介质,要存放在保密室里;第二十八条 对磁带库的原始的存储目录清单必须建立,完整原始的可记录清单(包括相关文档)必须经相关人员同意,以备将来使用。对备用目录清单至少一年盘点一次。介质安全管理员可以参与这个调查过程,但需入库操作不直接相关的人参加这个盘点。详细目录文档(包括相关文档),存储介质目录清单的管理人负责
7、执行盘点控制的流程,并且存储必须每年盘点一次。当磁带库所有权发生变化时,必须进行一次存储库盘点;第二十九条 任何的存储介质盘点与检查出现差异必须报告给科学技术委员会科委信息中心主任,并且介质库房的所有介质,包括打开过的空白带、格式化过的、擦除过的、媒体操作装置中的都必须包括在清单盘点中。对存储介质库房负责的管理者必须对所有的清单文档签字;5.5 介质销毁第三十条 任何计算机存储介质不再用于存储保密信息之前,必须要进行格式化和多次重写操作;第三十一条 存储介质的销毁首先要提交销毁申请给科委信息中心相关领导,经领导批准方可执行销毁(没有批准的销毁是犯罪行为);第三十二条 对含有机密信息的存储介质不
8、再使用时,应提供专门的垃圾箱,便于销毁这些垃圾箱中的内容,以使这些信息不能使用,并与本地的保密局安全工作人员联系,销毁这些机密信息存储介质;第三十三条 如果涉及第三方通过存储介质提供信息,并要求返回存储介质时,保证介质内容已经销毁;第三十四条 存储介质上清除(指残余信息不足以用任何手段恢复数据)保密信息后,必须执行重复写操作防止数据恢复;第三十五条 含有硬拷贝形式的保密信息存储介质的报废处理方式是切碎或者烧毁;第三十六条 磁带、磁盘、光盘、硬盘等存储介质的报废处理方式为切碎或者烧毁。5.6 系统文档的安全第三十七条 对系统文档的存储,要有专人保管;第三十八条 对系统文档的访问授权应保持最少量,
9、并要经过管理代表授权;第三十九条 不要将系统文档存放在公共网络上,如果要保存一定要有备份,而且文档一定要设置符合密码管理策略的密码。第六章 检查表介质安全管理规定检查表编号检查点检查内容检查方法检查周期1介质标识各类存储介质是否均贴有标签察看介质表面每季度2介质标识不同类型的介质是否使用不同类的标签察看介质表面每月3介质传递当存储介质中含有机密信息时,在被邮递或在内部传输必须被放在标记的密封套子或是包装盒中检查传送记录每周4介质传递介质安全管理员对存储介质库中介质的转移和支配应该应留有记录的检查传送记录每周5介质访问对存储介质的访问必须经过授权察看授权单每月6介质保管对存储介质进行盘点察看盘点
10、报告每季度7介质销毁存储介质的销毁需要相关领导的批准看销毁记录单每半年8系统文档的安全系统文件需要专人保管察看授权单每季度第七章 相关记录介质清单、介质进出记录表、介质授权记录表、介质销毁记录表、备份介质更换记录表第八章 相关文件信息资产安全管理规定、数据备份与恢复管理规定第九章 附 则第四十条 本管理规定自发布之日起开始实施;第四十一条 本管理规定的解释和修改权属于科学技术委员会科委信息中心;第四十二条 科学技术委员会每年统一检查和评估本管理规定,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。附件一 介质清单表介质名称介质编号介质类型介质标识重要程度存放位置保管人备注附件二:介质进出记录表介质名称介质编号进/出事因来源/出处进/出时间经手人审批人备注附件三:介质授权记录表介质名称授权事由授权内容授权时间授权人被授权人备注附件四:介质销毁记录表介质名称介质编号销毁事因销毁方式销毁时间经手人审批人备注附件五:备份介质更换记录表数据名称存放地点原备份介质新备份介质更换人更换日期编号类型数量编号类型数量备注:主管部门总监每半年审核一次。审核意见主管部门领导审核签字签字日期
