介質管理規(guī)定

1. 目的和范圍

任何信息設備，如：計算機、交換機、打印機、傳真機、復印機等，都需要介質進行存儲，當存儲設備或可移動介質需要轉移或銷毀時，如果處理不當，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。適用于移動存儲設備/介質在本公司辦公場所及房機內的使用管理。

2. 引用文件

(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

(2) iso/iec27001:2005信息技術-安全技術-信息安全管理體系要求

(3) iso/iec27002:2005信息技術-安全技術-信息安全管理實施細則

3. 職責和權限

(1) 綜合部

負責對公司各類的可移動介質和存儲介質的發(fā)放、使用、處置的進行管理。

(2) 介質使用部門和使用者

(3)由部門負責管理的介質，由該部門領導指定專人負責保管。個人使用的介質由本人負責保管。

4. 介質管理

(1)介質分類

1) 技術部對公司使用的介質，進行介質分類，制定《介質管理分類表》。

2) 介質分為一般介質和可移動介質，一般介質包括：計算機存儲介質，可移動介質是指u盤、移動硬盤、數(shù)碼相機、光盤、光盤刻錄機、pda、帶usb接口的mp3/mp4播放器等。

(2)介質使用管理

1) 一般情況下公司禁止使用可移動介質。

2) 確因工作需要使用移動介質，須經(jīng)本部門領導批準后方可到技術部領用。

3) 技術部負責可移動介質的發(fā)放，并填寫《可移動介質授權使用表》。

4) 授權用戶要注意保護自己所屬可移動介質不被盜取。

5) 授權用戶要注意保護自己所屬可移動介質不被盜取。保管時要放置于安全的區(qū)域內，如帶鎖的柜子；

6) 非本公司工作人員禁止在內部網(wǎng)絡設備上使用可移動介質。

7) 各使用人必須每月一次對自己使用的移動介質進行病毒掃描。

8) 使用可移動介質保存公司秘密數(shù)據(jù)時，移動介質必須采用必要的加密措施，防止信息泄露，有條件時使用帶有加密功能的可移動介質設備。

9) 用戶在將可移動介質帶離公司后，要為其上所有信息資源的安全負責，做好安全保護工作。一旦遺失，立刻上報技術部進行登記。

10) 光盤的刻錄：

a) 帶有公司標志的光盤，只能刻錄公司自己的程序軟件，不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫等軟件。

b) 公司銷售時，必須刻錄光盤時，由技術部專門負責人進行刻錄，其他人員不得隨意刻錄光盤。

(3)客戶現(xiàn)場使用規(guī)定

1) 必須嚴格將筆記本病毒防火墻升級到最新。

2) 能使用客戶提供的u盤、移動硬盤的，使用客戶提供的設備。

3) 必須使用自己的u盤、移動硬盤在客戶計算機上使用的，必須先對u盤、移動硬盤進行病毒掃描，保證提供給客戶的設備中不包含病毒。

(4)介質處置

1) 技術部對介質分類表內的介質的廢棄進行統(tǒng)一管理，對廢棄的介質采用恰當?shù)慕橘|處置方法。

2) 計算機硬盤、u盤、可移動硬盤、光盤、數(shù)碼存儲介質等報廢時必須粉碎處理。

3) 對廢棄的可移動介質在《可移動介質授權使用表》中跟蹤填寫廢棄記錄。

4) 對廢棄的一般介質處理填寫《廢棄介質處置記錄》

5) 介質的銷毀方式一般分為一般格式化、低級格式化、專業(yè)軟件重寫、物理粉碎。

6) 對無敏感信息的介質作一般格式化即可，在保證質量的基礎上重新分配和使用。

7) 介質中保存有敏感信息的存儲介質應當?shù)玫桨踩拇娣藕吞幹?。對于含有敏感信息的介質應采用低級格式化或專業(yè)軟件重寫，反復次數(shù)為三次，才能重新分配和使用。

8) 保存有敏感信息的存儲介質廢棄時，要進行粉碎處理。

5. 實施策略

(1) 介質管理規(guī)定涉及的《介質管理表》中包括《介質管理分類表》、《可移動介質授權使用表》、《廢棄介質處置記錄》。

(2) 技術部制定《介質管理分類表》。

(3) 技術部負責可移動介質的發(fā)放，并填寫《可移動介質授權使用表》。

(4) 對廢棄的可移動介質在《可移動介質授權使用表》中跟蹤填寫廢棄記錄。

(5) 對廢棄的一般介質處理填寫《廢棄介質處置記錄》

6. 相關記錄

本程序發(fā)生的記錄匯總表

表1-1 isms文件日常應用表格