1. 目的和范圍
任何信息設(shè)備,如:計算機���、交換機�����、打印機�����、傳真機�����、復(fù)印機等���,都需要介質(zhì)進行存儲�,當存儲設(shè)備或可移動介質(zhì)需要轉(zhuǎn)移或銷毀時�����,如果處理不當���,很容易造成信息泄漏�。因此�����,必須按規(guī)定執(zhí)行處置��。適用于移動存儲設(shè)備/介質(zhì)在本公司辦公場所及房機內(nèi)的使用管理。
2. 引用文件
(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款���。凡是注日期的引用文件�,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準���,然而���,鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件�,其最新版本適用于本標準。
(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求
(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實施細則
3. 職責和權(quán)限
(1) 綜合部
負責對公司各類的可移動介質(zhì)和存儲介質(zhì)的發(fā)放����、使用����、處置的進行管理。
(2) 介質(zhì)使用部門和使用者
(3)由部門負責管理的介質(zhì)��,由該部門領(lǐng)導(dǎo)指定專人負責保管�����。個人使用的介質(zhì)由本人負責保管。
4. 介質(zhì)管理
(1)介質(zhì)分類
1) 技術(shù)部對公司使用的介質(zhì)�����,進行介質(zhì)分類��,制定《介質(zhì)管理分類表》��。
2) 介質(zhì)分為一般介質(zhì)和可移動介質(zhì)��,一般介質(zhì)包括:計算機存儲介質(zhì)���,可移動介質(zhì)是指U盤�����、移動硬盤���、數(shù)碼相機、光盤�����、光盤刻錄機、PDA�、帶USB接口的MP3/MP4播放器等。
(2)介質(zhì)使用管理
1) 一般情況下公司禁止使用可移動介質(zhì)�����。
2) 確因工作需要使用移動介質(zhì)���,須經(jīng)本部門領(lǐng)導(dǎo)批準后方可到技術(shù)部領(lǐng)用�����。
3) 技術(shù)部負責可移動介質(zhì)的發(fā)放�����,并填寫《可移動介質(zhì)授權(quán)使用表》����。
4) 授權(quán)用戶要注意保護自己所屬可移動介質(zhì)不被盜取�����。
5) 授權(quán)用戶要注意保護自己所屬可移動介質(zhì)不被盜取�。保管時要放置于安全的區(qū)域內(nèi)��,如帶鎖的柜子;
6) 非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動介質(zhì)��。
7) 各使用人必須每月一次對自己使用的移動介質(zhì)進行病毒掃描�����。
8) 使用可移動介質(zhì)保存公司秘密數(shù)據(jù)時����,移動介質(zhì)必須采用必要的加密措施,防止信息泄露�,有條件時使用帶有加密功能的可移動介質(zhì)設(shè)備。
9) 用戶在將可移動介質(zhì)帶離公司后�����,要為其上所有信息資源的安全負責�����,做好安全保護工作�。一旦遺失,立刻上報技術(shù)部進行登記��。
10) 光盤的刻錄:
a) 帶有公司標志的光盤,只能刻錄公司自己的程序軟件�,不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫等軟件���。
b) 公司銷售時����,必須刻錄光盤時,由技術(shù)部專門負責人進行刻錄,其他人員不得隨意刻錄光盤�。
(3)客戶現(xiàn)場使用規(guī)定
1) 必須嚴格將筆記本病毒防火墻升級到最新����。
2) 能使用客戶提供的U盤�、移動硬盤的,使用客戶提供的設(shè)備�����。
3) 必須使用自己的U盤���、移動硬盤在客戶計算機上使用的��,必須先對U盤、移動硬盤進行病毒掃描,保證提供給客戶的設(shè)備中不包含病毒�。
(4)介質(zhì)處置
1) 技術(shù)部對介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進行統(tǒng)一管理,對廢棄的介質(zhì)采用恰當?shù)慕橘|(zhì)處置方法��。
2) 計算機硬盤��、U盤����、可移動硬盤、光盤�、數(shù)碼存儲介質(zhì)等報廢時必須粉碎處理。
3) 對廢棄的可移動介質(zhì)在《可移動介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄��。
4) 對廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》
5) 介質(zhì)的銷毀方式一般分為一般格式化�����、低級格式化�����、專業(yè)軟件重寫�����、物理粉碎。
6) 對無敏感信息的介質(zhì)作一般格式化即可��,在保證質(zhì)量的基礎(chǔ)上重新分配和使用��。
7) 介質(zhì)中保存有敏感信息的存儲介質(zhì)應(yīng)當?shù)玫桨踩拇娣藕吞幹?���。對于含有敏感信息的介質(zhì)應(yīng)采用低級格式化或?qū)I(yè)軟件重寫,反復(fù)次數(shù)為三次��,才能重新分配和使用��。
8) 保存有敏感信息的存儲介質(zhì)廢棄時���,要進行粉碎處理���。
5. 實施策略
(1) 介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類表》、《可移動介質(zhì)授權(quán)使用表》�、《廢棄介質(zhì)處置記錄》。
(2) 技術(shù)部制定《介質(zhì)管理分類表》���。
(3) 技術(shù)部負責可移動介質(zhì)的發(fā)放���,并填寫《可移動介質(zhì)授權(quán)使用表》�。
(4) 對廢棄的可移動介質(zhì)在《可移動介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄���。
(5) 對廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》
6. 相關(guān)記錄
本程序發(fā)生的記錄匯總表
表1-1 ISMS文件日常應(yīng)用表格
| 表號 | 記錄編號 | 記錄名稱 | 保管
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?場所 | 保存期限 | 保存形式 | 備注 |
| 表A.1 | ISMS-3012-01 | 介質(zhì)管理分類表 | 技術(shù)部 | 3年 | 電子 |
|
| 表A.2 | ISMS-3012-02 | 可移動介質(zhì)授權(quán)使用表 | 技術(shù)部 | 3年 | 紙質(zhì) |
|
| 表A.3 | ISMS-3012-03 | 廢棄介質(zhì)處置記錄 | 技術(shù)部 | 3年 | 電子 |
|
