文档信息
文档名称
|
介质安全管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为进一步加强的信息系统移动存储介质的管理,确保档案信息的安全,依据《信息安全管理办法》制定本管理制度。
对象。信息系统内部所有的移动存储介质(例如U盘、移动硬盘、软盘、光盘、磁带、存储卡等等)。
范围。本制度适用于信息系统涉及的移动存储介质。
要求。介质安全管理制度统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二设备管理
1.移动存储介质的管理应遵循“统一购买、统一标识、登记注册、集中管理、责任到人”的原则。
2.一律禁止私人携带移动存储设备进入办公区域,移动设备包括但不限于U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。
3.移动存储介质由指定的安全管理员负责统一购买,所购置的设备必须为正规厂商生产的合格产品。
4.建立统一的移动存储设备资料库,记录设备的密级、用途、硬件特征码、管理部门、责任人等信息备查,涉密移动存储介质应在显著位置粘贴密级标识。所标密级应按其所存储信息的最高密级进行标识。
5.建立移动存储设备发放流程,由专人负责设备发放工作,需要使用移动存储设备的部门或者个人需提出申请,并说明用途,到安全管理员处领用。
6.移动存储设备损坏不得擅自拆卸,严禁将损坏的移动存储介质出售或随意丢弃,应立即交回安全管理员统一处理。
7.涉密移动存储介质严禁外送维修,确需维修需经主管领导批准,维修时应在安全管理员的监督下进行。
8.不再使用或报废的移动存储介质,应交回安全管理员,采取保密技术手段确保其所存储信息不可恢复或进行物理销毁。销毁涉密移动存储介质须经领导批准,并履行登记、相关人员签字等手续。
三内部使用
1.内部只能使用由安全管理员统一派发的移动存储设备,严禁外来移动存储设备在内使用,确因工作需要须到安全管理员设置的专用计算机上使用。
2.安全管理员对涉密移动存储介质要定期进行保密技术检查,随时掌握每个移动存储设备的工作状态,监控设备使用过程。
3.涉密移动存储介质严禁在与国际互联网相连接的计算机上使用,严禁使用非涉密移动存储介质存储、处理保密信息。
4.涉密计算机应具备移动存储识别能力,可由安全管理员或者计算机使用者设定,只允许合法的移动存储设备在特定涉密计算机上使用。
5.涉密移动存储介质不得降低密级使用,严禁将涉密移动存储介质进行重新格式化或删除信息等方式后,作为普通存储介质使用。
6.移动存储设备严禁外借,严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。
7.移动存储介质存储的数据必须与密级相符,只能低于设定密级,禁止通过移动存储介质将涉密信息拷贝在家用电脑或外单位电脑上。
8.应具备移动存储设备使用痕迹记录、敏感信息访问快速反应,信息泄密责任事故追查等能力。
9.人员离职离岗前,要将所保管的移动存储介质全部退回,备份其设备使用日志,并办理相关移交手续。
四设备外带
1.移动存储设备原则上不得带离使用,如确因工作需要需带离的,须经领导批准,并确保涉密移动存储介质始终处于携带责任人的有效控制之下。
2.携带涉密移动存储介质外出,需向安全管理员申请,备案本次外出携带的资料内容样本,设定有效使用期限,到期处理方式等。
3.严禁以明文的形式将资料存储在移动存储设备中,应配备资料使用口令或钥匙,口令设置应满足安全需要,不得过于简单和容易猜测,禁止将解密钥匙与资料同时存放在同一个移动存储介质中。
4.严禁携带移动存储介质出境,确因工作需要携带出境的,应当按照有关保密规定办理特殊批准和携带手续。
5.如因工作需要需携带笔记本电脑或者PC机离开,必须确保计算机移动存储访问受保护,重要敏感数据需经过加密处理,安装防拷贝系统防止非法访问。
6.设备带回后应交由安全管理人员确认介质序列号,并作病毒木马扫描等日常处理,方可实行联机操作,接入内部使用。
7.从外单位通过移动存储设备带回的数据必须经过安全验证,确保符合本学校数据管理规定方可拷入内部使用。
五附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日