跳转至

数据存储介质管理规范

声明

本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们

修订说明

  • 烟台王较瘦 第一次编写 2022/5/1
  • 思安 修订 2023/6/1

第一章 总则

第一条 目标

为加强北京思度安全股份有限公司(以下简称公司)存储介质配发、使用和销毁的全过程管理,确保公司计算机内网信息与外部信息交换过程中的数据安全,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规,结合本公司实际情况,特制定本规范。

第二条 适用范围

本规范适用于集团公司总部,各分子公司、基层企业、各部门工作人员、借调及聘用人员及第三方外包人员。

第三条 基本原则

介质管理应遵循“统一购置、统一标识、统一备案、跟踪管理”的原则,严格控制发放范围。

第四条 术语

电子数据是基于计算机应用和通信等电子化技术手段形成的客观资料,一般用以表示文字、图形符号、多媒体等信息,包括以电子形式存储、处理或传输的静态数据和动态数据。
存储介质是指承载电子数据的各类载体或设备,包括但不限于计算机硬盘、磁带、软盘、光盘、各种形式的存储卡等。
数据恢复是指通过专门的计算机软硬件技术,修复存储介质内无法正常读取的电子数据的过程。
数据销毁是指使用覆盖、消磁等技术手段,清除存储介质上所有数据的操作。
镜像是指逐比特复制存储介质内电子数据的过程。

第二章 组织与职责

第五条 组织机构

公司行政部对存储介质进行统筹管理。
公司基础平台部下的IT部负责存储介质的技术支撑。

第六条 职责分工

行政部: 负责存储介质的采购、登记、盘点、销毁等工作进行管理。
IT部职责: 对公司各类的可移动介质和存储介质的发放、使用等管理工作。

第三章 介质分类

第七条 一般存储介质

员工使用的台式机/笔记本所用的硬盘,生产环境服务器所使用的硬盘。

第八条 可移动存储介质

U盘、移动硬盘、数码相机、光盘、磁带、软盘、光盘刻录机、磁带机、MO 驱动器、PDA、闪存、带USB接口的MP3/MP4播放器、记忆棒。

第四章 介质管理

第九条 配发介质

(一) 部门按规定确定配发范围,经审批准配发和使用安全移动核存储介质。
(二) 安全移动存储介质由行政部负责统一购置、配发和管理。
(三) 根据工作需要,各单位确定购置安全移动存储介质的数量及类型。
(四) 安全移动存储介质使用前应由管理部门统一标识、策略制定、编号,并登记备案。
(五) 安全移动存储介质的申请、注册、变更、清退应填写清单,经使用部门负责人审核后,统一由管理部门办理相关手续。

第十条 介质内部使用

(一) 存储介质应当用于存储工作信息,不得用于其他用途。涉及公司秘密的数据必须存放在保密区,不得使用普通存储介质存储涉及公司秘密的数据。
(二) 禁止将存储介质中涉及公司2级及以上数据拷贝到外网计算机,禁止在外网计算机上保存、处理涉及公司2级及以上数据。
(三) 存储介质存储涉及到公司2级及以上数据的内容,应对文件实施口令保护设置。
(四) 使用人应当定期对存储介质存储数据进行整理。
(五) 严禁长期在移动存储介质上工作,不得将安全移动存储介质当成本地磁盘使用。
(六) 在安全移动存储介质使用过程中,应当注意检查病毒、木马等恶意代码,注意远离水源、火源,避免接触强磁物体、避免阳光直接照射。
(七) 如移动存储介质不慎遗失,当事人应立即报本部门负责人,及时采取有效措施,防止信息泄密,如有泄密由当事人负全部责任,同时应报IT部门进行登记备案。
(八) 各单位工作人员离岗、离职前,应将统一配发的安全移动存储介质退还IT部门并办理相关手续。

第十一条 介质外部使用

(一) 必须严格将笔记本电脑防病毒系统升级到最新。
(二) 优先使用客户提供的 U 盘、移动硬盘等介质。
(三) 如果需要自介质接入客户终端时,必须先对介质进行病毒扫描,保证提供给客户的介质中没有病毒。

第五章 维修与销毁

第十二条 介质维修管理

(一) 存储介质的维修工作由IT部门专业技术人员负责。
(二) 存储介质需作数据恢复的,应由各部门计算机专业技术人员进行操作;必须送外部作数据恢复的,应由IT部门负责人审核同意后,到具有保密资质的单位进行数据恢复,需提前报备。
(三) 存储介质在报废前,应由使用部门进行信息清除处理。因介质损坏无法进行信息清除时,由使用部门负责人签署意见后,交IT部门销毁。
(四) 不再使用或不能使用的安全移动存储介质应及时上交IT部门。IT部门应对需报废的移动存储介质与领取时登记的类型、电子(产品)序列号、编号等核对一致后按规定进行销毁处理。

第十三条 介质销毁管理

(一) IT部对介质分类表内的介质的废弃进行统一管理,对废弃的介质采用恰当的介质处置方法。
(二) 对废弃的一般介质处理填写《废弃介质处置记录》
(三) 介质的销毁方式一般分为一般格式化、低级格式化、专业软件重写、物理粉碎。
(四) 对无敏感信息的介质作一般格式化即可,在保证质量的基础上重新分配和使用。
(五) 保存有敏感信息的存储介质应当得到安全的存放和处置。
(六) 对于含有敏感信息的介质应采用低级格式化或专业软件重写,反复次数为三次,才能重新分配和使用。
(七) 保存有敏感信息的存储介质废弃时,要进行粉碎处理。

第六章 附则

本办法由公司信息中心负责解释。 本办法自发布之日起执行。

参考文档

GB-T 31500-2015 信息安全技术 存储介质数据恢复服务要求
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
关键信息基础设施安全保护条例
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)

Back to top