ISMS-03-10-V1.0 生产环境可移动介质管理实施细则

生产环境可移动介质管理实施细则

第一章 总则

第一条 目的

为规范思度安全运营中心生产环境可移动介质的管理，防止可移动介质在使用、移动、处理过程中发生未授权访问、信息泄漏及计算机感染恶意代码等风险，特制定本细则。

第二条 可移动介质

指U盘、移动硬盘、数据存储卡及光盘等可移动的存储介质。不包含用于数据备份的存储介质及软件产品光盘。

第三条 适用范围

本细则适用于思度安全运营中心生产环境可移动介质的管理，研发中心测试环境、开发环境可移动介质可参照本细则执行。

第二章 组织与职责

第四条 安全组

负责生产环境可移动介质使用的监督管理，对涉密信息在可移动介质的使用进行审批和记录，指导并监督部门对口的行内协作人员正确使用可移动介质。

第五条 设备管理人员

负责生产环境可移动介质的登记分发、回收和报废、销毁等。

第六条 可移动介质

可移动介质的申请领用人作为责任人，应按本细则要求正确使用可移动介质。

第三章 可移动介质的申请

第七条 基本要求

各部门或个人申请生产环境可移动介质时必须明确申请的理由和介质的用途，经所属部门负责人批准后领取。

第八条 设备发放管理

设备管理人员负责对可移动介质的申请进行发放，并对可移动介质进行编号、标识并指定责任人，及时更新《生产环境可移动介质清单》。

第九条 可移动介质保管

可移动介质的责任人应妥善使用并保管可移动介质，不得借给他人使用。

第四章 可移动介质的使用

第十条 移动介质格式化

生产环境可移动介质用于生产数据的传输，使用完毕时必须进行格式化操作，确保该类可移动介质在不使用时不存有任何数据。

第十一条 禁止混用可移动介质

可移动介质存储涉密信息时，涉密数据必须在使用完毕后立即清除，其责任人必须在访问受控的环境内使用该可移动介质。生产环境可以移动介质应做到不在非生产环境中使用，禁止可移动介质在生产环境和办公环境或外部环境之间混用。

第十二条 使用前杀毒

在生产环境中使用可移动介质之前，必须先在安装有防病毒客户端的办公网终端上进行全面病毒扫描，确保没有病毒后，方可继续使用；如发现存在无法处理的病毒，必须对可移动介质进行格式化操作；对于无法格式化的移动介质，应立即停止使用。

第十三条 告知协作人员使用要求

行内协作人员在生产环境中使用可移动介质时，思度安全运营中心对口部门必须事先告知其在生产环境中使用可移动介质的安全要求。

第十四条 使用审批流程

如因工作原因，确实需要在生产环境中使用第三方可移动介质时，负责操作的员工必须取得本部门负责人的同意，并对该可移动介质进行严格的病毒扫描，确保无病毒后方可使用。

第十五条 遗失管理

可移动介质如有遗失，其责任人必须报告设备管理人员。如遗失的可移动介质含有涉密信息的，必须作为信息安全事件报至安全组。

第五章 可移动介质的报废

第十六条 介质报废流程

可移动介质报废时，其责任人必须先对其中的数据进行清除，并将可移动介质交还设备管理人员，由设备管理人员进行报废、销毁。

第六章 附则

本细则由思度安全运营中心负责制定、修订和解释。 本细则自发布之日起生效。 记录 《生产环境可移动介质清单》 《生产环境可移动介质使用记录》