ISMS-B-13 介質(zhì)管理程序-ISO27001

1、介質(zhì)管理程序文件編號(hào)：ISMS-B-13版 本：A/0頁(yè) 碼：第4頁(yè) 共4頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為規(guī)范公司信息介質(zhì)的管理，包括對(duì)介質(zhì)進(jìn)行控制和物理上的保護(hù)，以防止信息遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)遭受干擾等，特制定本程序。2. 范圍本程序適用于公司各部門(mén)的介質(zhì)管理。3. 職責(zé)與權(quán)限3.1 人力資源部負(fù)責(zé)公司相關(guān)信息介質(zhì)的統(tǒng)一采購(gòu)、報(bào)廢跟進(jìn)及記錄歸檔管理。3.2 信息管理部負(fù)責(zé)公司相關(guān)信

2、息介質(zhì)的使用指導(dǎo)、維護(hù)和管理。3.2 介質(zhì)使用部門(mén)和使用者應(yīng)遵守本程序的各項(xiàng)管理規(guī)定。部門(mén)使用及管理的介質(zhì)，由該部門(mén)領(lǐng)導(dǎo)負(fù)責(zé)保管或指定專人負(fù)責(zé)保管；個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。4. 相關(guān)文件a) 信息分類與處理指南5. 術(shù)語(yǔ)定義介質(zhì)包括：磁帶、磁盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)、存貯卡等。6. 控制程序6.1 總則6.1.1 任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。6.1.2 介質(zhì)處置原則：當(dāng)不再需要時(shí)，介質(zhì)應(yīng)該按照正式的程序可靠、安全的處置，使敏感信息泄露給未經(jīng)授權(quán)

3、人員的風(fēng)險(xiǎn)最小化。6.2 介質(zhì)處置6.2.1 敏感信息介質(zhì)的處置應(yīng)該與信息的敏感程度相一致，介質(zhì)的敏感程度應(yīng)考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果。6.2.2 介質(zhì)處置應(yīng)考慮下列原則：a) 將所有的存儲(chǔ)介質(zhì)都應(yīng)安全的收集和處置； b) 信息介質(zhì)的處置前應(yīng)該識(shí)別需要安全處置的項(xiàng)目；c) 銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫(xiě)、粉碎。d) 對(duì)無(wú)敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。e) 保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹?。?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫(xiě)，反復(fù)次數(shù)為三次，再進(jìn)行粉碎。f) 應(yīng)對(duì)含有敏感信息的存儲(chǔ)介質(zhì)的處置做出記錄，以備審查。g

4、) 銷毀的介質(zhì)在處理后宜保存三個(gè)月后再作處理。6.2.3 介質(zhì)的處置措施可以是：a) 軟盤(pán)：文件刪除后，高級(jí)格式化后粉碎?；蚶脤Ｓ么疟P(pán)維護(hù)工具，處理后粉碎。b) 硬盤(pán)：文件先做刪除，高級(jí)格式化后，低級(jí)格式化。報(bào)廢的硬盤(pán)，需要粉碎報(bào)廢。循環(huán)使用的硬盤(pán)，低級(jí)格式化后，拷入大量數(shù)據(jù)，覆蓋無(wú)用信息后，高級(jí)格式化，再使用。c) 光盤(pán)：一次性光盤(pán)，粉碎。可擦寫(xiě)光盤(pán)，格式化后再使用。d) Cmos芯片：粉碎。e) Flash卡：報(bào)廢后粉碎。f) 可擦寫(xiě)芯片：刪除文件，粉碎。6.3 介質(zhì)的使用及管理6.3.1 介質(zhì)使用可移動(dòng)介質(zhì)領(lǐng)用須經(jīng)本部門(mén)領(lǐng)導(dǎo)批準(zhǔn)，人力資源部應(yīng)保留相應(yīng)的領(lǐng)用申請(qǐng)記錄。不準(zhǔn)隨意將移動(dòng)介質(zhì)借

5、給他人及非相關(guān)人員使用，損壞的移動(dòng)介質(zhì)不得隨意丟棄，應(yīng)按照規(guī)定方式銷毀處理。6.3.2 復(fù)制和移出向可移動(dòng)介質(zhì)拷貝敏感信息，或?qū)⒖梢苿?dòng)介質(zhì)帶離公司需要獲得本部門(mén)領(lǐng)導(dǎo)的批準(zhǔn)，并在“可移動(dòng)介質(zhì)敏感使用記錄”上記錄存儲(chǔ)的信息、用途、批準(zhǔn)人、操作人等相關(guān)信息。存有涉密數(shù)據(jù)的移動(dòng)硬盤(pán)由專人負(fù)責(zé)，外出攜帶時(shí)要嚴(yán)格控制在安全使用范圍內(nèi)，存儲(chǔ)的涉密數(shù)據(jù)使用完后要及時(shí)刪除。6.3.3 重復(fù)使用對(duì)能夠重復(fù)使用的可移動(dòng)介質(zhì)需要重復(fù)使用，被授權(quán)操作者首先必須確認(rèn)可移動(dòng)介質(zhì)中的敏感信息或重要信息已經(jīng)安全清除，其次要嚴(yán)格控制在可移動(dòng)介質(zhì)的廠家指出的可重復(fù)使用的次數(shù)之內(nèi)，確保其存貯信息的安全、可靠性。6.3.4 保存可移動(dòng)介質(zhì)的的保管部門(mén)應(yīng)按介質(zhì)要求的保存環(huán)境來(lái)保存含有敏感信息或重要信息的可移動(dòng)介質(zhì)，各部門(mén)應(yīng)對(duì)含有敏感信息或重要信息的可移動(dòng)介質(zhì)妥善保管，防止丟失，有任何異常必須向部門(mén)領(lǐng)導(dǎo)匯報(bào)，并根據(jù)部門(mén)領(lǐng)導(dǎo)的指示對(duì)異常情況作相應(yīng)的處理。6.3.5 廢棄可移動(dòng)介質(zhì)應(yīng)經(jīng)過(guò)部門(mén)領(lǐng)導(dǎo)認(rèn)可，需確保信息的保密性，能進(jìn)行刪除操作的，將保密信息或重要信息進(jìn)行刪除。需要廢棄的介質(zhì)統(tǒng)一送到網(wǎng)絡(luò)部統(tǒng)一進(jìn)行安全銷毀處理，并做好“可移動(dòng)介質(zhì)處置記錄”，由人力資