015-介質(zhì)控制程序

1、介質(zhì)控制程序撰寫： 發(fā)布：2021年4月1日文件編號(hào)：YJF-SP-015版本：A1文檔秘級(jí)：秘密版本歷史序號(hào)版本修訂內(nèi)容修訂部門/人修訂時(shí)間1A0制定2020-8-12A1制定2021-4-13451范圍本標(biāo)準(zhǔn)規(guī)定了*科技信息介質(zhì)處置的管理，包括對(duì)介質(zhì)進(jìn)行控制 和物理上的保護(hù)，以防止信息遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)遭受干 擾。2規(guī)范性引用文件以下文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。但凡注日期的引用文 件，其隨后所有的修改或修訂均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這 些文件的最新版本。但凡不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。3術(shù)語和定義無4職責(zé)和

2、權(quán)限1系統(tǒng)運(yùn)維部負(fù)責(zé)公司相關(guān)信息介質(zhì)的維護(hù)和管理。4.2介質(zhì)使用部門和使用者由部門負(fù)責(zé)管理的介質(zhì)，由該部門領(lǐng)導(dǎo)負(fù)責(zé)保管或指定專人負(fù)責(zé)保管。個(gè)人使用的 介質(zhì)由本人負(fù)責(zé)保管。5規(guī)定1總那么1. 1任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、 機(jī)、復(fù)印機(jī)等，都需要 介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理不當(dāng)，很容易造成信息 泄漏。因此，必須按規(guī)定執(zhí)行處置。. 1.2介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)，一般介質(zhì)包括：文件檔案、計(jì)算機(jī)存儲(chǔ)介 質(zhì)，可移動(dòng)介質(zhì)是指U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、磁帶、軟盤和打印的媒體等。.1.3介質(zhì)處置原那么：當(dāng)不再需要時(shí)，介質(zhì)應(yīng)該按照正式的程序可靠、平安的處置,

3、 使敏感信息泄露給未經(jīng)授權(quán)的人員的風(fēng)險(xiǎn)最小化。5.2介質(zhì)處置5. 2.1敏感信息介質(zhì)的處置應(yīng)該與信息的敏感程度相一致，介質(zhì)的敏感程度應(yīng)考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果。5. 2.2介質(zhì)處置應(yīng)考慮以下原那么：a）將所有的存儲(chǔ)介質(zhì)都應(yīng)平安的收集和處置；b）信息介質(zhì)的處置前應(yīng)該識(shí)別需要平安處置的工程；c）銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫、粉碎。d）對(duì)無敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。e）保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫狡桨驳拇娣藕吞幹?。?duì)于含有敏感信息的 介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次，再進(jìn)行粉碎。f）應(yīng)對(duì)含有敏感信息的存儲(chǔ)介質(zhì)的處置做出記

4、錄，以備審查。g）銷毀的介質(zhì)在處理后宜保存三個(gè)月后再作處理。2. 3處置措施可以是：a）軟盤：文件刪除后，高級(jí)格式化后粉碎。或利用專用磁盤維護(hù)工具，處理后粉 碎。b）硬盤：文件先做刪除，高級(jí)格式化后，低級(jí)格式化。報(bào)廢的硬盤，需要粉碎報(bào) 廢。循環(huán)使用的硬盤，低級(jí)格式化后，拷入大量數(shù)據(jù)，覆蓋無用信息后，高級(jí)格式化， 再使用。c）光盤：一次性光盤，粉碎?？刹翆懝獗P，格式化后再使用。5.3可移動(dòng)介質(zhì)處理3. 1介質(zhì)管理可移動(dòng)介質(zhì)領(lǐng)用須由申請(qǐng)人在0A系統(tǒng)中填寫“信息平安權(quán)限申請(qǐng)”經(jīng)部門領(lǐng)導(dǎo)審 核，系統(tǒng)運(yùn)維部批核，網(wǎng)絡(luò)組受理。不準(zhǔn)隨意將移動(dòng)介質(zhì)借給他人及非相關(guān)人員使用， 損壞的移動(dòng)介質(zhì)不得隨意丟棄，應(yīng)按照

5、規(guī)定方式銷毀處理。3.2復(fù)制和移出向可移動(dòng)介質(zhì)拷貝敏感信息，或?qū)⒖梢苿?dòng)介質(zhì)帶離公司需要獲得本部門領(lǐng)導(dǎo)的批 準(zhǔn)，存有涉密數(shù)據(jù)的移動(dòng)硬盤由專人負(fù)責(zé)，外出攜帶時(shí)要嚴(yán)格控制在平安使用范圍內(nèi)， 存儲(chǔ)的涉密數(shù)據(jù)使用完后要及時(shí)刪除。3.3重復(fù)使用對(duì)能夠重復(fù)使用的可移動(dòng)介質(zhì)需要重復(fù)使用，被授權(quán)操作者首先必須確認(rèn)可移動(dòng)介 質(zhì)中的敏感信息或重要信息已經(jīng)平安清除，其次要嚴(yán)格控制在可移動(dòng)介質(zhì)的廠家指出的 可重復(fù)使用的次數(shù)之內(nèi)，確保其存貯信息的平安、可靠性。3. 4保存可移動(dòng)介質(zhì)的的保管部門應(yīng)按介質(zhì)要求的保存環(huán)境來保存含有敏感信息或重要信 息的可移動(dòng)介質(zhì)，各部門應(yīng)對(duì)含有敏感信息或重要信息的可移動(dòng)介質(zhì)妥善保管，防止丟 失

6、，有任何異常必須向部門領(lǐng)導(dǎo)匯報(bào)，并根據(jù)部門領(lǐng)導(dǎo)的指示對(duì)異常情況作相應(yīng)的處理。3. 5廢棄可移動(dòng)介質(zhì)應(yīng)經(jīng)過部門領(lǐng)導(dǎo)認(rèn)可，需確保信息的保密性，能進(jìn)行刪除操作的，將保 密信息或重要信息進(jìn)行刪除。需要廢棄的介質(zhì)統(tǒng)一送到系統(tǒng)運(yùn)維部，由信息管理人員統(tǒng) 一進(jìn)行平安銷毀處理。3.6隱私管理5. 3. 6. 1各部門應(yīng)記錄于存儲(chǔ)PH的移動(dòng)介質(zhì)和或設(shè)備的任何使用情況，在可行的 情況下，各部門應(yīng)使用在存儲(chǔ)PH時(shí)允許加密可移動(dòng)物理介質(zhì)和或設(shè)備。未加密的介質(zhì) 應(yīng)在不可防止的情況下使用，并且在使用未加密的介質(zhì)和或設(shè)備的情況，公司應(yīng)實(shí)施相 應(yīng)規(guī)程或補(bǔ)償控制（如防篡改），以降低PII的風(fēng)險(xiǎn)。5. 3. 6. 2在處置存儲(chǔ)PII的移動(dòng)介質(zhì)的情況下，可移動(dòng)介質(zhì)應(yīng)經(jīng)過部門領(lǐng)導(dǎo)認(rèn)可， 需確保信息的保密性，能進(jìn)行刪除操作的，將保密信息或重要信息進(jìn)行刪除。需要廢棄 的介質(zhì)統(tǒng)一送到系統(tǒng)運(yùn)維部，由信息管理人員統(tǒng)一進(jìn)行平安銷毀處理，并實(shí)施以確保先 前存儲(chǔ)的PH信息不能被訪問。5. 3. 6. 3使用物理介質(zhì)進(jìn)行信息傳輸，應(yīng)記錄包含PII的傳入和傳出物理介質(zhì)的信 息，包括物理介質(zhì)的類型，授權(quán)的發(fā)件人及收件人，日期和時(shí)間以及物理介質(zhì)的數(shù)量。 在可能的情況下，應(yīng)實(shí)施其他措施，如加密，以確保數(shù)據(jù)只能在目的地而非傳輸途中被 訪問。公司在物理介質(zhì)離開場(chǎng)所之前對(duì)包含