公司信息系统存储介质安全管理制度.docx

公司信息系统存储介质安全管理制度 总则 为加强AA省BB单位（公司）介质安全管理，即对存储介质的使用、存储、携带、记录、清单等活动提供明确的安全管理标准，特制订此制度。 本制度适用于AA省BB单位（公司）。 介质管理标准 保管人控制下的存储介质和用来备份或是用做灾难恢复的，需存放在一定安全级别的区域，当无人看管时，要将这些介质存放在办公室或保密柜中。 用做一般系统备份的存储介质可以与用户控制下的存储介质分开放置，必须被慎重管理以保证在需要恢复的情况下能够得到，同时必须记录在管理员的目录清单里。 必须建立存储介质的原始存储目录清单，并定期对备用目录清单进行盘点，以备将来使用，当所有权发生变化时，必须进行存储库盘点。 存储介质库中介质的转移和支配应该是可记录的。 必须对所有存储介质的出库和入库及其保持记录进行控制。 存储介质被运离或送出时，要被放在一个被锁住的箱子里，用防篡改的封条封住。 安装和使用存储介质时必须防止非授权的访问。 任何的存储介质盘点与检查出现差异必须报告给运维工作小组，并且介质库中的所有介质，包括打开过的空白带和格式化过的、擦除过的、媒体操作装置中的介质都必须有清单列表。责任人必须对所有的清单文档签字。 含有敏感工作信息的存储介质在邮递或内部传输时候必须被放在标记的密封套子或是包装盒中，被邮递或传输到外部时，内盒需要明确标记为敏感信息，外盒或封套不要标记敏感信息字样。 制定硬盘加密，硬盘口令等具体措施。 含有敏感工作信息的存储介质不再使用时，应与安全管理工作人员联系，销毁这些敏感信息存储介质。 存储介质要全面考虑数据分类标签的需求，如磁带、磁盘及其它存储介质等有不同的分类标签。 含有敏感信息的存储介质的复制要有跟踪、出处、输送记录，对拷贝的人需要了解具体情况。 在复制或输出敏感信息到存储介质时，需要有人监控（不能让敏感信息自行输出到远程存储介质，特别是远程可移动存储介质）。 存储介质的存放，需要用不同的标签或介质类型来表示是原件还是拷贝件。 含有敏感信息的存储介质在传递过程中必须亲自交给接受方。 通过外部运输人员传递的存储介质需要接受者签字等措施，以保证安全到达。 需要有日志来记录含有敏感信息的存储介质的传递过程（多少、在哪里、接收者姓名、地址等）。 除非经过管理部门特别同意，旅游时不能携带含有敏感信息的存储介质。 除非存储介质内的敏感信息已经被加密，否则存储介质不许在无人看管的可移动设备上使用。 可移动存储介质必须放在随身携带的手提箱中，而不能放在其他的货物托管地方。 所有含有内部信息的存储介质对外部人员都是保密的，严禁员工、顾问和合作方带走。 任何计算机存储介质不再用于存储保密信息之前，必须要进行格式化。 不允许将含有敏感信息的存储介质和非敏感信息的存储介质混放在一起。 存储介质删除敏感信息后，必须执行重复写操作防止数据恢复。 含有硬拷贝形式的敏感信息存储介质的报废处理方式是切碎或者烧毁。 如果将存储介质给第三方使用，需要信息化管理处确认敏感信息已经删除。 当携带存储介质离开时必须出示通行证，所有此类物品必须在门卫处记录。 访问磁带、磁盘和文档库需要提出申请，由信息化管理处审批同意放可进行，并登记备案。 附则 本制度的解释权归AA省BB单位（公司）。 本制度自发布之日起生效。  附件5-3-1 存储介质操作记录表（模板） 存储介质操作记录表 介质名称 编号 操作类型 操作时间 结束时间 经手人 审批人 备注 说明：操作类型包括：使用、送修、带出、销毁、盘点等行为。