27可移动介质管理程序.doc

文档编号：XXXX-IT/ISMS-B-27

XXXX有限公司

IT/ISMS程序文件

可移动介质管理程序

拟制

编制小组

审核

XXX

批准

XXX

日期

2023-01-10

日期

2023-01-10

日期

2023-01-10

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2023-01-10

A/0

首次发布

编制小组

XXX

XXX

XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

目录

TOC\o1-2\h\z\u21378目录 2

94471目的 3

218242范围 3

297053职责 3

286364相关文件 3

319475程序 3

312246记录 5

1目的

为了对可移动介质进行控制和物理上的保护，以防止信息遭受未授权泄露、修改、移动或销毁以及业务活动遭受干扰，特制定本程序。

2范围

本程序适用于信息可移动介质的管理。

3职责

3.1综合部

可移动介质的归口管理部门，负责所辖可移动介质管理，为其他部门的信息可移动介质处置提供技术支持，建立可移动介质管控系统。负责可移动介质涉密使用的管理和记录。

3.2可移动介质使用部门

可移动介质处置由本部门负责管理。

4相关文件

《信息安全及信息技术服务管理手册》

5程序

5.1总则

可移动介质需要转移或销毁时，如果处理不当，很容易造成信息泄漏。因此，必须按规定执行处置。

可移动介质是指U盘、移动硬盘、数码相机、光盘、磁带、软盘、硬盘、CF卡（电子盘）和打印的媒体等。

通过设备控制系统对公司所有可移动介质进行登记，可以对可移动介质和个人进行不同的权限的控制，从而保证内网文件的安全，防止公司内部敏感信息泄露。

可移动介质处置原则：按照正式的程序可靠、安全的处置，使敏感信息泄露给未经授权的人员的风险最小化。

5.2可移动介质处置

可移动介质的处置应该与信息的敏感程度相一致，可移动介质的敏感程度应考虑风险评估的结果。

可移动介质处置应考虑下列原则：

所有的可移动介质都应由部门经理指定人员负责保管；

可移动介质的处置前应该识别需要安全处置的项目；

销毁方式一般分为一般格式化、低级格式化、专业软件重写、粉碎；

对无敏感信息的可移动介质作一般格式化即可，在保证质量的基础上重新分配和使用；

保存有敏感信息的可移动介质应当得到安全的存放和处置；对于含有敏感信息的可移动介质应采用低级格式化或专业软件重写，反复次数为三次，再进行粉碎；

应对含有敏感信息的存储可移动介质的处置做出记录，以备审查；

销毁的可移动介质在处理后保存三个月后再作处理。

处置措施可以是：

移动硬盘：文件先做删除，高级格式化后，低级格式化。报废的硬盘，需要粉碎报废。循环使用的硬盘，低级格式化后，拷入大量数据，覆盖无用信息后，高级格式化，再使用。

U盘：报废后能正常使用的写入大量数据并格式化后粉碎，不能正常使用的直接粉碎。

光盘：一次性光盘，粉碎。可擦写光盘，格式化后再使用。

可移动介质处置时，业务主管部门应填写《可移动介质处置审批表》，经分管领导批准后处理，并做好处置记录。

f）送修或报废的硬盘，文件先做删除，高级格式化后，低级格式化。

5.3可移动介质处理

5.3.1可移动介质管理

可移动介质领用须经本部门领导批准，综合部应将可移动介质登记在设备控制系统进行管控。

5.3.2复制和移出

向可移动介质拷贝涉密信息，或将可移动介质带离开本组织需要获得本部门领导的批准，并在《可移动介质涉密使用记录》上记录存储的信息、用途、批准人、操作人等相关信息。

5.3.3重复使用

对能够重复使用的可移动介质需要重复使用，被授权操作者首先必须确认可移动介质中的涉密信息或重要信息已经安全清除，其次要严格控制在可移动介质的厂家指出的可重复使用的次数之内，确保其存贮信息的安全、可靠性。

5.3.4保存

可移动介质的的保管部门应按可移动介质要求的保存环境来保存含有涉密信息或重要信息的可移动介质，各部门应对含有涉密信息或重要信息的可移动介质妥善保管，防止丢失，有任何异常必须向部门领导汇报，并根据部门领导的指示对异常情况作相应的处理。

5.3.5废弃

可移动介质应经过部门领导认可，需确保信息的保密性，能进行删除操作的，将涉密信息或重要信息进行删除。需要废弃的可移动介质统一送到综合部，由综合部统一进行安全销毁处理。

6记录

《可移动介质处置审批表》

《可移动介质涉密使用记录》

《可移动介质使用登记表》

《笔记本外带使用登记表》