涉密和非涉密移动存储介质保密管理规定.docxVIP

涉密和非涉密移动存储介质保密管理规定

为规范移动存储介质管理，防范因移动存储介质使用不当引发的信息泄露风险，根据相关法律法规及内部保密要求，结合实际工作需要，现就非涉密移动存储介质与涉密移动存储介质的保密管理作如下规定：

一、管理责任划分

1.保密工作领导小组统筹移动存储介质保密管理工作，负责审批涉密移动存储介质的采购、销毁等重大事项，监督各部门落实管理要求。

2.信息化管理部门（以下简称“信息部门”）负责制定移动存储介质技术管理规范，对非涉密移动存储介质的采购、维修、销毁实施技术审核；对涉密移动存储介质的使用环境、设备绑定、病毒检测等提供技术支持。

3.各使用部门（以下简称“使用部门”）为移动存储介质的直接管理责任主体，需指定一名保密员负责本部门移动存储介质的登记、发放、回收及日常监督，建立部门级管理台账，确保“一物一档”。

4.使用人对所使用的移动存储介质负直接责任，需严格遵守本规定，妥善保管介质，不得擅自转借、拆卸或改变用途。

二、采购与登记管理

（一）非涉密移动存储介质

1.采购范围：仅用于存储非工作信息或经审批的内部公开信息（如通用制度、宣传资料等），禁止以“非涉密”名义采购用于存储工作秘密或内部敏感信息的介质。

2.采购流程：由使用部门根据实际需求提出申请，经部门负责人审批后，统一由信息部门通过正规渠道采购。采购时需选择符合国家标准的产品，优先选用存储容量与实际需求匹配的介质，避免过度采购。

3.登记要求：采购后由使用部门保密员登记造册，台账需包含介质编号、类型（U盘、移动硬盘等）、容量、采购时间、使用人、当前状态（在用/闲置/待销毁）等信息。登记完成后，信息部门需对介质进行物理标识（如粘贴非涉密标签），确保与涉密介质区分。

（二）涉密移动存储介质

1.采购范围：仅限用于存储国家秘密、工作秘密或内部敏感信息（如未公开的决策文件、客户隐私数据等），采购数量需严格控制，原则上按“最小必要”原则审批。

2.采购流程：由使用部门提出申请，需注明介质用途、存储内容密级、使用人及预计使用周期，经部门负责人、保密工作领导小组逐级审批后，由信息部门通过保密行政管理部门备案的定点单位采购。采购时需留存供应商资质证明、产品检测报告等材料，确保来源可追溯。

3.登记要求：采购后需在保密工作领导小组备案，由使用部门保密员建立专项台账，除包含非涉密介质登记信息外，还需记录介质密级、授权使用设备编号、最近使用时间、审批人等关键信息。介质需粘贴明显的涉密标识（如红底白字“涉密”标签），标识内容需包含密级和编号。

三、使用规范

（一）非涉密移动存储介质

1.用途限制：仅限在内部非涉密计算机、打印机等设备上使用，禁止连接互联网公共设备（如网吧电脑、酒店自助终端）或私人电子设备（如个人手机、平板）。确需在外部非互联网设备上使用的，需经部门负责人审批，并在使用前通过信息部门检测，确认无恶意程序。

2.内容管理：存储内容不得包含工作秘密、内部敏感信息或个人隐私数据（如员工薪酬、客户联系方式）。因工作需要临时存储非敏感工作文件的，需在使用后及时删除，不得长期留存。

3.操作要求：使用时需遵循“谁使用、谁负责”原则，禁止多人共用同一介质；插入设备前需检查介质外观是否完好（如接口无损坏、标签无脱落），避免因物理损坏导致数据丢失或设备故障；使用完毕后需及时拔出，不得长时间插在设备上。

（二）涉密移动存储介质

1.环境限制：仅可在与互联网物理隔离的涉密计算机或授权的保密设备上使用，禁止连接非涉密设备、私人电子设备或互联网设备。确需在跨部门涉密设备间使用的，需经保密工作领导小组审批，并在使用前由信息部门进行病毒检测和数据完整性校验。

2.权限管理：实行“一人一介质”或“专人专用”制度，使用人需与介质绑定，未经审批不得转借他人。使用前需进行身份验证（如密码、指纹或IC卡），验证通过后方可读取或写入数据；连续3次验证失败的，介质自动锁定并触发预警，由信息部门核查处理。

3.操作记录：每次使用需在台账中记录操作时间、设备编号、操作类型（读取/写入/删除）、文件名称及数量等信息，记录需保存至少3年。涉及国家秘密的操作，需由使用人及监用人（部门保密员或指定人员）共同签字确认，监用人对操作过程负监督责任。

4.内容保护：存储的涉密信息需采用符合国家密码管理要求的加密算法进行加密，加密密钥由使用人妥善保管，禁止以任何形式记录或共享。介质内文件需分类存储，按密级标注，禁止混合存储不同密级信息。

四、存储与携带管理

（一）非涉密移动存储介质

1.日常存储：应存放在部门文件柜或带锁抽屉中，禁止随意放置在桌面、会议室等公共区域。闲置超过3个月的介质，需由使用部门保密员回收并统一保管，避免丢失或误用。

2.外出携带：因工作需要携带外出