参考模版,仅供参考
1 目的
为了规范和管理对移动设备和介质的相关使用过程,防止组织信息数据未授权访问、泄露等安全事件,保障使用移动设备和介质时的安全,特制定本程序。
2 范围
本程序适用于开展日常活动中涉及的笔记本电脑、ipad、手机、移动硬盘和U盘等使用过程。
3 职责
3.1 运维部
可移动介质的归口管理部门,负责所辖可移动介质管理,为其他部门的信息可移动介质处置提供技术支持。
3.2 其他部门
可移动介质由本部门负责管理。
4 相关文件
《信息安全管理手册》
5 程序
5.1 总则
可移动介质需要转移或销毁时,如果处理不当,很容易造成信息泄漏。因此,必须按规定执行处置。
可移动介质是指U盘、移动硬盘、数码相机、光盘、磁带、软盘和打印的媒体等。
可移动介质使用部门应建立《可移动介质使用登记表》,对本部门使用的可移动介质进行登记管理。
可移动介质处置原则:按照正式的程序可靠、安全的处置,使敏感信息泄露给未经授权的人员的风险最小化。
移动设备管理策略
移动设备的使用需要满足组织的安全策略要求;
只有被授权的移动设备才能用来访问组织内部资源;
组织的秘密信息禁止存储在未授权的移动设备中;
秘密信息须经过加密后才允许存储在已授权的移动设备中;
对无人看守的移动设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里,或者锁在桌子或柜子上。
5.2 可移动介质处置
可移动介质的处置应该与信息的敏感程度相一致,可移动介质的敏感程度应考虑风险评估的结果。
可移动介质处置应考虑下列原则:
所有的可移动介质都应由部门经理负责保管;
可移动介质的处置前应该识别需要安全处置的项目;
销毁方式一般分为一般格式化、低级格式化、专业软件重写、粉碎;
对无敏感信息的可移动介质作一般格式化即可,在保证质量的基础上重新分配和使用;
保存有敏感信息的可移动介质应当得到安全的存放和处置;对于含有敏感信息的可移动介质应采用低级格式化或专业软件重写,反复次数为三次,再进行粉碎;
应对含有敏感信息的存储可移动介质的处置做出记录,以备审查;
销毁的可移动介质在处理后保存三个月后再作处理;
在组织内部,所有的移动介质使用都需要通过授权注册后才可以使用;
禁止未授权情况下在组织计算机或设备上使用移动介质进行数据传输;
存储组织数据的移动介质应得到妥善的管理和物理上的保护,使它们免遭破坏、偷盗和未经授权的访问。
处置措施可以是:
移动硬盘:文件先做删除,高级格式化后,低级格式化。报废的硬盘,需要粉碎报废。循环使用的硬盘,低级格式化后,拷入大量数据,覆盖无用信息后,高级格式化,再使用。
U盘:报废后能正常使用的写入大量数据并格式化后粉碎,不能正常使用的直接粉碎。
光盘:一次性光盘,粉碎。可擦写光盘,格式化后再使用。
可移动介质处置时,业务主管部门应填写《可移动介质处置审批表》,经分管领导批准后处理,并做好处置记录。
5.3 可移动介质处理
可移动介质管理
可移动介质领用须经本部门领导批准,人事行政部应建立《可移动介质使用清单》。
复制和移出
向可移动介质拷贝涉密信息,或将可移动介质带离开本组织需要获得本部门领导的批准,并在《可移动介质涉密使用记录》上记录存储的信息、用途、批准人、操作人等相关信息。
重复使用
对能够重复使用的可移动介质需要重复使用,被授权操作者首先必须确认可移动介质中的涉密信息或重要信息已经安全清除,其次要严格控制在可移动介质的厂家指出的可重复使用的次数之内,确保其存贮信息的安全、可靠性。
保存
可移动介质的的保管部门应按可移动介质要求的保存环境来保存含有涉密信息或重要信息的可移动介质,各部门应对含有涉密信息或重要信息的可移动介质妥善保管,防止丢失,有任何异常必须向部门领导汇报,并根据部门领导的指示对异常情况作相应的处理。
废弃
可移动介质应经过部门领导认可,需确保信息的保密性,能进行删除操作的,将涉密信息或重要信息进行删除。需要废弃的可移动介质统一送到人事行政部,由人事行政部网络管理员统一进行安全销毁处理。
6 记录
《可移动介质使用登记表》
《可移动介质处置审批表》
《可移动介质涉密使用记录》
《可移动介质使用清单》
