1、文件編制、審批、修改頁版次生效日期修改編號修訂內容A/0A版版次編制/日期部門審核/日期體系審核/日期審定/日期批準/日期A/0表單編號：P-RD-010-01-001-A/1移動介質使用管理規定1 目的妥善的管理和物理上的保護存儲介質，使它們免遭破壞、偷盜和未經授權的訪問。2 范圍適用于公司配發移動介質。3 職責3.1 綜合辦負責建立可移動存儲介質清單和發放控制；3.2 各使用人員負責按照公司要求安全處理存儲介質。4 工作程序及內容4.1 計算機信息系統的存儲介質主要包括磁盤、磁帶、光盤、盒式磁帶、打印文件等。存儲介質應得到妥善的管理和物理上的保護，使它們免遭破壞、偷盜和未經授權的訪問。4.

2、2 可移動存儲介質的管理4.2.1 存儲介質在不用的時候，應當得到安全地存放，特別是存有敏感信息和數據的介質更不能隨意放置，以防被泄露。4.2.2 可移動存儲介質系統科建立清單，明確相應的責任人和使用人。4.2.3 對于從企業中移走的可重復使用的存儲介質，不再需要時應及時刪除；4.2.4 所有的存儲介質應保存在符合其要求的安全環境中。4.3 存儲介質的處理4.3.1 可能需要安全處置的物品如下：書面文件、錄音或其他形式的記錄、復寫紙、輸出報告、一次性打印色帶、磁帶、可移動的磁盤或磁帶、光學存儲媒體（ 包括所有形式和所有制造商制造的軟件分銷媒體） 、程序列表、測試數據、系統文檔等。4.3.2 對

3、載有敏感信息的媒體應加以安全妥當的保存或采用安全的方式由信息中心加以處置，如焚燒或碎片，或在清空數據后供本組織的其他機構使用。4.3.3 選擇一個適當的有足夠的控制措施和經驗的承包商收購和處理文件、設備和媒體，并和承包商簽訂安全協議。4.4 信息處理程序4.4.1 所有介質按照信息資產要求進行標注和處理，明確責任人和使用人員；4.4.2 對訪問進行限制以識別未授權的人員；4.4.3 保留數據的合法收件人的正式記錄；4.4.4 確保輸入數據的完整性、處理過程得以正確完成及對輸出的有效確認；4.4.5 對等待輸出的數據采取與其敏感性相應的保護；4.4.6 把媒體存放在符合制造商規定的環境中；4.4

4、.7 盡量減少數據的分發；4.4.8 對所有的數據副本進行清楚標示, 以引起其合法接收人員的注意；4.4.9 定期對分發清單和合法收件人的名單進行回顧。4.5 系統文檔安全系統文檔可能載有系列敏感信息, 如對應用程序、流程、數據結構、授權過程的描述。應當考慮下面的控制措施以保護系統文檔免受未授權的訪問。4.5.1 系統文檔應當被安全地保存。4.5.2 系統文檔的訪問清單要盡量簡潔，并要經過應用者的授權。4.5.3 保留在公共網絡上的或通過公共網絡所提供的系統文檔應當被適當地保護4.6 安全移動存儲介質的策略4.6.1 安全移動存儲介質管理系統將存儲介質和制定的一臺或多臺內網計算機進行信息綁定，

5、在同一安全策略控制下，這些被綁定的計算機就構成同一個信任域。只有屬于同一信任域的內網計算機能夠使用注冊過的存儲介質進行信息交換。4.6.2 安全移動存儲介質管理系統支持兩種安全控制策略。安全控制策略一即單獨保密區策略。安全控制策略二即保密區加交換區策略。4.6.3 安全控制策略一是指存儲介質只允許設置數據加密的保密區，只有屬于同一信任域的內網計算機能夠正常讀寫保密區數據，存儲介質與其他計算機的信息交換必須借助中間機完成。4.6.4 安全控制策略二是指存儲介質可設置為保密區和交換區兩個區，屬于同一信任域的內網計算機能夠正常讀寫存儲介質的兩個區，其他計算機通過口令認證后可使用交換區。4.7 安全移

6、動存儲介質的配發4.7.1 各部門應按照規定的范圍發放和使用安全移動存儲介質。安全移動硬盤的配發根據部門業務工作性質、員工數量等，按比例配，由各部門制定專人負責管理。4.7.3 公司內網計算機均應安裝安全移動存儲介質管理系統客戶端軟件。員工內網計算機若因特殊情況不安裝安全移動存儲介質客戶端，須經部門主要負責人和公司信息安全歸口管理部門負責人簽字同意。4.7.4 根據需要及所選擇策略為部門配置中間機，各部門制定專人進行管理。4.7.5 各部門和員工現有的移動存儲介質經過注冊、編號后，也可作為安全移動存儲介質使用。4.8 安全移動存儲介質的使用4.8.1 安全移動存儲介質應當用于存儲工作信息，不得用于其它用途。涉及公司企業秘密的信息必須存放在保密區，不得使用普通存儲介質存儲涉及公司企業秘密的信息。4.8.2 禁止將安全移動存儲介質中涉及公司企業秘密的信息拷貝到外網計算機，禁止在外網計算機上保存、處理涉及公