1. 目的和范圍
任何信息設(shè)備����,如:計(jì)算機(jī)�����、交換機(jī)�、打印機(jī)����、傳真機(jī)、復(fù)印機(jī)等,都需要介質(zhì)進(jìn)行存儲(chǔ)���,當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)���,如果處理不當(dāng)�����,很容易造成信息泄漏����。因此,必須按規(guī)定執(zhí)行處置���。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理�����。
2. 引用文件
(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款�。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)��,然而��,鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件���,其最新版本適用于本標(biāo)準(zhǔn)�����。
(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求
(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則
3. 職責(zé)和權(quán)限
(1) 綜合部
負(fù)責(zé)對(duì)公司各類的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放�、使用�、處置的進(jìn)行管理��。
(2) 介質(zhì)使用部門和使用者
(3)由部門負(fù)責(zé)管理的介質(zhì)���,由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管�����。個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。
4. 介質(zhì)管理
(1)介質(zhì)分類
1) 技術(shù)部對(duì)公司使用的介質(zhì),進(jìn)行介質(zhì)分類�����,制定《介質(zhì)管理分類表》�����。
2) 介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì)�����,一般介質(zhì)包括:計(jì)算機(jī)存儲(chǔ)介質(zhì),可移動(dòng)介質(zhì)是指U盤��、移動(dòng)硬盤��、數(shù)碼相機(jī)��、光盤����、光盤刻錄機(jī)���、PDA���、帶USB接口的MP3/MP4播放器等����。
(2)介質(zhì)使用管理
1) 一般情況下公司禁止使用可移動(dòng)介質(zhì)����。
2) 確因工作需要使用移動(dòng)介質(zhì)�����,須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)后方可到技術(shù)部領(lǐng)用�����。
3) 技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放���,并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。
4) 授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取���。
5) 授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取��。保管時(shí)要放置于安全的區(qū)域內(nèi),如帶鎖的柜子;
6) 非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動(dòng)介質(zhì)�����。
7) 各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描��。
8) 使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí)�,移動(dòng)介質(zhì)必須采用必要的加密措施,防止信息泄露���,有條件時(shí)使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備��。
9) 用戶在將可移動(dòng)介質(zhì)帶離公司后�,要為其上所有信息資源的安全負(fù)責(zé)��,做好安全保護(hù)工作�。一旦遺失,立刻上報(bào)技術(shù)部進(jìn)行登記�����。
10) 光盤的刻錄:
a) 帶有公司標(biāo)志的光盤���,只能刻錄公司自己的程序軟件��,不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫等軟件�。
b) 公司銷售時(shí)��,必須刻錄光盤時(shí)��,由技術(shù)部專門負(fù)責(zé)人進(jìn)行刻錄�,其他人員不得隨意刻錄光盤��。
(3)客戶現(xiàn)場(chǎng)使用規(guī)定
1) 必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新����。
2) 能使用客戶提供的U盤���、移動(dòng)硬盤的,使用客戶提供的設(shè)備����。
3) 必須使用自己的U盤����、移動(dòng)硬盤在客戶計(jì)算機(jī)上使用的�����,必須先對(duì)U盤���、移動(dòng)硬盤進(jìn)行病毒掃描�,保證提供給客戶的設(shè)備中不包含病毒��。
(4)介質(zhì)處置
1) 技術(shù)部對(duì)介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理�����,對(duì)廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。
2) 計(jì)算機(jī)硬盤��、U盤��、可移動(dòng)硬盤��、光盤��、數(shù)碼存儲(chǔ)介質(zhì)等報(bào)廢時(shí)必須粉碎處理。
3) 對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄����。
4) 對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》
5) 介質(zhì)的銷毀方式一般分為一般格式化、低級(jí)格式化��、專業(yè)軟件重寫���、物理粉碎�����。
6) 對(duì)無敏感信息的介質(zhì)作一般格式化即可���,在保證質(zhì)量的基礎(chǔ)上重新分配和使用。
7) 介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹?����。?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫���,反復(fù)次數(shù)為三次���,才能重新分配和使用����。
8) 保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí)��,要進(jìn)行粉碎處理��。
5. 實(shí)施策略
(1) 介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類表》�、《可移動(dòng)介質(zhì)授權(quán)使用表》����、《廢棄介質(zhì)處置記錄》�����。
(2) 技術(shù)部制定《介質(zhì)管理分類表》�。
(3) 技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放,并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。
(4) 對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。
(5) 對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》
6. 相關(guān)記錄
本程序發(fā)生的記錄匯總表
表1-1 ISMS文件日常應(yīng)用表格
| 表號(hào) | 記錄編號(hào) | 記錄名稱 | 保管
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?場(chǎng)所 | 保存期限 | 保存形式 | 備注 |
| 表A.1 | ISMS-3012-01 | 介質(zhì)管理分類表 | 技術(shù)部 | 3年 | 電子 |
|
| 表A.2 | ISMS-3012-02 | 可移動(dòng)介質(zhì)授權(quán)使用表 | 技術(shù)部 | 3年 | 紙質(zhì) |
|
| 表A.3 | ISMS-3012-03 | 廢棄介質(zhì)處置記錄 | 技術(shù)部 | 3年 | 電子 |
|
