1. 目的和范圍
任何信息設(shè)備,如:計(jì)算機(jī)、交換機(jī)、打印機(jī)、傳真機(jī)、復(fù)印機(jī)等,都需要介質(zhì)進(jìn)行存儲(chǔ),當(dāng)存儲(chǔ)設(shè)備或可移動(dòng)介質(zhì)需要轉(zhuǎn)移或銷毀時(shí),如果處理不當(dāng),很容易造成信息泄漏。因此,必須按規(guī)定執(zhí)行處置。適用于移動(dòng)存儲(chǔ)設(shè)備/介質(zhì)在本公司辦公場(chǎng)所及房機(jī)內(nèi)的使用管理。
2. 引用文件
(1) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求
(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則
3. 職責(zé)和權(quán)限
(1) 綜合部
負(fù)責(zé)對(duì)公司各類的可移動(dòng)介質(zhì)和存儲(chǔ)介質(zhì)的發(fā)放、使用、處置的進(jìn)行管理。
(2) 介質(zhì)使用部門和使用者
(3)由部門負(fù)責(zé)管理的介質(zhì),由該部門領(lǐng)導(dǎo)指定專人負(fù)責(zé)保管。個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。
4. 介質(zhì)管理
(1)介質(zhì)分類
1) 技術(shù)部對(duì)公司使用的介質(zhì),進(jìn)行介質(zhì)分類,制定《介質(zhì)管理分類表》。
2) 介質(zhì)分為一般介質(zhì)和可移動(dòng)介質(zhì),一般介質(zhì)包括:計(jì)算機(jī)存儲(chǔ)介質(zhì),可移動(dòng)介質(zhì)是指U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、光盤、光盤刻錄機(jī)、PDA、帶USB接口的MP3/MP4播放器等。
(2)介質(zhì)使用管理
1) 一般情況下公司禁止使用可移動(dòng)介質(zhì)。
2) 確因工作需要使用移動(dòng)介質(zhì),須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)后方可到技術(shù)部領(lǐng)用。
3) 技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放,并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。
4) 授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。
5) 授權(quán)用戶要注意保護(hù)自己所屬可移動(dòng)介質(zhì)不被盜取。保管時(shí)要放置于安全的區(qū)域內(nèi),如帶鎖的柜子;
6) 非本公司工作人員禁止在內(nèi)部網(wǎng)絡(luò)設(shè)備上使用可移動(dòng)介質(zhì)。
7) 各使用人必須每月一次對(duì)自己使用的移動(dòng)介質(zhì)進(jìn)行病毒掃描。
8) 使用可移動(dòng)介質(zhì)保存公司秘密數(shù)據(jù)時(shí),移動(dòng)介質(zhì)必須采用必要的加密措施,防止信息泄露,有條件時(shí)使用帶有加密功能的可移動(dòng)介質(zhì)設(shè)備。
9) 用戶在將可移動(dòng)介質(zhì)帶離公司后,要為其上所有信息資源的安全負(fù)責(zé),做好安全保護(hù)工作。一旦遺失,立刻上報(bào)技術(shù)部進(jìn)行登記。
10) 光盤的刻錄:
a) 帶有公司標(biāo)志的光盤,只能刻錄公司自己的程序軟件,不得刻錄例如操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟件。
b) 公司銷售時(shí),必須刻錄光盤時(shí),由技術(shù)部專門負(fù)責(zé)人進(jìn)行刻錄,其他人員不得隨意刻錄光盤。
(3)客戶現(xiàn)場(chǎng)使用規(guī)定
1) 必須嚴(yán)格將筆記本病毒防火墻升級(jí)到最新。
2) 能使用客戶提供的U盤、移動(dòng)硬盤的,使用客戶提供的設(shè)備。
3) 必須使用自己的U盤、移動(dòng)硬盤在客戶計(jì)算機(jī)上使用的,必須先對(duì)U盤、移動(dòng)硬盤進(jìn)行病毒掃描,保證提供給客戶的設(shè)備中不包含病毒。
(4)介質(zhì)處置
1) 技術(shù)部對(duì)介質(zhì)分類表內(nèi)的介質(zhì)的廢棄進(jìn)行統(tǒng)一管理,對(duì)廢棄的介質(zhì)采用恰當(dāng)?shù)慕橘|(zhì)處置方法。
2) 計(jì)算機(jī)硬盤、U盤、可移動(dòng)硬盤、光盤、數(shù)碼存儲(chǔ)介質(zhì)等報(bào)廢時(shí)必須粉碎處理。
3) 對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。
4) 對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》
5) 介質(zhì)的銷毀方式一般分為一般格式化、低級(jí)格式化、專業(yè)軟件重寫、物理粉碎。
6) 對(duì)無(wú)敏感信息的介質(zhì)作一般格式化即可,在保證質(zhì)量的基礎(chǔ)上重新分配和使用。
7) 介質(zhì)中保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹谩?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫,反復(fù)次數(shù)為三次,才能重新分配和使用。
8) 保存有敏感信息的存儲(chǔ)介質(zhì)廢棄時(shí),要進(jìn)行粉碎處理。
5. 實(shí)施策略
(1) 介質(zhì)管理規(guī)定涉及的《介質(zhì)管理表》中包括《介質(zhì)管理分類表》、《可移動(dòng)介質(zhì)授權(quán)使用表》、《廢棄介質(zhì)處置記錄》。
(2) 技術(shù)部制定《介質(zhì)管理分類表》。
(3) 技術(shù)部負(fù)責(zé)可移動(dòng)介質(zhì)的發(fā)放,并填寫《可移動(dòng)介質(zhì)授權(quán)使用表》。
(4) 對(duì)廢棄的可移動(dòng)介質(zhì)在《可移動(dòng)介質(zhì)授權(quán)使用表》中跟蹤填寫廢棄記錄。
(5) 對(duì)廢棄的一般介質(zhì)處理填寫《廢棄介質(zhì)處置記錄》
6. 相關(guān)記錄
本程序發(fā)生的記錄匯總表
表1-1 ISMS文件日常應(yīng)用表格
表號(hào) | 記錄編號(hào) | 記錄名稱 | 保管 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?場(chǎng)所 | 保存期限 | 保存形式 | 備注 |
表A.1 | ISMS-3012-01 | 介質(zhì)管理分類表 | 技術(shù)部 | 3年 | 電子 | |
表A.2 | ISMS-3012-02 | 可移動(dòng)介質(zhì)授權(quán)使用表 | 技術(shù)部 | 3年 | 紙質(zhì) | |
表A.3 | ISMS-3012-03 | 廢棄介質(zhì)處置記錄 | 技術(shù)部 | 3年 | 電子 |