015-介质控制程序

1、介质控制程序撰写： 发布：2021年4月1日文件编号：YJF-SP-015版本：A1文档秘级：秘密版本历史序号版本修订内容修订部门/人修订时间1A0制定2020-8-12A1制定2021-4-13451范围本标准规定了*科技信息介质处置的管理，包括对介质进行控制 和物理上的保护，以防止信息遭受未授权泄露、修改、移动或销毁以及业务活动遭受干 扰。2规范性引用文件以下文件中的条款通过本标准的引用而成为本标准的条款。但凡注日期的引用文 件，其随后所有的修改或修订均不适用于本标准，然而，鼓励各部门研究是否可使用这 些文件的最新版本。但凡不注日期的引用文件，其最新版本适用于本标准。3术语和定义无4职责和

2、权限1系统运维部负责公司相关信息介质的维护和管理。4.2介质使用部门和使用者由部门负责管理的介质，由该部门领导负责保管或指定专人负责保管。个人使用的 介质由本人负责保管。5规定1总那么1. 1任何信息设备，如：计算机、交换机、打印机、 机、复印机等，都需要 介质进行存储，当存储设备或介质需要转移或销毁时，如果处理不当，很容易造成信息 泄漏。因此，必须按规定执行处置。. 1.2介质分为一般介质和可移动介质，一般介质包括：文件档案、计算机存储介 质，可移动介质是指U盘、移动硬盘、数码相机、光盘、磁带、软盘和打印的媒体等。.1.3介质处置原那么：当不再需要时，介质应该按照正式的程序可靠、平安的处置,

3、 使敏感信息泄露给未经授权的人员的风险最小化。5.2介质处置5. 2.1敏感信息介质的处置应该与信息的敏感程度相一致，介质的敏感程度应考虑风险评估的结果。5. 2.2介质处置应考虑以下原那么：a）将所有的存储介质都应平安的收集和处置；b）信息介质的处置前应该识别需要平安处置的工程；c）销毁方式一般分为一般格式化、低级格式化、专业软件重写、粉碎。d）对无敏感信息的介质作一般格式化即可，在保证质量的基础上重新分配和使用。e）保存有敏感信息的存储介质应当得到平安的存放和处置。对于含有敏感信息的 介质应采用低级格式化或专业软件重写，反复次数为三次，再进行粉碎。f）应对含有敏感信息的存储介质的处置做出记

4、录，以备审查。g）销毁的介质在处理后宜保存三个月后再作处理。2. 3处置措施可以是：a）软盘：文件删除后，高级格式化后粉碎。或利用专用磁盘维护工具，处理后粉 碎。b）硬盘：文件先做删除，高级格式化后，低级格式化。报废的硬盘，需要粉碎报 废。循环使用的硬盘，低级格式化后，拷入大量数据，覆盖无用信息后，高级格式化， 再使用。c）光盘：一次性光盘，粉碎。可擦写光盘，格式化后再使用。5.3可移动介质处理3. 1介质管理可移动介质领用须由申请人在0A系统中填写“信息平安权限申请”经部门领导审 核，系统运维部批核，网络组受理。不准随意将移动介质借给他人及非相关人员使用， 损坏的移动介质不得随意丢弃，应按照

5、规定方式销毁处理。3.2复制和移出向可移动介质拷贝敏感信息，或将可移动介质带离公司需要获得本部门领导的批 准，存有涉密数据的移动硬盘由专人负责，外出携带时要严格控制在平安使用范围内， 存储的涉密数据使用完后要及时删除。3.3重复使用对能够重复使用的可移动介质需要重复使用，被授权操作者首先必须确认可移动介 质中的敏感信息或重要信息已经平安清除，其次要严格控制在可移动介质的厂家指出的 可重复使用的次数之内，确保其存贮信息的平安、可靠性。3. 4保存可移动介质的的保管部门应按介质要求的保存环境来保存含有敏感信息或重要信 息的可移动介质，各部门应对含有敏感信息或重要信息的可移动介质妥善保管，防止丢 失

6、，有任何异常必须向部门领导汇报，并根据部门领导的指示对异常情况作相应的处理。3. 5废弃可移动介质应经过部门领导认可，需确保信息的保密性，能进行删除操作的，将保 密信息或重要信息进行删除。需要废弃的介质统一送到系统运维部，由信息管理人员统 一进行平安销毁处理。3.6隐私管理5. 3. 6. 1各部门应记录于存储PH的移动介质和或设备的任何使用情况，在可行的 情况下，各部门应使用在存储PH时允许加密可移动物理介质和或设备。未加密的介质 应在不可防止的情况下使用，并且在使用未加密的介质和或设备的情况，公司应实施相 应规程或补偿控制（如防篡改），以降低PII的风险。5. 3. 6. 2在处置存储PII的移动介质的情况下，可移动介质应经过部门领导认可， 需确保信息的保密性，能进行删除操作的，将保密信息或重要信息进行删除。需要废弃 的介质统一送到系统运维部，由信息管理人员统一进行平安销毁处理，并实施以确保先 前存储的PH信息不能被访问。5. 3. 6. 3使用物理介质进行信息传输，应记录包含PII的传入和传出物理介质的信 息，包括物理介质的类型，授权的发件人及收件人，日期和时间以及物理介质的数量。 在可能的情况下，应实施其他措施，如加密，以确保数据只能在目的地而非传输途中被 访问。公司在物理介质离开场所之前对包含