《移动介质使用管理规定》P-MSP-130-56（A/0版） 第页共NUMPAGES4页 文件编制、审批、修改页 版次生效日期修改编号修订内容A/0第一版版次编制/日期部门审核/日期体系审核/日期审定/日期批准/日期A/0表单编号：P—RD—010—01-001—A/1《移动介质使用管理规定》P-MSP-130-56（A/0版） 第页共NUMPAGES4页 移动介质使用管理规定 1目的 妥善的管理和物理上的保护存储介质，使它们免遭破坏、偷盗和未经授权的访问。 2范围 适用于公司配发移动介质。 3职责 3。1综合办 负责建立可移动存储介质清单和发放控制; 3。2各使用人员 负责按照公司要求安全处理存储介质. 4工作程序及内容 4。1计算机信息系统的存储介质主要包括磁盘、磁带、光盘、盒式磁带、打印文件等。存储介质应得到妥善的管理和物理上的保护，使它们免遭破坏、偷盗和未经授权的访问。 4.2可移动存储介质的管理 4.2。1存储介质在不用的时候，应当得到安全地存放，特别是存有敏感信息和数据的介质更不能随意放置，以防被泄露。 4。2。2可移动存储介质系统科建立清单,明确相应的责任人和使用人。 4.2。3对于从企业中移走的可重复使用的存储介质，不再需要时应及时删除; 4.2。4所有的存储介质应保存在符合其要求的安全环境中。 4.3存储介质的处理 4。3.1可能需要安全处置的物品如下：书面文件、录音或其他形式的记录、复写纸、输出报告、一次性打印色带、磁带、可移动的磁盘或磁带、光学存储媒体（包括所有形式和所有制造商制造的软件分销媒体)、程序列表、测试数据、系统文档等. 4。3.2对载有敏感信息的媒体应加以安全妥当的保存或采用安全的方式由信息中心加以处置，如焚烧或碎片，或在清空数据后供本组织的其他机构使用. 4.3。3选择一个适当的有足够的控制措施和经验的承包商收购和处理文件、设备和媒体，并和承包商签订安全协议. 4.4信息处理程序 4.4.1所有介质按照信息资产要求进行标注和处理，明确责任人和使用人员； 4.4.2对访问进行限制以识别未授权的人员; 4。4。3保留数据的合法收件人的正式记录; 4。4.4确保输入数据的完整性、处理过程得以正确完成及对输出的有效确认； 4。4。5对等待输出的数据采取与其敏感性相应的保护; 4。4。6把媒体存放在符合制造商规定的环境中; 4.4。7尽量减少数据的分发; 4。4.8对所有的数据副本进行清楚标示,以引起其合法接收人员的注意； 4.4。9定期对分发清单和合法收件人的名单进行回顾。 4.5系统文档安全系统文档可能载有系列敏感信息，如对应用程序、流程、数据结构、授权过程的描述。应当考虑下面的控制措施以保护系统文档免受未授权的访问. 4.5。1系统文档应当被安全地保存. 4。5。2系统文档的访问清单要尽量简洁，并要经过应用者的授权. 4.5.3保留在公共网络上的或通过公共网络所提供的系统文档应当被适当地保护 4。6安全移动存储介质的策略 4。6。1安全移动存储介质管理系统将存储介质和制定的一台或多台内网计算机进行信息绑定,在同一安全策略控制下，这些被绑定的计算机就构成同一个信任域。只有属于同一信任域的内网计算机能够使用注册过的存储介质进行信息交换。 4.6。2安全移动存储介质管理系统支持两种安全控制策略。安全控制策略一即单独保密区策略。安全控制策略二即保密区加交换区策略。 4。6。3安全控制策略一是指存储介质只允许设置数据加密的保密区，只有属于同一信任域的内网计算机能够正常读写保密区数据，存储介质与其他计算机的信息交换必须借助中间机完成。 4。6.4安全控制策略二是指存储介质可设置为保密区和交换区两个区，属于同一信任域的内网计算机能够正常读写存储介质的两个区，其他计算机通过口令认证后可使用交换区。 4。7安全移动存储介质的配发 4。7.1各部门应按照规定的范围发放和使用安全移动存储介质。安全移动硬盘的配发根据部门业务工作性质、员工数量等,按比例配，由各部门制定专人负责管理. 4。7.3公司内网计算机均应安装安全移动存储介质管理系统客户端软件。员工内网计算机若因特殊情况不安装安全移动存储介质客户端，须经部门主要负责人和公司信息安全归口管理部门负责人签字同意。 4。7。2根据需要及所选择策略为部门配置中间机，各部门制定专人进行管理。 4.7.3各部门和员工现有的移动存储介质经过注册、编号后，也可作为安全移动存储介质使用. 4。8安全移动存储介质的使用 4.8。1安全移动存储介质应当用于存储工作信息，不得用于其它用途。涉及公司企业秘密的信息必须存放在保密区，不得使用普通存储介质存储涉及公司企业秘密的信息. 4.8.2禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到外网计