存储介质安全管理办法
第一章 总则
第一条 为加强长江师范学院存储介质管理和保护,确保师大重要敏感信息不被泄露,制定本办法。
第二章 适用范围
第二条 本办法适用于长江师范学院教学院(部)、机关部门,各专职科研机构、学术传播机构、校医院等二级单位,规范与非涉密信息系统建设维护相关的介质管理。
第三条 本办法所指的介质是指与非涉密信息系统建设和维护相关的各类数据存储的物理介质,包括纸质文档、硬盘、磁带、光盘、U盘,但不包括员工个人所有的光盘、U盘和移动硬盘。
第三章 职责
第四条 介质管理员负责介质的管理和维护。
第五条 介质管理员由各二级单位运维管理小组指定的人员担任。其主要工作如下:
1.负责介质的存放、使用、维护和销毁的管理。
2.负责过期介质信息的清除和销毁。
3.负责介质相关信息的收集和整理、并将发现的安全问题通知相关管理员。
4.负责对介质的出入库,使用和销毁和记录。
5.负责组织介质盘点。
第四章 介质管理的原则
第六条 介质的使用必须有授权。
第七条 非涉密系统的存储介质严禁存储涉密信息。
第八条 介质的归档必须有记录。
第九条 介质的销毁必须经过学校网络安全与信息化领导小组办公室批准并按指定方式进行。
第十条 介质的记录必须包括对其进行的任何操作。
第五章 介质的管理
第十一条 介质的使用必须经过各业务信息系统相关领导的批准和授权。
第十二条 介质标识
1.介质标签必须标记在显著位置,建议在存储介质外壳的表面上出现。
2.应根据介质类型进行分类标识,如磁带、硬盘及其他存储介质等需使用不同的分类标签。
第十三条 介质传递
1.介质需要移送到学校外部时,要经过妥善包装并密封。
2.含有重要敏感信息的介质在传递过程中须由学校人员亲自交给接受方。
3.对于重要介质,在其传输过程中应对数据进行加密。
4.介质的转移和分配应使用《介质领用表》、《介质带出登记表》记录其传递过程。
第十四条 介质访问
1.安装和使用存储设备时必须防止非授权的访问。
2.如果将介质交给外部人员使用,需要介质管理员确认重要敏感信息已经被有效清除。
3.必须对所有介质的出入库记录进行控制,并及时更新和维护《介质清单》。
4.所有含有学校内部信息的介质对外部人员都是保密的,严禁任何人员未经授权带离学校办公地点。
5.更换属于合作方保修范围内的损坏介质时,需要和合作方签订保密协议,以防止泄漏其中的重要敏感信息。
第十五条介质保管
1.磁盘、磁带库和磁盘阵列等不可移动的介质应保存在具有防震、防火、防水、防雷、防静电及具备温湿度调节措施的物理环境中。
2.含有重要敏感信息的介质应对介质中的数据和软件采取加密存储,并将介质存放在保险柜中。
3.建立《介质清单》,将介质信息录入《介质清单》并及时维护《介质清单》。
4.每年对介质进行一次盘点,并将盘点结果与《介质清单》进行对照。
5.介质盘点与检查发现的任何差异必须报告给运维工作分管领导,所有介质都必须包括在盘点清单中。
6.工作人员离职或岗位调动前,必须将所有保管、使用的移动存储介质全部退回。介质管理员有责任对退回的移动存储介质进行检查,并在《介质清单》中进行更新。
第十六条介质维修
1.应对介质送出维修进行严格的管理,对送出维修的介质应首先清除介质中的敏感数据。
2.含有重要敏感信息的存储介质需要送外部进行维修或作数据恢复时,必须在《介质带出登记表》中进行登记,再到指定的具有保密资质的单位进行处理,并将废旧的存储介质(硬盘、磁带、光盘、U盘等)回收。
3.必要时,应在存储介质采购时购买介质维修不返还服务,即对故障存储介质更换时不必将故障介质返还给厂家。
第十七条介质销毁
1.任何计算机存储介质不再用于存储重要敏感信息之前,必须进行格式化。
2.介质上删除重要敏感信息后,必须执行重复写操作防止数据恢复。
3.介质的销毁首先要提交销毁申请给各业务信息系统相关领导,经批准后方可执行销毁。
4.磁带、磁盘、光盘、硬盘等介质的报废处理方式为切碎或者烧毁。
5.介质销毁后,介质管理员需在《介质销毁记录表》中登记,并更新《介质清单》。
第六章 附则
第十八条本办法自发布之日起执行。
第十九条本办法由信息化办公室负责解释。
附件
附件一:《介质带出登记表》
附件二:《介质设备领用表》
附件三:《介质清单表》
附件四:《介质销毁记录表》
附件一:
介质设备带出登记表
记录表式号: 记录顺序号:
No. | 设备类型 | 编号 | 名称 | 借用日期 | 归还日期 | 借用人 | 所属部门 | 借用目的 | 储存信息 | 备注 |
1 | ||||||||||
2 | ||||||||||
3 | ||||||||||
4 | ||||||||||
5 | ||||||||||
6 | ||||||||||
7 | ||||||||||
8 | ||||||||||
9 | ||||||||||
10 |
附件二:
介质领用表申请表
记录表式号: 记录顺序号:
申请人 | 申请日期 | |||
使用人 | 所属部门 | |||
申请类型 | ○借用 ○领用 ○作废 ○丢失 | |||
设备信息 | 编号 | |||
类型 | ○台式电脑 ○笔记本电脑 ○U盘 ○服务器 ○其他﹍﹍﹍﹍﹍ | |||
名称(型号) | ||||
借用期间或 丢失、作废时间 | 自﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍开始至﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍结束(借用时填写) ﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍(丢失、作废时填写) | |||
使用或丢失场所 | ○公司 ○家庭 ○其他﹍﹍﹍﹍﹍﹍ | |||
借用目的或 丢失、作废原因 | ||||
审核人意见 | 签名: 日期: 年 月 日 | |||
批准人意见 | 签名: 日期: 年 月 日 | |||
备注 | ||||
附件三:
介质清单表
记录表式号: 记录顺序号:
NO.
介质编号
类型
存储内容
存放位置
保管人
所属部门
保管时间
验证人
备注
1
2
3
4
5
6
7
8
附件四:
介质作废登记表
记录表式号: 记录顺序号:
NO | 设备类型 | 编号 | 名称 | 作废原因 | 存储信息 | 申请人 | 所属部门 | 批准人 | 作废日期 |