移动存储设备信息安全管理规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISMS移动设备安全管理规范
(ISO27001-2013)
针对移动存储设备的隐患及原因,为了更好对移动存储设备做到安全管控,制定以下制度。
第一章设备管理
第一条移动存储介质的管理应遵循“统一购买、统一标识、登记注册、集中管理、责任到人”的原则。
第二条一律禁止私人携带移动存储设备进入办公区域,移动设备包括但不限于U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。
第三条涉密移动存储介质由单位指定的相关部门负责统一购买,所购置的设备必须为正规厂商生产的合格产品。
第四条公司建立统一的移动存储设备资料库,记录设备的密级、用途、硬件特征码、管理部门、责任人等信息备查,涉密移动存储介质应在显著位置粘贴密级标识。
所标密级应按其所存储信息的最高密级进行标识。
第五条公司建立移动存储设备发放流程,由专人负责设备发放工作,需要使用移动存储设备的部门或者个人需提出申请,并说明用途,到行政部领用。
第六条移动存储设备损坏不得擅自拆卸,严禁将损坏涉密移动存储介质出售或随意丢弃,应立即交回行政部统一处理。
第七条涉密移动存储介质严禁外送维修,确需维修需经公司主管领导批准,维
修时应在公司指派人员的监督下进行。
第八条不再使用或报废的涉密移动存储介质,应交回行政部,采取保密技术手段确保其所存储信息不可恢复或进行物理销毁。
销毁涉密移动存储介质须经公司领导批准,并履行登记、相关人员签字等手续。
第二章内部使用
第一条公司内部只能使用由公司统一派发的移动存储设备,严禁外来移动存储设备在公司内使用,确因工作需要须到指定专用计算机上使用。
第二条公司信息安全管理员对涉密移动存储介质要定期进行保密技术检查,随时掌握每个移动存储设备的工作状态,监控设备使用过程。
第三条涉密移动存储介质严禁在与国际互联网相连接的计算机上使用,严禁使用非涉密移动存储介质存储、处理保密信息。
第四条涉密计算机应具备移动存储识别能力,可由信息安全管理员或者计算机使用者设定,只允许合法的移动存储设备在特定涉密计算机上使用。
第五条涉密移动存储介质不得降低密级使用,严禁将涉密移动存储介质进行重新格式化或删除信息等方式后,作为普通存储介质使用。
第六条公司移动存储设备严禁外借,严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。
第七条移动存储介质存储的数据必须与密级相符,禁止通过移动存储介质将涉密信息拷贝在家用电脑或外公司电脑上。
第八条涉密人员离职离岗前,要将所保管的涉密移动存储介质全部退回,备份其设备使用日志,并办理相关移交手续。
第三章设备外带
第一条移动存储设备原则上不得带离公司使用,如确因工作需要需带离公司的,须经公司领导批准,并确保涉密移动存储介质始终处于携带责任人的有效控制之下。
第二条携带涉密移动存储介质外出,需向上一级公司领导申请,并备案本次外出携带的资料内容样本,设定有效使用期限,到期处理方式等。
第三条严禁以明文的形式将资料存储在移动存储设备中,应配备资料使用口令或钥匙,口令设置应满足安全需要,不得过于简单和容易猜测,禁止将解密钥匙与资料同时存放在同一个移动存储介质中。
第四条设备带回后应交由信息安全管理人员确认介质序列号,并作病毒木马扫描等日常处理,方可实行联机操作,接入单位内部使用。
第五条从外公司通过移动存储设备带回本公司的数据必须经过安全验证,确保符合公司数据管理规定方可拷入公司内部使用。
备注:移动存储设备应用广泛便利,同时也带来了信息外泄的安全威胁。
归纳移动存储设备的隐患主要表现在:
1、移动存储设备具有随意复制计算机内文件的功能;
2、移动存储设备易丢失导致信息泄漏;。