茂名职业技术学院介质安全管理规定
第一章 总 则
第一条 为加强茂名职业技术学院重要信息系统介质安全管理,即对存储介质的使用、存储、携带、记录、清单等活动提供明确的安全管理标准,特制定本规定。
第二条 本规定适用于茂名职业技术学院重要信息系统的所有硬件资产、软件资产、数据资产以及信息系统的相关技术人员等。
第二章 介质标识
第三条 存储介质标识须贴在设备表面易观察到的地方。
第四条 存储介质要全面考虑数据分类标签的需求,如磁带、磁盘及其它存储介质等要有不同的分类标签。
第三章 介质保存
第五条 存储介质由资产管理员统一管理。
第六条 资产管理员负责对接入系统的存储介质进行登记,记录在《介质管理登记表》。
第七条 资产管理员应定期检查各备份存储介质的状态和容量,并定期进行数据恢复测试,各备份存储介质的管理部门应积极配合资产管理员的工作。
第八条 备份存储介质在保存前,应仔细阅读介质的说明书,将介质保存在安全的物理环境下(如:防火、电力、空调、湿度、静电及其他环境保护措施)。
第九条 对含有机密和绝密信息的存储介质,要存放在保险柜里。
第四章 介质访问
第十条 安装和使用存储设备时必须防止非授权的访问。
第十一条 如果将存储介质给第三方使用,需要存储介质管理员确认机密信息已经删除。
第十二条 必须对所有存储介质的借领用及销毁记录进行控制;
第十三条 所有含有组织内部信息的存储介质对外部人员都是保密的,严禁组织的员工、顾问和合作方带走;如更换属于合作方保修范围内的损坏介质,需要和合作方签订保密协议,以防止泄漏其中的保密信息。
第五章 介质传递
第十四条 存储介质在传送途中需采用牢固、可靠的包装方式,以使其避免碰撞、受热、受潮。
第十五条 存储介质在传送途中需根据其存储数据的敏感程度,采用有效的包装方式(如使用可上锁的坚固容器),以使其避免被非授权获取。
第十六条 存储介质无论使用何种传送形式,都必须有可追溯的明确标识(如运货单位和收件人的确切联系方式)。
第十七条 存储介质在茂名职业技术学院内部传送过程中,同样需要采取以上的安全措施。
第十八条 所有工作人员必须遵守存储介质的传送处理要求。
第十九条 对于特地为传送而制作的存储介质,原则上要求在传送前为该存储介质制作至少一次备份,用于存储介质在传送过程中被损坏或丢失后的快速重新传送和对丢失数据的评估。
第二十条 为确保在保存和传送期间的安全性,需在储存介质传送前采取如下保护措施:
(一) 已经储存了数据的储存介质,在传送之前必须将其锁在适合柜子或库房内。
(二) 储存介质的发送和传送单位、部门,必须采取有效的保护措施,防止存储介质损坏或丢失。
(三) 储存介质在传送过程中如发生意外情况,则后续储存介质的传送需采取分批传送和使用不同路线传送的方法,以避免再次发生意外情况。
(四) 储存介质的收件方必须有安全可靠的进行储存介质接收与检查的接待室。
第二十一条 资产管理员负责选择可靠的存储介质传送代理和快递公司,并留有一份部茂名职业技术学院已认证的传送代理和快递公司的清单。
第二十二条 存储介质的移交重用是指存储介质的原使用方将已使用的存储介质移交给另外一方重复使用。存储介质在移交重用前必须进行登记备案。
第二十三条 磁带和磁盘允许移交重用,但光盘不允许移交重用。
第二十四条 磁带在移交之前,移交方必须负责使用专用的消磁设备进行消磁。
第二十五条 磁盘在移交之前,移交方必须负责使用专门的数据擦除软件擦除其上存贮的数据。
第六章 介质销毁
第二十六条 存储介质在销毁前必须进行登记备案。
第二十七条 存储介质在销毁过程必须由两个或两个以上的专人进行监督和核对。
第二十八条 任何计算机存储介质不再用于存储保密信息之后,必须要进行格式化。
第二十九条 存储介质的销毁首先要提交销毁申请给相关领导,经领导批准方可执行销毁(没有批准的销毁是犯罪行为)。
第三十条 对含有机密信息的存储介质不再使用时,应提供垃圾箱,便于销毁这些垃圾箱中的内容,以使这些信息不能使用,并与本地相关部门联系,销毁这些机密信息存储介质。
第三十一条 如果对方组织通过存储介质提供信息,并要求返回存储介质时,保证介质内容已经销毁。
第三十二条 存储介质上删除保密信息后,必须执行重复写操作防止数据恢复。
第三十三条 磁带、磁盘和光学贮存介质必须在处置前进行物理销毁,并由两个或两个以上的专人进行监督和核对,销毁方式如下:
(一) 销毁磁带,需使用专用的消磁设备进行消磁后,再从磁带筒中取出磁带卷,用剪刀剪成最大长度为5厘米的磁带片断,将磁带片断混淆后丢弃。磁带盒表面标签上记录的敏感信息内容必须擦除,如无法擦除,则可以将其标签撕下后用碎纸机碎掉;如无法撕下标签,则可以使用工具物理破坏磁带盒,并确保磁带盒表面标签上的内容无法复原。
(二) 销毁光盘,需用剪刀沿光盘中心点将其剪成基本对称的4块光盘碎片,再将这4块光盘碎片剪成最大面积不超过光盘总面积1/8的光盘碎片,然后将光盘碎片混淆后丢弃。
(三) 销毁磁盘,需使用专用的消磁设备进行消磁后,再使用工具物理破坏磁盘,然后丢弃。
第三十四条 存储介质销毁后,销毁执行人负责填写《介质销毁记录表》。
第三十五条 所有工作人员必须遵照介质安全管理规定,相关单位、部门应加强管理,防止介质管理存在安全问题。如由于未遵循以上制度导致出现介质安全问题,相关单位、部门和人员负有责任。
第七章 系统文档安全管理
第三十六条 资产管理员负责对系统文档的存储进行保管。
第三十七条 对系统文档的访问授权应保持最少量,并要经过管理代表授权。
第三十八条 不要将系统文档存放在公共网络上,如果要保存一定要有备份,而且文档一定要设置密码。
第八章 附 则
第三十九条 本规定由由网络与信息安全工作领导小组和教育信息与网络中心负责解释。。
第四十条 本规定自发布之日起执行。