介质管理制度

1、总则

1.1、目的

为防止XXXXX单位信息资产、涉密信息因存储介质的误用、滥用、非法使用、非法公开和保管不善而导致的信息数据泄露、损坏、丢失、感染病毒和业务中断等情况，根据XXXXX单位信息安全建设及保密工作需要，对介质进行管理控制和物理保护，特制定本制度。

1.2、范围

本办法适用于XXXXX单位介质在复制、迁移、重复使用、保存及废弃等方面的处置，其中介质通常指U盘、移动硬盘、数码相机、光盘、磁带、软盘、其他可存储信息数据的电子设备以及含有重要资讯的资料（卡片、稿纸等）等。

1.3、职责

1. XXXXX单位负责对介质使用管理办法及相关文件进行评审和修订。
2. XXXXX单位负责介质归档管理，主要负责对介质的分发、复制、迁移、重复使用和保存等工作；
3. XXXXX单位安全管理员负责监督检查介质使用控制程序的执行情况，有权监控调查介质的使用过程，有权对不符合规定要求的行为进行处罚。
4. 各部门安排专人依据《存储介质管理制度》管理好本部门的存储设备。
5. 介质使用部门和个人负责配合、协助管理人员对存储介质的检查、没收等管理。

1.4、术语、定义及缩写语

下列术语和定义适用于本管理标准。

移动存储介质 Removable storage media

移动存储介质主要是指用于记录、存储、拷贝数据信息的移动硬盘、软盘、磁带、光盘、U盘、存储卡等磁、光及半导体介质载体。移动存储介质包括：软盘、光盘、磁盘、移动硬盘、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒、xD卡及手机、相机、磁带等。

2、管理内容及要求

2.1、移动存储介质的分发

使用部门或使用者根据需要向XXXXX单位提出申请，XXXXX单位根据使用者的需要给予适当的授权，并填写《介质使用记录》。

2.2、介质的安全保管的规则

1. 应对可移动介质进行登记管理。登记信息应包含介质类型、重要程度、存放地点等内容。
2. 应根据所承载的数据和软件的重要程度对介质加贴标识并进行分类，存储在由专人管理的保险柜或档案室中，防止被盗、被毁以及信息的非法泄漏，必要时应加密存储。
3. 涉及业务信息、系统敏感信息的可移动介质应当存放在带锁的屏蔽文件柜中，对于重要的数据信息还需要做到异地存放。
4. 介质使用者应根据工作范围划分使用级别，严格控制使用权，严禁非法、越权使用。
5. 系统产品介质、业务应用系统介质必须备份两套以上，应进行本地和异地存储。
6. 使用者应对介质的物理实体和数据内容负责，使用后应及时交还介质管理员，并进行登记。
7. 长期保存的介质，应定期进行重写，防止保存过久造成数据丢失。
8. 超过数据保存期的介质，必须经过特殊清除处理后，才能视为空白介质。
9. 对于需要送出维修或销毁的介质，应首先处理介质中的数据，防止信息泄漏。
10. 使用者认为不能正常记录数据的介质，必须由使用者提出报废介质申请，由介质管理部门责成有关人员进行测试后并提出处理意见，报批后由XXXXX单位进行销毁，并做好销毁纪录。
11. 对能够重复使用的介质需要重复使用，被授权操作者首先必须确认介质中的涉密信息或重要信息已经安全清除，其次要严格控制在介质的厂家指出的可重复使用的次数之内，确保其存贮信息的安全、可靠性。

2.3、介质保存环境的要求

介质应保存在温度 （10℃-25℃）、湿度（20%-80%，非冷凝）、防水、防火、防盗的安全环境下，如设备有特别说明则严格按照厂家规定保存环境来保存。各部门应对含有涉密信息或重要信息的介质妥善保管，防止丢失，有任何异常必须向部门领导汇报，并根据部门领导的指示对异常情况作相应的处理。

2.4、介质的信息存储

1. 对于对外公开信息，存放地点没有要求。
2. 对于对内公开信息，如果是结构化的电子信息，应存放在内部服务网络中的文件服务器等；如果是非结构化的其他信息，应存放在室内文件柜中，并有明显的分类标识。
3. 对于秘密信息，如果是结构化的电子信息，应存放在有严格管理制度、具有足够的安全防护措施的机房环境中的相关服务器和存储设备上；如果是非结构化的其他信息，应存放在室内具有较强防盗窃能力的文件柜中，并造册登记，分项存放。

2.5、备份介质的管理

1. 应指定专人负责保管业务数据备份介质。
2. 每个备份介质具有唯一的编号，并使用统一的编号方法。
3. 备份完成后，备份管理人员负责在备份介质上用不褪色笔标明介质编号，并将介质编号、介质内容、备份人员等一同登记至《备份介质记录表》中。
4. 载有数据的备份介质是重要信息资产，应放置于满足数据介质存储要求的保险柜、加锁的抽屉、有出入控制措施的专用储藏室等其它符合要求的安全场所中，并严格保障信息安全，避免信息泄露和损坏。
5. 因日常备份操作、检查备份、数据查询等要求，需要调用备份介质的，应有明确的审批和登记记录,确保备份介质的安全。
6. 为了配合公安机关及其他相关职责部门的检查，需要调用数据备份介质的，须出示相关调用文件。
7. 为配合内部的内审工作，需要调用相关的数据备份介质的，须向数据保管人出示《备份数据调用申请》。《备份数据调用申请》表须由网络安全与信息化管理部门负责人、介质使用部门负责人及相关领导人签字确认。
8. 每季度应对主要备份业务数据的介质光盘进行两次恢复验证,验证操作须纳入变更管理范围。
9. 各类型备份介质的有效期：
10. 应制定备份介质转储流程，并定期对备份介质数据进行转储，填写《备份介质转存表》。光盘介质每年转储，且在转储存放前进行恢复验证检查。
11. 失效介质包括已损坏介质、超过介质有效期的介质与超过保留期限的介质。作废介质必须进行物理销毁以防止以后进入使用渠道。任何作废介质销毁前，必须报技术部门负责人批准，销毁后必须填写《备份介质处置表》。其中超过介质有效期介质须进行转储，已损坏介质应根据情况尽可能重新备份或转储，并填写《备份介质记录表》。  
12. 备份介质如须进行异地存放，须指定存放地点和保管人，并明确责任和权限。
13. 备份介质如因异地存放需进行传递的，应有相应的手段保障传递过程中的介质安全，并有相应的交接和签收记录《备份介质递送表》。
14. 数据管理员将需要异地存放的介质放入专用信封密封并标识，送到数据存放点，由存放点人员接收，放入专用数据保存场所后，在《备份介质递送表》上签字确认。

编号格式：PTYYYYMMDDLSSCC

P表示备份保留期限 Y：保留一年    Q：保留一季度    M：保留一个月 P：永久保留

T是介质类型 D：普通DVD    L：LTO磁带  S：DDS磁带  H：硬盘

YYYYMMDD是备份的日期

L表示数据级别 A：核心业务数据  B:其他配置数据

SS表示数据备份刻录的次数

CC表示该备份数据存储地区 01：XXX        02：

介质类型	有效期
光盘介质	一年
DDS磁带	一年
LTO磁带	五年

2.6、移动存储介质的使用

1. 原则上XXXXX单位内部只能使用由XXXXX单位统一派发的移动存储设备，禁止外来移动存储设备在我信息内使用，确因工作需要须到指定专用计算机上使用。
2. 对于对外公开的信息，介质使用没有限制要求，任何人在任何场合均可以使用。
3. 对于对内公开信息，对于存储在电子介质上的信息，必须通过内部网络，以注册的合法身份，登录访问和下载使用；对于非结构化的其他信息，经介质保存部门同意，可以提取存储信息的介质使用，使用完毕放回原处。
4. 对于秘密信息，对于存储在电子介质上的信息，原则上要求联机使用，信息只能通过应用系统专用界面使用，使用者必须具有足够的使用权限；秘密信息的脱机提取或抄录，必须有相关领导的书面批准意见，其提取或抄录的相关细节必须记录在案，使用者必须对其提取或抄录秘密信息的安全保密负责；对于非结构化信息的使用，必须符合秘密级文件的相关使用规定，信息的提取或抄录必须有相关领导的书面批准意见，其相关细节必须记录在案，使用者必须对其提取或抄录秘密信息的安全保密负责。
5. 使用者要对介质的物理实体和数据内容负责，使用后应及时交还介质保管员，并进行登记。
6. 对移动存储介质要定期（至少每年一次）进行检查盘点，随时掌握每个移动存储设备的工作状态，监控设备使用过程。

2.7、移动存储介质的复制和移出

1. 要向介质拷贝涉密信息或媒体离开所在部门需要获得本部门领导的批准，记录存储的信息、理由及用途、批准人、操作人等相关信息。
2. 使用者不可使用非授权的个人移动设备复制涉密信息。

2.8、涉密移动存储介质管理

1. 涉密移动存储介质分为绝密、机密、秘密三种。各部门拟用于处理国家秘密信息的移动存储介质必须填写《涉密移动存储介质登记表》，进行申报、登记，经审批后，方能投入使用，并按其所涉及的秘密等级粘贴XXXXX单位统一制作的密级标识。凡未进行申报、登记、审批的移动存储介质均属非涉密移动存储介质，严禁用于存储国家秘密信息。
2. 涉密人员应根据其岗位密级以及办公需求配备相应密级的涉密移动存储介质。
3. 涉密移动存储介质不能直接与上国际互连网或其它公共信息网的计算机相连接，用于下载国际互联网、公共信息网信息的移动存储介质不得与涉密计算机和涉密计算机信息系统相连接。如需从网上下载资料，应该用非涉密移动存储介质从上网计算机上下载资料后，通过中间机（中间机指的是既不用于上网又不是涉密的计算机）进行杀毒处理后，对资料进行存储并导入涉密计算机。
4. 因工作需要使用涉密移动存储介质向有关机关、单位提供涉密信息的，应由项目组负责人或部、处领导审批。必须一事一盘（可用光盘）严禁提供与该项工作无关的其他涉密信息。传递时应进行检查。
5. 涉密移动存储介质的传递按涉密文件管理规定通过机要交通进行，严禁通过普通邮局、特快专递等非机要形式传递。
6. 因工作需要接收外来的移动存储介质应由保密员进行登记。按移动存储介质管理要求进行管理。外来移动存储介质应进行病毒检查和杀毒后才可在涉密计算机上使用。
7. 移动存储介质因使用人员岗位变动、使用期满等原因交回时，原使用人员应将移动存储介质内所有信息清除干净，所属部门对移动存储介质进行检查、确认并妥善保管。

2.9、可移动介质的外出管理

1. 介质外借使用，数据管理员需全程跟踪数据介质的情况，发现可疑上报技术部负责人。
2. 移动存储设备严禁外借，严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。  
3. 移动存储介质存储的数据必须与密级相符，禁止通过移动存储介质将涉密信息拷贝在家用电脑或其他电脑上。  
4. 职工离职离岗前，要将所保管的移动存储介质全部退回，备份其设备使用日志，并办理相关移交手续。
5. 如因开会、出差等原因需要将移动介质带出公司时，必须由文档管理员填写《介质外出登记记录》。
6. 带出工作环境的移动介质，必须进行内容加密和监控管理。

2.10、可移动介质的维修管理

1. 常规的介质错误或软故障维修由网络安全与信息化管理部门进行维护处理。
2. 移动介质如发生硬件故障、损坏等情况需要外送维修时，必须由技术部对介质中的敏感数据进行清除处理，清除处理后的数据必须不可恢复。
3. 对于数据无法识别也无法清除的涉密移动介质可由网络安全与信息化管理部门提出申请走介质报废流程。

2.11、可移动介质的销毁管理

1. 必须经过部门领导批准。
2. 确保信息的保密性，能进行删除操作的，将涉密信息或重要信息进行删除。
3. 设备报废时，由设备责任人统一清除存储介质内的软件、数据等信息，并做好登记——《介质使用记录》。信息的清除应该尽可能的使用不可恢复的清除方式进行彻底删除。对纸质文件可用碎纸机粉碎。

移动介质销毁可参照下述方式进行：

a)移动硬盘：文件先做删除，高级格式化后，低级格式化。报废的硬盘，需要粉碎报废。循环使用的硬盘，低级格式化后，拷入大量数据，覆盖无用信息后，高级格式化，再使用。

b)U盘：报废后能正常使用的写入大量数据并格式化后粉碎，不能正常使用的直接粉碎。

c)光盘：一次性光盘，粉碎。可擦写光盘，格式化后再使用。

d)Cmos芯片：粉碎。

e)Flash卡：报废后粉碎。

f)可擦写芯片：删除文件，粉碎。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。

4、附录和附件

附件1：介质使用记录

介质使用记录

使用人姓名		部门
介质类型		介质编号
外出起止时间		介质密级
携带外出地点		是否返回
携带外出原因
采取防护措施
部门领导审批意见
备注

附件2：涉密移动存储介质登记表

涉密移动存储介质登记表

编号	介质类型	责任人	备注

附件3：介质登记和盘点记录

介质登记和盘点记录

编号	重要程度	存储内容	存放地点	17年登记状态	18年盘点状态	19年盘点状态	20年盘点状态

附件4：介质维修/外出记录

介质维修/外出记录

介质编号	介质可用性情况	维修原因及数据备份清除情况	外出原因及数据加扰加密情况	经办人签字	批准人签字	时间

附件5：介质销毁登记记录

介质销毁登记记录

介质编号	销毁原因	数据处理情况	经办人签字	批准人签字	时间