1、 辽 宁 省 地 方 标 准 DB21 DB21/T 1711 2008 移动存储介质安全管理规范 2008-12-22 发布 2009-01-22 实施 辽宁省质量技术监督局 发布 DB21/T 1711 2008 目 次 前言 引言 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 一般要求 1 5 采购 1 6 存放 1 7 使用 2 8 外出携带 2 9 维修 2 10 报废或销毁 2 DB21/T 1711 2008 前 言 本标准由辽宁省信息产业厅提出,并归口。 本标准起草单位:辽宁北方实验室有限公司、辽宁省信息安全与软件测评认证中心。 本标准主要起草人:于春刚、郭剑锋
2、、管冰、吴治、王宁、赵英科、郝玉军。 本标准于 2008年 12月 首次发布。 DB21/T 1711 2008 引 言 随着计算机技术和 IP 网络技术的发展和普及,信息化技术的提高,计算机信息处理和网络办公已经是各种机构和部门的有机组成 部分,在计算机间的信息传递已经由原来的软盘复制等方式转化为网络传输、移动存储介质的复制等方式,随之而引起的计算机病毒、黑客攻击、木马等威胁也对计算机的信息造成了巨大的危害,目前针对各种机构和部门的关于移动存储介质的采购、使用、存储等管理还没有一个系统化、规范化的操作标准,因此制定本标准尤其显得紧迫和重要。 移动存储介质的 出现和普及,极大方便了数据交换和存
3、储便利性,但是,对于 相关机构 来说,移动存储 介质 小型化、形式多样化和存储量 巨大化 的特点,也给信息管理带来了很大的困难 , 容易造成计算机病毒 的 感染和泛滥 ,也会造成 相关机构的各种敏感信息的泄露,给相关机构造成了巨大的危害,因此制定本规范来约束和规定对移动存储介质的管理 。 DB21/T 1711 2008 1 移动存储介质安全管理规范 1 范围 本标准规定了 移动存储介质 存储敏感信息的机构中 移动存储介质的采购、传递、收发、存放、使用、维修和销毁活动。 本标准适用于使用 移动存储介质 存储敏感信息的机构 。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条
4、款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的 最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB/T 2887 电子计算机场地通用规范 3 术语和定义 3.1 移动存储介质 removable storage media 指具有存储功能的各类 可移动 介质。 包括: 移动硬盘、软盘、 光盘、 优盘、磁带 、存储卡。 3.2 机构 authority 指在社会生活中,人们为实现某种职能所建立的,由人财物和信息若干因素有序地联结起来的,相对稳定的社会实体单位。通常指机关、团体或其他
5、工作单位及其内部组织。 3.3 敏感信息 sensitive information 指 因 其丢失 、 不当使用或未经授权被人 接触、 修改 ,而 会 损害 国家利益或不利于 机构利益或 不利于个人依法享有的个人隐私权的所有信息 。 4 一般要求 4.1 机构应针对移动存储介质建立管理制度。 4.2 机构内应设置专门部门或人员对移动存储介质进行管理。 4.3 移动存储介质应采取统一购置、统一标识、严格登记、授权使用及领用、集中监管的模式 ,严控发放范围。严禁私人擅自使用自购的移动存储介质。 5 采购 5.1 移动存储介质采购时应遵循申报、审批、采购、标识、入账的流程。 5.2 移动存储介质的
6、采购应选择可靠的 品牌 ,确保产品质量。 5.3 移动存储介质的采购宜选择带有写保护功能的产品。 5.4 移动存储介质采购中应进行防病毒等安全性检测,在确保安全的情况下入账。 6 存放 6.1 移动存储介质应在常温下存放。 DB21/T 1711 2008 2 6.2 移动存储介质应保存在安全的场所,宜存放在电子密码文件柜内。 6.3 移动存储介质的存放环境应有防火、防盗、防水、防尘、防震、防腐蚀及防静电等措施,避免造成对介质的损坏。 6.4 移动存储介质的存放应参照 GB/T 2887 “ 4.8.2 媒体存放环境”中对存放环境的要求,远离强磁环境(高于 10 高斯),同时避免与其他能够发射
7、强磁辐射的设备一起存放。 7 使用 7.1 使用环境 7.1.1 移动存储介质应参照 GB/T 2887 “ 4.8.2 媒体 存放环境” 中对使用环境的要求,避免在 高温(高于 32)或者低温(低于 5) 的环境中使用。 7.1.2 移动存储介质的使用应远离强磁环境,避免移动存储介质与没有防护发射强磁辐射的设备一起使用。 7.2 传递 7.2.1 移动存储介质不宜通过普通邮政或快递等渠道传递。 7.2.2 移动存储介质宜派专人传递并选择安全的交通工具和交通线路。 7.2.3 移动存储介质传递应包装密封,包装上应标明编号和使用单位名称,包装的封口处应加盖密封章或加贴密封条。 7.3 接收 7.
8、3.1 移动存储介质的接收应履行登记、入账等手续。 7.3.2 收到移动存储介质后,由相关领导根据工作的需要确定本单位对其存储敏感信 息的知悉人员范围,任何部门和个人不得擅自扩大其知悉范围。 7.4 信息阅读 7.4.1 阅读移动存储介质中的信息前,应采取病毒查杀等安全措施。 7.4.2 阅读移动存储介质中的信息宜在受控的办公场所进行。 7.4.3 阅读移动存储介质中的信息宜在指定的计算机上进行。 7.4.4 在办公场所以外阅读移动存储介质中的信息,应采取避免敏感信息泄露的相关措施。 7.5 复制 7.5.1 复制移动存储介质中的信息应经过相关领导批准并履行登记手续;复制件应视同原件进行管理。
9、 7.5.2 复制移动存储介质中的信息时,不得改变其知悉范围。 8 外出携带 8.1 移动存储介质外出携带应 经过批准并 进行登记。 8.2 外出携带时 宜 选择 安全交通工具和路线并采取保护措施,使移动存储介质始终处于携带人的有效控制之下。 8.3 因工作需要携带移动存储介质出境的,应检查其存储的信息是否涉及国家秘密,如涉及国家秘密应遵守相关的国家保密法规,严禁将存储有损于国家利益的信息的移动存储介质携带出境。 9 维修 9.1 移动存储介质维修应经过审批。 9.2 移动存储介质送外部维修时应选择 可信的 维修单位进行修理,相关人员应全程陪同监督。 9.3 维修时应填写维修记录,维修记录应标明送修人姓名、送修时间、维修单位、故障原因、维修结果等信息。 10 报废或销毁 DB21/T 1711 2008 3 10.1 移动存储介质的报废或销毁应经审批,并履行清 点、登记手续。 10.2 移动存储介质的报废或销毁应采用可信的技术手段 ,确保消除的敏感信息无法还原。 10.3 移动存储介质的报废或销毁应由相关人员在现场监督执行,并由监督人员和执行人员在报废或销毁记录中共同签名。 禁止将移动存储介质作为废品出售。DB21/T17112008