信息系统介质安全管理制度

信息系统介质安全管理制度第一章总则第一条目的与依据为规范本单位信息系统存储介质（以下简称“介质”）的管理，防止因介质使用不当或管理不善造成信息泄露、丢失、损坏或被非法篡改，保障单位信息资产的机密性、完整性和可用性，依据国家相关法律法规及本单位信息安全管理总体要求，特制定本制度。第二条适用范围本制度适用于本单位所有信息系统介质的采购、登记、发放、使用、保管、借用、归还、维修和销毁等全生命周期管理活动。本制度所指介质包括但不限于各类计算机硬盘、移动硬盘、U盘、光盘、软盘、磁带、存储卡、以及存储有敏感信息的纸质文档等。所有使用、管理上述介质的单位员工、外来访客及合作单位人员，均须遵守本制度。第三条基本原则介质管理遵循“分类管理、专人负责、全程监控、安全保密”的原则。确保介质在整个生命周期内得到妥善管理，防止未经授权的访问、使用、复制和销毁。第二章组织与职责第四条管理部门单位信息安全管理部门（或指定的信息技术部门，以下统称“信息安全部门”）是介质安全管理的归口管理部门，负责本制度的制定、修订、监督和执行。其主要职责包括：1.制定和完善介质安全管理相关细则和操作流程；2.组织介质的统一采购（如需）、登记、编号和发放；3.监督检查介质使用和管理的合规性；4.组织介质安全事件的调查与处理；5.组织开展介质安全相关的培训和宣传教育。第五条部门职责各业务部门负责人是本部门介质安全管理的第一责任人，负责本部门介质安全管理制度的落实，指定专人（可兼职）负责本部门介质的日常管理，包括领用登记、使用监督、定期盘点等，并对本部门发生的介质安全事件及时上报并配合处理。第六条员工职责所有员工在使用介质时，必须严格遵守本制度及相关操作规程，妥善保管所领用或使用的介质，确保介质及其中存储信息的安全。发现介质遗失、损坏或可疑情况时，应立即向本部门负责人和信息安全部门报告。第三章介质分类与管理第七条介质分类根据介质存储信息的敏感程度和重要性，将介质划分为不同级别（例如：绝密、机密、敏感、普通），具体分类标准由信息安全部门会同相关业务部门制定。不同级别的介质应采取不同的管理和保护措施。第八条介质采购与登记1.单位所需的各类介质（特别是用于存储敏感信息的介质），应由信息安全部门统一规划和采购，或在指定渠道采购，确保介质质量和初始安全性。2.所有介质在投入使用前，必须由信息安全部门或其授权的部门进行统一登记，详细记录介质名称、型号、序列号（或唯一标识）、采购日期、用途、所属部门、责任人、密级（如适用）等信息，并进行统一编号和标识。第九条介质发放与领用1.介质的发放应基于工作需要，由领用部门提出申请，经审批后，到信息安全部门或指定地点领取。2.领用人需在介质领用登记表上签字确认，明确领用责任。领用的介质应妥善保管，不得随意转借或交与无关人员使用。第十条介质保管1.介质应存放在安全、干燥、防尘、防磁、防盗的环境中。高密级介质应存放在符合安全要求的保险柜或专用存储柜中，并由专人负责保管。2.个人领用的介质，由个人负责日常保管；部门公用介质，由部门指定专人负责保管。3.存放敏感信息的介质，应与所存储信息的密级要求相适应的安全措施进行保护。第十一条介质借用与归还2.借出的介质应按期归还，逾期未还的，信息安全部门或介质管理责任人应及时催还。归还时，应对介质状况进行检查。3.高密级介质的借用，需经单位分管领导或更高层级审批。第四章介质使用安全第十二条使用前检查介质在接入信息系统或使用前，必须进行病毒查杀和安全检查，确保无恶意代码。对于外来介质，必须在专用的隔离检测设备上进行检查，确认安全后方可使用。第十三条使用规范1.严禁将存储有单位敏感信息的介质接入未经授权的计算机或网络。2.严禁在非涉密计算机和信息系统中使用涉密介质，或在涉密计算机和信息系统中使用非涉密介质（按国家保密规定执行）。3.严禁使用未经格式化或未经安全处理的外来介质存储、处理单位信息。4.不得在个人自用计算机及其他非工作用设备上使用单位工作介质，或将单位工作介质用于与工作无关的活动。5.存储敏感信息的介质，在使用过程中应采取加密等保护措施。6.介质使用完毕后，应及时从计算机或设备中拔出，并妥善保管。第十四条信息写入与复制1.向介质写入或复制信息时，必须确认信息的来源合法、内容准确，并符合信息分类分级管理要求。3.涉及敏感信息的复制，应履行审批手续，并做好记录。第十五条介质携带与外出1.原则上禁止携带存储有敏感信息的介质离开单位。确因工作需要携带外出的，必须经部门负责人及信息安全部门批准，并采取严格的安全防护措施（如加密、专用包装等），确保介质在途安全。2.携带介质外出期间，应随身携带，妥善保管，防止遗失、被盗或被非法接触。返回单位后，应立即向信息安全部门或介质管理责任人报告使用情况。第十六条介质维护与报废1.介质发生故障时，应及时交由信息安全部门或其指定的专业人员进行维修，严禁私自拆卸或交由外部非授权单位维修。维修过程中应确保信息不被泄露。2.对于无法正常使用或达到使用寿命的介质，应进行报废处理。报废前，必须由信息安全部门对介质中的数据进行彻底清除或物理销毁，确保信息无法恢复。报废处理过程应有记录。第五章介质安全事件处置第十七条事件报告发生介质遗失、被盗、损坏，或介质中存储的信息泄露、被篡改等安全事件时，当事人应立即向本部门负责人和信息安全部门报告。报告内容应包括事件发生时间、地点、介质基本情况、存储信息情况、事件经过及可能造成的影响等。第十八条事件处理信息安全部门接到介质安全事件报告后，应立即组织调查，评估事件影响范围和程度，并采取相应的应急处置措施，如数据恢复、系统加固、通知相关单位等，防止事态扩大。对于严重的介质安全事件，应按规定上报单位领导及上级主管部门。第六章纸质介质管理第十九条纸质介质的生成与标识存储有敏感信息的纸质文档，应参照电子介质的分类标准进行标识和管理，明确其密级和分发范围。打印、复印敏感信息时，应做好登记。第二十条纸质介质的存储与销毁存储敏感信息的纸质介质，应存放在安全的文件柜中。废弃的纸质介质（特别是包含敏感信息的），必须使用碎纸机进行粉碎处理，严禁随意丢弃。第七章监督与奖惩第二十一条监督检查信息安全部门应定期或不定期对各部门介质安全管理情况进行监督检查，包括介质台账、使用记录、保管条件等，对发现的问题及时提出整改意见。第二十二条奖惩措施对于严格遵守本制度，在介质安全管理工作中表现突出或有效避免、挽回损失的部门和个人，单位将给予表彰或奖励。对于违反本制度规定，造成介质遗失、信息泄露等安全事件的，将视情节轻重对相关责任人进行批评教育、经济处罚、行政处分，构成犯罪的，依法