移动介质使用安全规范

移动介质使用安全规范第一章总则第一条目的为规范移动介质（包括U盘、移动硬盘、光盘、存储卡等可移动存储设备）的使用管理，防范因移动介质使用不当导致的信息泄露、病毒感染、系统瘫痪等安全事件，保障单位信息系统及数据资产的安全，特制定本规范。第二条适用范围本规范适用于单位内部所有员工（包括正式员工、合同制员工、实习生、外聘人员等）在工作中对移动介质的采购、领用、使用、保管、报废等全流程操作，以及涉及移动介质的相关管理活动。第三条职责划分1.信息安全管理部门：负责本规范的制定、修订、解释和监督执行；组织开展移动介质安全使用培训；对移动介质使用过程中的安全事件进行调查和处理。2.各部门：负责督促本部门员工遵守本规范，加强对本部门移动介质的日常管理；及时上报本部门发生的移动介质安全事件。3.员工：严格遵守本规范的各项规定，规范使用移动介质；发现移动介质安全问题及时向本部门负责人和信息安全管理部门报告。第二章移动介质的采购与领用第四条采购要求1.移动介质实行统一采购制度，由单位指定的采购部门按照相关采购流程进行采购。2.采购的移动介质需满足以下安全要求：具备加密功能、防病毒入侵能力，符合国家相关安全标准和单位信息安全管理规定。3.采购部门在采购前应向信息安全管理部门确认移动介质的安全性能要求，采购后需将移动介质的型号、数量、采购日期等信息报信息安全管理部门备案。第五条领用管理1.员工因工作需要领用移动介质时，需填写《移动介质领用申请表》，经本部门负责人签字批准后，到资产管理部门办理领用手续。2.资产管理部门发放移动介质时，需对领用员工的身份信息进行核实，登记移动介质的序列号、领用日期、领用人等信息，并由领用人签字确认。3.领用的移动介质仅限领用人本人使用，不得转借、转租给其他单位或个人。第三章移动介质的使用规范第六条内部使用要求1.移动介质在单位内部使用前，必须经过单位指定的杀毒软件进行全面扫描，确认无病毒、木马等恶意程序后方可使用。2.严禁将未经安全检测的移动介质接入单位内部信息系统。3.在使用移动介质存储数据时，应根据数据的敏感程度进行分类存储，涉密数据必须存储在具备加密功能的专用移动介质中，并严格遵守涉密数据管理规定。4.不得在移动介质中存储与工作无关的内容，如游戏、影视文件等。5.使用完毕后，应及时从计算机等设备中拔出移动介质，并妥善保管。第七条外部使用限制1.严禁将单位内部的移动介质接入外部公共网络中的计算机或其他设备，如网吧、公共图书馆等场所的计算机。2.因工作需要将外部移动介质接入单位内部信息系统时，必须先经本部门负责人批准，并交由信息安全管理部门进行安全检测和处理，确认安全后方可使用。3.从外部获取数据导入单位内部信息系统时，必须通过单位指定的安全导入设备进行，不得直接使用外部移动介质接入内部系统。第八条加密管理1.存储涉密数据和重要业务数据的移动介质必须启用加密功能，加密密码应符合单位密码管理规定，长度不少于8位，包含大小写字母、数字和特殊符号。2.加密密码应定期更换，更换周期不超过90天，且不得使用与历史密码相同或相似的密码。3.严禁将加密密码告知他人，不得将密码记录在易被他人获取的地方。第九条操作规范1.在插拔移动介质时，应按照正确的操作方法进行，避免因操作不当导致移动介质损坏或数据丢失。2.不得对移动介质进行格式化、分区等操作，确需进行此类操作的，需经信息安全管理部门批准，并由专业技术人员进行操作。3.在使用移动介质过程中，如发现移动介质出现异常情况（如无法读取、数据损坏等），应立即停止使用，并及时向信息安全管理部门报告，不得自行拆卸或维修。第四章移动介质的保管与维护第十条保管要求1.员工应妥善保管所领用的移动介质，避免移动介质受到物理损坏、丢失或被盗。2.移动介质应存放在干燥、通风、防火、防盗的环境中，避免阳光直射、高温、潮湿等环境对移动介质造成损害。3.携带移动介质外出时，应采取必要的安全防护措施，如放入专用的防护盒中，避免与其他硬物碰撞。4.下班后，移动介质应存放在单位指定的安全存放地点，不得随意放置在办公桌上或带离单位（经批准的情况除外）。第十一条维护管理1.信息安全管理部门应定期对单位内部的移动介质进行检查和维护，及时发现和处理移动介质存在的安全隐患。2.员工应定期对所使用的移动介质进行数据备份，备份数据应存储在安全的地方，避免数据丢失。3.如移动介质出现故障，应及时交由信息安全管理部门或专业的维修机构进行维修，不得自行维修或交由非正规维修机构处理。第五章移动介质的报废与销毁第十二条报废条件移动介质出现以下情况之一的，应予以报废：1.达到规定的使用年限（一般为3-5年），性能无法满足工作需求的；2.物理损坏严重，无法修复或修复成本过高的；3.存在严重的安全漏洞，无法通过技术手段修复的；4.其他符合报废条件的情况。第十三条报废流程1.员工认为所使用的移动介质符合报废条件的，应填写《移动介质报废申请表》，经本部门负责人签字批准后，报信息安全管理部门审核。2.信息安全管理部门对申请报废的移动介质进行检测和评估，确认符合报废条件的，签署审核意见后，报资产管理部门办理报废手续。3.资产管理部门对报废的移动介质进行登记备案，并按照相关规定进行处理。第十四条销毁要求1.报废的移动介质必须进行彻底销毁，确保其中存储的数据无法被恢复。2.移动介质的销毁工作由信息安全管理部门负责组织实施，可采用物理销毁（如粉碎、焚烧等）或数据擦除等方式进行。3.销毁过程应有专人监督，并做好销毁记录，记录内容包括销毁时间、地点、方式、销毁的移动介质数量和序列号、监督人等信息。第六章安全事件处理第十五条事件报告员工发现移动介质丢失、被盗、感染病毒、数据泄露等安全事件时，应立即向本部门负责人和信息安全管理部门报告，报告内容包括事件发生的时间、地点、经过、涉及的移动介质信息及数据情况等。第十六条应急处置1.信息安全管理部门接到安全事件报告后，应立即启动应急处置预案，组织人员对事件进行调查和处理。2.对于移动介质丢失或被盗的情况，应立即采取措施，防止数据泄露，如更改相关系统密码、关闭敏感数据访问权限等。3.对于移动介质感染病毒的情况，应立即对受感染的移动介质和相关计算机设备进行隔离和杀毒处理，防止病毒扩散。第十七条调查与追责1.信息安全管理部门对安全事件进行深入调查，查明事件原因、责任人和造成的损失。2.根据调查结果，对相关责任人进行处理，处理方式包括批评教育、警告、记过、降职、解聘等；情节严重的，依法追究法律责任。第七章监督与培训第十八条监督检查信息安全管理部门定期对各部门移动介质的使用、保管、报废等情况进行监督检查，对违反本规范的行为及时予以纠正和处理。检查结果纳入各部门和员工的绩效考核。第十九条培训教育1.信息安全管理部门定期组织开展移动介质安全使用培训，提高员工的信息安全意识和操作技能。2.新员工入职时，必须接受移动介质安全使用培训