存储介质信息安全

存储介质信息安全一、管理责任体系构建（一）权责划定。各单位主要负责人是第一责任人，分管领导是直接责任人，安全管理部门负责统筹协调，技术部门负责具体实施，所有员工必须履行存储介质安全保护义务。（二）组织架构。设立存储介质信息安全领导小组，由单位主要领导担任组长，成员包括安全、技术、人事、财务等部门负责人，领导小组下设办公室于安全管理部，配备专职管理员。（三）制度完善。制定《存储介质信息安全管理规定》，明确介质分类分级标准、使用审批流程、交接登记要求、销毁处置程序等核心内容，制度需经单位法定代表人审批后发布实施。（四）职责分工。安全部门负责制定政策、监督执行、事故处置；技术部门负责技术防护、漏洞修复、应急响应；人事部门负责员工培训、考核问责；财务部门负责介质采购、销毁经费保障。二、介质分类分级管理（一）分类标准。按照涉密程度将存储介质分为核心类、重要类、普通类三个等级，核心类介质存储国家秘密级信息，重要类介质存储内部敏感信息，普通类介质存储一般工作信息。（二）分级标识。核心类介质采用红色物理封条加"核心涉密"字样，重要类介质采用黄色封条加"内部敏感"标识，普通类介质采用蓝色封条加"普通工作"字样。（三）登记造册。建立《存储介质台账》，详细记录介质编号、介质类型、存储容量、所属部门、领用人、使用期限等信息，实行一介一档管理。（四）动态管理。介质发生部门调整、人员变更、遗失等情况时，必须在24小时内完成台账更新，安全部门每月组织台账核查，差错率不得超过2%。三、介质全生命周期管控（一）采购管理。采购活动必须通过政府采购渠道，选择符合国家保密标准的供应商，采购合同中必须包含保密条款，验收时需核对产品检测报告。1.采购流程。需求部门提出申请→安全部门审核→采购部门实施→技术部门验收→财务部门付款。2.技术要求。核心类介质必须支持加密存储，重要类介质必须具备物理销毁功能，普通类介质必须采用一次性写入技术。3.验收标准。核对产品型号、序列号、检测报告等文件，进行功能测试和保密检测，验收合格后方可入库。（二）领用管理。领用介质必须填写《介质领用申请单》，经部门负责人审批，安全部门备案，实行双人领用签字制度。1.领用要求。领用人必须提供工作证明，说明领用用途和期限，安全部门核对领用人身份信息。2.使用登记。领用人当场在台账上签字确认，注明领用时间、使用部门、存放位置等信息。3.超期处理。超过使用期限的介质必须立即归还，逾期未归还的按遗失处理，并追究领用人责任。（三）交接管理。介质发生部门调整时，原部门必须填写《介质交接清单》，双方当面核对信息，履行交接签字手续。1.交接流程。原部门填写清单→双方核对介质→安全部门监督→交接双方签字→更新台账。2.特殊要求。核心类介质交接必须全程录像，重要类介质交接必须有2名见证人，普通类介质交接必须拍照存档。3.异常处理。交接中发现介质损坏、信息泄露等情况，必须立即停止交接，按事故程序处理。（四）销毁管理。介质报废或遗失时必须立即实施销毁，核心类介质必须采用物理粉碎方式，重要类介质必须同时进行物理销毁和数据擦除。1.销毁流程。填写《介质销毁申请单》→安全部门审批→选择合格销毁商→实施销毁作业→出具销毁证明→更新台账。2.销毁标准。核心类介质必须粉碎成0.5厘米以下颗粒，重要类介质必须采用NIST800-88标准擦除，普通类介质可采用专业消磁设备处理。3.证明保存。销毁证明必须包含销毁时间、地点、方式、介质数量、经办人等信息，保存期限不少于5年。四、技术防护措施落实（一）加密管理。核心类介质必须采用AES-256位加密算法，重要类介质必须采用AES-128位加密，普通类介质必须设置访问密码。1.加密要求。所有加密介质必须配备加密钥匙，钥匙实行双人双锁管理，加密设备必须定期进行安全检测。2.密码策略。密码长度不少于16位，必须包含大小写字母、数字和特殊符号，每90天强制修改一次。3.异常告警。加密介质发生解密、密码错误超过5次等情况时，必须立即隔离并上报。（二）防窃取防护。核心类介质必须安装RFID追踪器，重要类介质必须配备物理防丢扣，普通类介质必须设置访问日志。1.RFID管理。所有核心类介质必须绑定RFID标签，安全部门建立追踪系统，发生异常时可在30分钟内定位。2.防丢措施。防丢扣采用高强度材料，配备震动报警功能，普通类介质必须安装访问日志审计系统。3.日志分析。每日检查介质访问日志，发现异常访问必须立即调查，分析报告每月汇总上报。（三）网络防护。禁止将涉密介质接入互联网，重要类介质接入内网必须经过安全检查，普通类介质接入外网必须安装行为审计系统。1.接入控制。所有介质接入网络必须经过安全部门审批，禁止使用移动存储设备进行远程办公。2.漏洞管理。定期对介质使用设备进行漏洞扫描，高危漏洞必须在7天内修复，并验证修复效果。3.行为监控。对介质使用行为进行实时监控，记录操作人、操作时间、操作内容等信息，保存期限不少于6个月。五、应急处置机制建设（一）丢失报告。介质发生丢失时，发现人必须在2小时内向安全部门报告，安全部门立即启动应急处置程序。1.初步处置。隔离相关设备，查找丢失介质，评估信息泄露风险，控制涉密信息扩散。2.通报流程。向单位领导、上级主管部门和安全监管部门报告，必要时向公安机关报案。3.调查处理。成立调查组，查明丢失原因，追究相关人员责任，制定整改措施。（二）被盗处理。介质发生被盗时，立即启动应急预案，采取技术追踪、法律追责、制度完善等措施。1.技术追踪。利用RFID、日志等手段追踪被盗介质，配合公安机关开展侦查工作。2.法律追责。依法追究盗窃者法律责任，对相关责任人进行党纪政务处分，涉嫌犯罪的移交司法机关。3.风险评估。评估被盗可能造成的信息泄露风险，采取补救措施，降低损失程度。（三）销毁事故。介质销毁过程中发生意外时，立即停止销毁作业，保护现场并上报处理。1.现场保护。封锁销毁现场，收集残留介质，送专业机构进行检测，评估信息泄露风险。2.责任认定。查明事故原因，追究相关责任人责任，必要时更换销毁商。3.补救措施。对可能泄露的信息采取补救措施，加强后续管理，防止类似事件再次发生。六、监督审计与持续改进（一）内部审计。每季度开展一次介质安全专项审计，重点检查制度执行、介质管理、技术防护等方面情况。1.审计内容。介质台账、领用记录、销毁证明、安全培训、应急演练等。2.审计方式。查阅资料、现场检查、人员访谈、模拟测试等。3.问题整改。对审计发现的问题制定整改方案，明确责任人和完成时限，整改情况纳入绩效考核。（二）外部监督。接受上级主管部门和安全监管部门的监督检查，配合开展专项检查和随机抽查。1.检查准备。提前准备相关资料，配合开展现场检查，如实反映情况。2.问题整改。对检查发现的问题制定整改方案，限期整改，并提交整改报告。3.持续改进。根据检查结果完善管理制度，提升管理水平。（三）绩效考核。将介质安全管理纳入部门和个人绩效考核，考核结果与评优评先挂钩。1.考核指标。介质管理规范性、安全事件发生率、应急处置能力等。2.考核方式。日常检查、专项审计、年终考核