浙江工商大学
存储介质安全管理规范
第一章 宗旨
第一条 存储介质安全是数据存储安全中的一个重要部分,为保证浙江工商大学的存储介质安全,对数据的存储介质(如磁盘,硬盘,虚拟容器,虚拟机等)进行管理,有效防范因为存储介质的不当使用而引发的数据泄露风险,制定本规范。
第二章 适用范围
第二条 本规范适用于我校内所有涉及数据存储介质使用、管理和维护的部门、人员以及相关活动。数据存储介质包括但不限于硬盘、磁带、光盘、U盘、移动硬盘等各种用于存储数据的物理介质。无论是我校内部自行采购、使用的存储介质,还是外部合作单位提供或涉及的数据存储介质,均需遵守本规范的相关规定。
第三章 权限与职责
第三条 主管部门(领导小组):
(一)负责制定和完善数据安全存储介质管理的相关制度、流程和标准,并监督各部门的执行情况。
(二)组织开展数据存储介质的安全评估和审计工作,及时发现和解决潜在的安全隐患。
(三)协调各部门之间的数据存储介质管理工作,确保数据的安全流转和共享。
(四)对数据存储介质的采购、分配、回收等环节进行统一管理,建立详细的台账记录。
第四条 支撑、建设部门(数字办):
(一)负责数据存储介质的技术选型和配置,确保其符合我校的数据安全要求。
(二)对数据存储介质进行定期的维护和保养,包括硬件检查、数据备份、系统更新等工作。
(三)提供数据存储介质使用和管理的技术支持,协助其他部门解决技术难题。
(四)在系统建设和升级过程中,充分考虑数据存储介质的安全因素,确保系统的安全性和稳定性。
第五条 用户部门(业务部门):
(一)严格遵守我校的数据安全存储介质管理规范,正确使用和保管数据存储介质。
(二)对本部门使用的数据存储介质进行登记和管理,确保介质的安全使用和妥善保管。
(三)及时向领导小组和数字办反馈数据存储介质使用过程中出现的问题和安全隐患。
(四)配合领导小组和数字办开展数据存储介质的安全检查和审计工作。
第四章 存储介质采购规范
第六条 存储介质应由存储介质安全管理部门统一进行采购。
第七条 采购存储介质时需要遵循申报,审批,采购,标识,入账的流程。
第八条 采购存储介质时应选择可靠的品牌,以确保产品的质量。
第九条 采购存储介质时应进行防病毒等安全性检测,在确保存储介质安全的情况下入账。
第五章 存储介质存放规范
第十条 数据存储介质由各业务部门自行妥善管理。
第十一条 存储介质的存放环境应采取防火,防盗,防水,防尘,防震,防腐蚀及防静电等措施,从而防止存储介质遭到盗窃,损毁,未经授权的修改,以及其中所存信息的非法泄露等。
第十二条 对于磁带,磁盘等带有磁性的存储介质,应注意保存环境符合要求,以保证其长期有效。
第十三条 应根据所存储数据的容量和重要性,合理选择相应的数据存储介质。
第十四条 数据存储介质必须具有明确的分类标识,标识必须包括存储数据的内容,归属,大小,存储期限,保密程度等,并结合数据类型和管理策略统一命名,存储介质的标识必须是醒目的。
第十五条 建立数据存储介质保管清单,各部门按需汇总到数字办,由数字办根据保管清单对介质的使用现状进行定期检查,检查内容包括完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)。
第十六条 一旦有存储介质出现问题,就必须及时报告给上级领导部门。
第十七条 根据数据备份的需求,确定进行异地存储的备份介质。
第六章 存储介质运输规范
第十八条 存储介质在运输过程中,必须采取密封处理。
第十九条 应选择可靠的速递公司承担介质的传递工作,应在与速递公司的合同中约定介质的传递时间和传递期间的安全保障(防火,防震,防潮,防磁,防盗)等方面的要求。速递公司的资质,介质传递流程和速递合同等须获得存储介质安全管理部门的批准。
第二十条 对存有敏感业务信息的介质进行异地传输时,应选择我校的可靠人员进行传递并使用专用的安全箱包进行包装。
第二十一条 移动存储介质的接收应履行登记,入账等手续。
第二十二条 数字办需要对存储介质的运输过程进行详细地记录。
第七章 存储介质使用规范
第二十三条 启用新的存储介质或使用移动存储介质时,必须进行安全检查和查杀病毒处理。
第二十四条 存储介质的使用需要在受控的办公场所的指定计算机连接。
第二十五条 非我校的移动存储介质一律不得与涉密计算机连接。
第二十六条 应避免在高温,强磁场的环境下使用存储介质。
第二十七条 涉密和非涉密的存储介质禁止交叉使用。
第二十八条 介质安全管理部门人员应对介质进行登记管理。登记信息应包含介质类型、重要程度、存放地点等内容。介质重要程度根据存储信息数据类型分为“工作秘密”、“内部公开”、“外部公开”三种类型。
第二十九条 涉及业务信息、系统敏感信息的介质应当存放在防潮、防盗、防火、防磁、专用存储空间,存放环境有专人管理。重要信息系统的备份介质需要异地存放,备份介质如需异地存放,必须办理登记手续,登记内容要能反映出名称、入库时间、存放人、存放地点,并有专人对其进行管理。异地存放的环境与本地要求相同。
第三十条 因公务需要而携带存储介质外出时,必须经过业务部门审批同意并登记。
第三十一条 由于存储介质体积小,易于流传,因此在使用时应对其安全保管,防止丢失。
第三十二条 如使用移动介质对敏感数据进行转移存储,则需要在使用前对移动介质进行格式化,并在使用后立即删除敏感数据。
第三十三条 复制移动存储介质中的信息,应经过存储介质安全管理部门的批准,并履行登记手续,复制件应视同原件进行管理。
第三十四条 复制移动存储介质中的信息时,不得改变其知悉范围,并由存储介质安全管理部门进行监督。
第八章 存储介质维修规范
第三十五条 存储介质的维修应经过存储介质安全管理部门审批。
第三十六条 对于送外维修的介质,应首选清除介质中的敏感数据。
第三十七条 移动存储介质需要送外维修时,必须到存储介质安全管理部门指定的单位进行维修,由存储介质安全管理部门全程陪同监督。
第三十八条 存储介质的维修应由存储介质安全管理部门负责,并对维修人员,维修对象,维修内容,维修前后的状况进行监督和记录。
第九章 存储介质销毁规范
第三十九条 存储介质的销毁应经过存储介质安全管理部门审批,未通过审批不得自行销毁。
第四十条 为防止敏感信息泄露给未授权的人员,各部门应将需要销毁的存储介质送到存储介质安全管理部门,由存储介质安全管理部门统一进行安全销毁。
第四十一条 存储介质销毁之前,存储介质安全管理部门需要对介质中所含的信息进行风险评估,以确定存储介质的处理方式。
第四十二条 任何含有敏感信息的中间存储介质,都需要销毁其中所存的信息。
第四十三条 任何存储介质,在用于存储保密信息之前,都必须进行格式化。
第四十四条 含有硬复制形式的敏感信息存储介质的报废处理方式是粉碎或烧毁。
第四十五条 存储介质安全管理部门需要记录对存储介质所做的处置,以备审查。
第四十六条 被销毁介质上的备份内容如果未到备份保存期限,则应将备份内容复制到较新的介质上,并将复制后的介质归档。
第四十七条 删除存储介质中的敏感信息后,必须执行重复写操作,以防止因数据恢复而导致的敏感信息泄露。
第十章 附则
第四十八条 本制度中涉及的定义、术语等,如有歧义或未尽事项,以我校数字化办公室解释为准。
第四十九条 本制度的最终解释权归我校所有。
