银行计算机和移动存储介质保密管理办法.doc

xx银行计算机和移动存储介质保密管理办法 xx总发〔xx〕216号附件2，xx年11月9日印发 第一章 总 则 第一条 为了进一步规范对计算机（包括笔记本电脑）和移动存储介质（移动硬盘、U盘、软盘、光盘、废弃硬盘以下简称存储介质）的管理，根据有关主管部门保密管理的规定，结合本行实际，制定本规定。 第二条 本规定所称的计算机和移动存储介质为我行购买的在资产管理范围内的计算机和移动存储介质。 第三条 本规定适用于本行全体员工。 第二章 组织与职责 第四条 科技部在xx银行IT资产管理中的主要职责包括： （一）安全管理员： 1、介质的使用、维修、废弃等环节做好相应的管理工作，并做好记录，确保信息安全，做好防泄密工作； 2、负责存储和移动存储介质的消磁和销毁工作。 （二）计算机和移动存储介质使用人： 1、做好计算机或移动存储介质的领用、借用登记工作； 2、负责的计算机设备、移动存储介质的保管保存，以及日常的维护工作。 （三）稽核监察部门： 负责监督科技部相关存储介质的销毁工作。 第三章 计算机日常管理 第五条 计算机使用部门为直接责任部门，使用人为直接责任人。对涉密计算机根据《xx银行涉密计算机和信息系统管理办法》进行管理。涉密计算机的维修必须由我行科技人员自己处理，如为系统故障，则需先作消磁处理，再重新安装系统。涉密计算机的更新，必须对原计算机做消磁处理。 第六条 各部门互联网接入必须向行办公室提出申请，经主管行领导同意，报科技部予以开通。 第七条 互联网计算机和工作计算机不能相互调换使用，如确实需要调换，必须先做消磁处理，重新安装系统。 第八条 互联网计算机必须与工作计算机实行严格的物理隔离，并要做到专机专用，不得处理或存储任何涉密信息，不能使用涉密介质。 第九条 笔记本电脑或移动存储设备不得作为生产工作机在生产环境中的使用。 第十条 工作计算机不能连接互联网，不能安装无线网卡。不能使用非涉密介质。 第十一条 工作计算机需要外部人员维修时，应采取有效措施，防止泄密事件发生。 第十二条 工作计算机因使用人员岗位变动、到期更换、使用期满等原因交回时，原使用人员应将计算机内所有信息消磁处理，所属部门对计算机进行检查、确认并妥善保管。 第四章 移动存储介质管理流程 第一节 移动存储介质的日常管理 第十三条 移动存储介质分为涉密和非涉密两类。涉密人员应根据其岗位密级以及办公需求配备相应密级的移动存储介质。 第十四条 涉密移动存储介质不能直接与上互连网计算机相连接，用于下载国际互联网的移动存储介质不得与工作计算机相连接。如需从网上下载资料，应该用非涉密移动存储介质从上网计算机上下载资料后，通过中间机（中间机指的是既不用于上网又不是涉密的计算机）进行杀毒处理后，对资料进行存储并导入工作计算机。 第十五条 因工作需要使用移动存储介质向有关机关、单位提供涉密信息的，应由部门负责人审批。必须一事一盘（可用软盘）严禁提供与该项工作无关的其他涉密信息。传递时应进行检查。 第十六条 因工作需要接收外来的移动存储介质应由先进行登记。按移动存储介质管理要求进行管理。外来移动存储介质应进行病毒检查和杀毒后才可在工作计算机上使用。 第十七条 移动存储介质因使用人员岗位变动、使用期满等原因交回时，原使用人员应将移动存储介质内所有信息消磁处理，所属部门对移动存储介质进行检查、确认并妥善保管。 第二节 移动存储介质保密管理 第十八条 存储介质应该按照以下属性由安全管理员建立保密管理台账《xx银行介质管理台账》(见附件1)，包括编号、品牌、主要配置（容量）、启用时间、密级、用途、责任人等。设备管理员负责对介质进行集中管理。 第十九条 涉密存储介质应该在显著位置粘贴标识标签，标识内容为：编号、密级、责任人。所标密级应该按存储介质所存储信息的最高密级进行标识，密级分为特密级、绝密级、机密级、秘密级四个等级。 第二十条 涉密存储介质所存储的涉密信息应该进行密级标识。复制、打印、输出涉密存储介质所存涉密信息，应该按相同密级文件进行管理。 第二十一条 借用涉密存储介质应该履行借用手续，并办理登记手续，由借用人登记《xx银行移动存储介质借用记录》（建立此记录表），审查批准后方可使用，使用后应该及时归还。禁止将涉密存储介质带到与工作无关的场所。 第三节 介质的日常保存 第二十二条 可重用存储介质中不需要的内容应该及时删除，并确保其删除是不可恢复的。 第二十三条 所有存储介质存放环境应该遵循厂商要求，以保证数据安全有效，存储介质的柜子应该上锁， 第二十四条 设备管理员应该根据信息的保存期，每月检查复核介质管理台账，查看各类存储介质的保存周期，确认不会因为存储介质过期损坏带来信息丢失。 第二十五条 介质的借用和取走应该登记《xx银行移动存储介质借用记录》(见附件2)。 第四节 介质重用及废弃管理 第二十六条 废弃数据、介质的界定： （一）存储介质在遭到机械或其它原因的破坏后，经设备管理员确认已造成不可恢复的故障时，为废弃数据、介质。 （二）存储介质在使用过程中，由于使用寿命已到，存储能力变得不稳定，经设备管理员确认已不可恢复时，为废弃数据、介质。 （三）对超过备份要求期限的数据视为废弃数据、介质。 第二十七条 废弃数据、介质处理流程： （一）对于废弃的硬拷贝打印纸，原则上50页以下的使用碎纸机粉碎，50页以上的采用安全焚毁的方法。 （二）对于遭到物理损坏的、使用寿命已到、存储能力衰竭的存储或移动存储介质，须由安全管理员协同由稽核监察部进行消磁处理或者物理摧毁，处理后登记《xx银行介质销毁记录表》。（见附件3） （三）销毁涉密存储介质须经主管领导批准，并履行登记签字手续、二人以上，并由稽核监察部监督销毁。禁止将涉密存储介质出售、赠送他人或丢弃。 第二十八条 各单位严格按下列方法进行介质处理： （一）备份介质内关键数据，确认无误后删除。 （二）使用杂乱文件覆盖介质全部空间后，进行格式化操作。 （三）重复进行4次上述步骤2。 （四）如果有相关的消磁软件，或者杀毒软件具备的彻底清除文件的功能，优先考虑。 第五章 附 则 第二十九条 本办法由科技部负责解释和修订。 第三十条 本办法自下发之日起施行。 附件：2-1.xx银行介质管理台账 2-2.xx银行移动存储介质借用记录 2-3.xx银行介质销毁记录表 附件2-1： xx银行介质管理台账 表单编号： 序号 介质编号 主要配置（容量） 启用时间 密级 用途 责任人 附件2-2： xx银行移动存储介质借用记录表 表单编号： 序号 介质编号 名    称 件数 介质类型 借用人 借用日期 归还人 归还日期 备注 附件2-3： xx银行介质销毁记录表 表单编号： 适用系统： 　　　　　 介质类型： 序号 介质编号 销毁原因 销毁方式 销毁日期 执行人 复核人 7