信息安全等级保护之管理要求→系统运维管理→介质管理

一、要求内容 

a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; 

b)应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; 

c)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录; 

d)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,重要数据的存储介质带出工作环境必须进行内容加密并进行监控管理,对于需要送出维修或销毁的介质应采用多次读写覆盖、清除敏感或秘密数据、对无法执行删除操作的受损介质必须销毁,保密性较高的信息存储介质应获得批准并在双人监控下才能销毁,销毁记录应妥善保存; 

e)应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同; 

f)应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 

二、实施建议 

建立或完善介质管理要求,内容应当至少满足以上等保规定的内容,同时要严格按照规定的内容执行,保存好介质的使用记录。对于存储介质的管理也可以采用外包的形式。 

三、常见问题 

对与存储介质的管理多数公司都注意到了大部分安全方面要求,使用了各种备份或加密的保存方式,但对于存储介质可用性的测试往往被忽略,有的公司缺少对存储介质数据可用性测试的能力。 现在大多数的公司尚没有对存储介质进行过销毁,通常是采取一致保存的方式,在未来数据量过大的情况下可能会产生安全风险。 

四、实施难点 

无。 

五、测评方法 

形式 访谈,检查。 对象 资产管理员,介质管理记录,介质安全管理制度,各类介质,介质存放地,异地存放地。 

实施 

a)应访谈资产管理员,询问介质的存放环境是否具有保护措施,防止其被盗、被毁、被未授权修改以及信息的非法泄漏,是否有专人管理; 

b)应访谈资产管理员,询问是否对介质的使用管理进行制度化和文档化,是否根据介质的目录清单对介质的使用现状进行定期检查,是否对其完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)进行检查,是否根据所承载的数据和软件和重要性对介质进行分类和标识管理; 

c)应访谈资产管理员,询问对介质带出工作环境(如送出维修或销毁)和重要介质中的数据和软件是否进行保密性处理;对保密性较高的介质销毁前是否有领导批准,对介质的销毁和维修是否执行严格的控制(如双人在场,销毁过程进行记录,介质送出前要经过多次读写覆盖等);询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制; 

d)应访谈资产管理员,询问是否对某些重要介质实行异地存储,异地存储环境是否与本地环境相同; 

e)应检查介质管理记录,查看其是否记录介质的存储、归档、借用等情况; 

f)应检查介质管理制度,查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面;是否具有介质销毁过程记录; 

g)应检查介质,查看是否对其进行了分类,并具有不同标识; h)应检查介质本地存放地的实际环境条件是否是安全的,异地存放地的环境要求和管理要求是否与本地相同,是否有专人对存放地进行管理。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对介质管理的要求: 

5.4.2.3 介质管理 对介质管理,不同安全等级应有选择地满足以下要求的一项: 

a)介质管理基本要求:对脱机存放的各类介质(包括信息资产和软件资产的介质)进行控制和保护,以防止被盗、被毁、被修改以及信息的非法泄漏;介质的归档和查询应有记录,对存档介质的目录清单应定期盘点;介质应储放在安全的环境中防止损坏;对于需要送出维修或销毁的介质,应防止信息的非法泄漏;对各类介质的保管应参照5.1.3.2相应要求执行。 

b)介质异地存放要求:在a)的基础上,根据所承载的数据和软件的重要程度对介质进行标识和分类,存放在由专人管理的介质库中,防止被盗、被毁以及信息的非法泄漏;对存储保密性要求较高的信息的介质,其借阅、拷贝、传输须经相应级别的领导批准后方可执行,并登记在册;存储介质的销毁必须经批准并按指定方式进行,不得自行销毁;介质应保留2个以上的副本,而且要求介质异地存储,存储地的环境要求和管理方法应与本地相同。 

c)完整性检查的要求:在b)的基础上,对重要介质的数据和软件必要时可以加密存储;对重要的信息介质的借阅、拷贝、分发传递须经相应级别的领导的书面审批后方可执行,并各种处理过程应登记在册,介质的分发传递采取保护措施;对于需要送出维修或销毁的介质,应首先删除信息,再重复写操作进行覆盖,防止数据恢复和信息泄漏;需要带出工作环境的介质,其信息应受到保护;对存放在介质库中的介质应定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失。 

d)加密存储的要求:在c)的基础上,对介质中的重要数据必须加密存储;介质的保存和分发传递应有严格的规定并进行登记;介质受损但无法执行删除操作的,必须销毁;介质销毁在经主管领导审批后应由两人完成,一人执行销毁一人负责监销,销毁过程应记录。 

e)数据隐藏的要求:在d)的基础上,对极为重要数据的介质可以使用数据隐藏技术进行存储,并对数据隐藏技术的处理程序分开保管。

如若转载,请注明出处:http://www.codingwhy.com/view/311.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com