介质重用和废弃标准

　 XX 信息安全管理体系文档 XX 介质重用和废弃标准 编号：

　XX 二 二○XX 年十月

　版本控制信息 版本 日期 拟稿和修改 说明 A

　初版发行

　XX

　目 目

　录 目 目

　录 B 1. 目的 ...................................................................................................................... 1 2. 范围 ...................................................................................................................... 1 3. 术语定义 ............................................................................................................... 1 4. 参考文件 ............................................................................................................... 1 5. 角色与职责 ........................................................................................................... 1 6. 内容 ...................................................................................................................... 1 1 信息清除 ............................................................................................................. 1 2 信息分类 ............................................................................................................. 1 3 磁盘的重用和废弃 ............................................................................................... 2 4 闪存存储介质的重用和废弃 ................................................................................. 2 5 光盘的重用和废弃 ............................................................................................... 3 6 纸件的重用和废弃 ............................................................................................... 3 7 磁带的重用和废弃 ............................................................................................... 3 8 由第三方服务商销毁介质 .................................................................................... 4 7 附件 ...................................................................................................................... 4

　 第 1 页

　共 4 页 文档密级：商密三级

　1. 目的 对公司介质的重用和废弃进行规范，确保介质信息的保密性得到保护，避免因介质的不当处理而导致信息泄密。

　2. 范围 本标准适用于以下范围：

　1）

　网安公司所有员工； 2）

　网安公司使用的所有介质； 3. 术语定义 介质：用于存放信息的有形资产，如文件，合同，支票之类印刷出来的文件及其它可移动的设备如软盘、硬盘、U 盘、光盘、磁带等。

　4. 参考文件 《信息安全策略》 《资产分类标准》 5. 角色与职责 角色 职责 用户和管理员 在重用或废弃介质前，介质的用户或管理者必须确认介质中的信息已经按照本标准进行了处理。

　安全管理代表 1）对该标准进行定期审核，并不断完善； 2）如果需要，选择合适的第三方服务商对介质进行销毁； 3）监督第三方服务商对介质的销毁并进行记录。

　第三方服务商 1）严格遵守本标准的规定进行介质销毁； 2）签署保密协议，不得泄漏介质中的信息。

　6. 内容 1 信息清除 介质在废弃之前必须适当地清除了其中的信息，以防信息泄漏。

　2 信息分类 参照《资产分类标准》，对介质中存储的信息进行分类，并根据最高分类级别选择合适的介质处理方法。

　 第 2 页

　共 4 页 文档密级：商密三级

　1) 对于介质上存储的信息最高保密级别属于非保密分类的，介质的重用和废弃不做要求。

　2) 如果介质重用前的信息分类等级低于重用后的信息分类等级，那么可以直接重用。

　3 磁盘的重用和废弃 6.3.1 磁盘分类 包括软盘、硬盘等磁性存储介质。

　6.3.2 内部信息 1）

　介质的重用  如果介质重用前后存储的信息是同一信息分类等级，那么重用前要删除介质中的信息。

　 如果介质重用后存储信息的信息分类等级低于重用前存储的信息或者不能确定的，那么在重用前要对介质进行格式化至少一次。

　2）

　介质的废弃 废弃前要对介质进行格式化至少一次。

　6.3.3 秘密信息 1）

　介质的重用  如果介质重用前后存储的信息是同一信息分类等级并在同一部门内重用，那么重用前要删除介质中的信息。

　 如果介质重用前后存储的信息是同一信息分类等级但不在同一部门内重用，那么在重用介质之前要对介质进行格式化至少一次。

　 如果介质重用后存储信息的信息分类等级低于重用前存储的信息或不能确定的，那么在重用前要对介质进行格式化至少二次。

　2）

　介质的废弃 废弃前要对介质进行格式化至少三次(或效果类似的清除方法)，或采用不可恢复的销毁方法。

　6.3.4 机密信息 1）

　介质的重用  如果介质重用前后存储的信息是同一信息分类等级并在同一部门内重用，那么重用前要对介质进行格式化至少一次。

　 如果介质不在同一部门内重用，那么在重用介质之前要对介质进行格式化至少三次。

　 如果介质重用后存储信息的信息分类等级低于重用前存储的信息或不能确定的，那么在重用前要对介质进行格式化至少三次。

　2）

　介质的废弃

　废弃前要对介质进行格式化至少七次(或效果类似的清除方法)，或采用不可恢复的销毁方法。

　4 闪存存储介质的重用和废弃 1）

　闪存存储介质包括 U 盘、具有闪存功能的 MP3 播放器、手机存储卡等。

　 第 3 页

　共 4 页 文档密级：商密三级

　2）

　该类介质的重用和废弃标准与上面“磁盘的重用和废弃”一致。

　5 光盘的重用和废弃 6.5.1 内部信息 1) 介质的重用：将信息完全删除后才可以重用 2) 介质的废弃：至少要将光盘折断 6.5.2 秘密信息 1) 介质的重用：将信息完全删除后才可以重用 2) 介质的废弃：

　采用不可恢复的物理销毁方法 6.5.3 机密信息 1)介质的重用：将信息完全删除后才可以重用 2)介质的废弃：采用不可恢复的物理销毁方法 6 纸件的重用和废弃 6.6.1

　 内部信息 含内部信息的纸件可以重复使用。

　废弃前，纸件要被撕碎直到不可辨认。

　6.6.2

　 秘密信息 含秘密信息的纸件不得重复使用 废弃前，纸件必须用碎纸机销毁，不得直接扔进垃圾箱或用手撕毁。

　6.6.3

　 机密信息 含机密信息的纸件不得重复使用 废弃前，纸件必须用碎纸机销毁，不得直接扔进垃圾箱或用手撕毁。

　7 磁带的重用和废弃 6.7.1 磁带分类 包括备份存储用磁带、录音磁带、录像磁带等。

　6.7.2 内部信息 1）

　介质的重用

　如果介质重用前后存储的信息是同一信息分类等级，那么介质可以直接重用。

　如果介质重用后存储信息的信息分类等级低于重用前存储的信息或不能确定的，那么在重用前必须删除介质上的信息。

　2）

　介质的废弃

　将磁带剪碎

　 第 4 页

　共 4 页 文档密级：商密三级

　6.7.3 秘密信息 1）

　介质的重用

　如果介质重用前后存储的信息是同一信息分类等级并在同一部门内使用，那么介质可以直接重用。

　如果介质重用前后存储的信息是同一信息分类等级但不在同一部门内使用，那么在重用前必须删除介质上的信息。

　如果介质重用后存储信息的信息分类等级低于重用前存储的信息或不能确定的，那么在重用前必须删除介质上的信息。

　2）

　介质的废弃

　采用不可恢复的数据清除方法或物理销毁方法。

　6.7.4 机密信息 1）

　介质的重用

　如果介质重用前后存储的信息是同一信息分类等级并在同一部门内使用，那么介质可以直接重用。

　如果介质重用前后存储的信息是同一信息分类等级但不在同一部门内使用，那么在重用前必须删除介质上的信息。

　如果介质重用后存储信息的信息分类等级低于重用前存储的信息或不能确定的，那么在重用前必须删除介质上的信息。

　2）

　介质的废弃

　采用不可恢复的数据清除方法或物理销毁方法。

　8 由第三方服务商销毁介质 1）

　提供介质销毁服务的第三方服务商必须是可靠的。

　2）

　负责销毁介质的第三方服务商必须与公司签署《保密协议》，保证不会泄露所销毁介质中的信息。

　3）

　安全管理代表或由其指定的人员将负责监督介质的销毁，并对销毁过程和销毁的介质进行记录。

　7 附件 《保密协议》