A.8.3 介质处理
目标:防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。
A.8.3.1移动介质的管理控制
应按照组织采用的分级方案,实现移动介质管理规程。
A.8.3.2介质的处置控制
应使用正式的规程安全地处置不再需要的介质。
A.8.3.3物理介质的转移控制
包含信息的介质在运送中应受到保护,以防止未授权访问、不当使用或毁坏。

控制解析:

  1. 《信息资产管理程序》应包含“A.8.3 介质处理”内容。
  2. 信息资产包含各种种类,不同类型的信息资产管控要求可能也不一样,如数据资产则需按照“A.8.2 信息分级”要求进行管控,移动介质则需要按照“A.8.3 介质处理”进行管控。
  3. 实施“A.8.3 介质处理”需要形成书面的《介质安全管理规范》,规范中需要明确各类级别(参考信息资产清单分级情况)的移动介质管控要求。
  4. 《介质安全管理规范》应明确不再需要的介质(如报废)处理要求和流程。
  5. 《介质安全管理规范》需要明确含有重要信息的移动介质传递或运送的安全要求,例如对运输方或送信人的要求。

实施本控制应输出的文档:

  1. 《信息资产管理程序》和《介质安全管理规范》。
  2. 移动介质清单、信息资产清单。
  3. 移动介质报废记录、物理介质转移和接受记录。

本控制审核要点:

  1. 检查《信息资产管理程序》中移动分级方案,检查信息资产清单中移动介质分级情况,检查《介质安全管理规范》移动介质分级管控要求,抽查重要移动介质管控是否按照《介质安全管理规范》管理。
  2. 检查移动介质报废流程,以及报废记录。
  3. 检查移动介质移动申请审批记录以及转移和接受记录等。