A.8.3 介质处理 | ||
目标:防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。 | ||
A.8.3.1 | 移动介质的管理 | 控制 应按照组织采用的分级方案,实现移动介质管理规程。 |
A.8.3.2 | 介质的处置 | 控制 应使用正式的规程安全地处置不再需要的介质。 |
A.8.3.3 | 物理介质的转移 | 控制 包含信息的介质在运送中应受到保护,以防止未授权访问、不当使用或毁坏。 |
控制解析:
- 《信息资产管理程序》应包含“A.8.3 介质处理”内容。
- 信息资产包含各种种类,不同类型的信息资产管控要求可能也不一样,如数据资产则需按照“A.8.2 信息分级”要求进行管控,移动介质则需要按照“A.8.3 介质处理”进行管控。
- 实施“A.8.3 介质处理”需要形成书面的《介质安全管理规范》,规范中需要明确各类级别(参考信息资产清单分级情况)的移动介质管控要求。
- 《介质安全管理规范》应明确不再需要的介质(如报废)处理要求和流程。
- 《介质安全管理规范》需要明确含有重要信息的移动介质传递或运送的安全要求,例如对运输方或送信人的要求。
实施本控制应输出的文档:
- 《信息资产管理程序》和《介质安全管理规范》。
- 移动介质清单、信息资产清单。
- 移动介质报废记录、物理介质转移和接受记录。
本控制审核要点:
- 检查《信息资产管理程序》中移动分级方案,检查信息资产清单中移动介质分级情况,检查《介质安全管理规范》移动介质分级管控要求,抽查重要移动介质管控是否按照《介质安全管理规范》管理。
- 检查移动介质报废流程,以及报废记录。
- 检查移动介质移动申请审批记录以及转移和接受记录等。