安全运维管理-（三）介质管理

安全运维管理

 控制点

3.介质管理

数据存储介质主要包括磁带、磁盘、光盘、（从设备内拆卸下来的）硬盘、移动硬盘、U盘、纸介质等。存储介质是用来存放与系统相关的数据的，如果不能妥善保存和管理，就可能造成数据的丢失与损坏。因此，要加强介质管理，对于介质的存放、使用、传输、维护、销毁等操作进行严格的控制。

a)

安全要求（一般）：应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期盘点。

要求解读：介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为储存介质提供安全的存放环境并进行妥善的管控。

测评方法

1.访谈资产管理员/存储介质管理员当前使用的存储介质类型或数据存储方式。

2.访谈资产管理员/存储介质管理员当前使用的存储介质是否指派专人管理。

3.检查存储介质（主要指移动存储介质，如脱机的硬盘，光盘、移动硬盘，U盘）管理记录，记录内容是否包括了使用、归还、归档等。

期望结果

1.存储介质存放在指定的环境中。

2.指定了部门或人员负责存储介质的管理。

3.定期对存储介质进行盘点。

b)

安全要求（一般）：对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。

要求解读：系统存在离线的备份存储介质，应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，选择可靠的传送人员，并对打包交付过程签字确认等。

测评方法

1.访谈资产管理员/存储介质管理员是否存在存储介质的物理传输情况，如脱机的硬盘，光盘、移动硬盘，U盘等的物理传输。

2.如有存储介质的物理传输，核查安全管理制度中是否明确了物理传输过程的管理要求。

3.核查物理介质传输的管理记录，记录内容是否包括了执行人、存储介质信息、存储介质打包、存储介质交付、存储介质归档、存储介质查询等。

期望结果

1.安全管理制度中具有介质在物理传输时的管理流程和要求。

2.物理介质传输的管理记录，记录内容包括了执行人、存储介质信息、存储介质打包、存储介质交付、存储介质归档、存储介质查询等。