6.11 介質保護(MP)

6.11.1　介質保護方針策略與規程（MP-1）

本項要求包括：

a) 應制定并發布介質保護方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布介質保護規程，以推動介質保護方針策略及與相關安全控制的實施；

c) 應定期對介質保護方針策略及規程進行評審和更新。

6.11.2　介質訪問（MP-2）

本項要求包括：

a) 應只允許被授權的人員或角色對介質進行訪問；

b) 默認禁止訪問；

c) 加密保護。

6.11.3　介質標記（MP-3）

本項要求包括：

a) 應對系統介質進行標記，標明其中所含信息的分發限制、處理注意事項以及信息的可適用安全標記。

6.11.4　介質存儲（MP-4）

本項要求包括：

a) 應在受控區域中，采取物理控制措施并安全地存儲磁帶、外置/可移動硬盤、U盤或其他Flash存儲介質、軟盤、CD、DVD等介質。

b) 應定義設施內用來存儲信息和存放ICS的受控區域。

c) 應為這些介質提供持續保護，直到利用經批準的設備、技術和規程對其進行破壞或凈化；

d) 加密存儲，物理安全保護；

e) 嚴格訪問控制。

6.11.5　介質傳遞（MP-5）

本項要求包括：

a) 在受控區域之外傳遞磁帶、外置/可移動硬盤、U盤或其他Flash存儲介質、軟盤、CD和DVD時，應采用適當的安全防護措施進行保護和控制；

b) 應維護介質在受控區域之外傳遞過程的可核查性；

c) 應對介質傳遞相關活動進行記錄；

d) 應只允許授權人員參與介質傳遞有關的活動；

e) 在介質傳輸過程中進行加密處理；

f) 文檔化介質傳輸相關活動；

g) 加強介質傳輸過程中對委托人管理；

h) 組織控制區域外加強介質保護。

6.11.6　介質凈化（MP-6）

本項要求包括：

a) 應根據介質凈化有關規定和標準，在介質報廢、組織控制外使用、回收使用前，采用凈化技術和規程對介質進行凈化；

b) 所采用的凈化機制的強度、覆蓋范圍應與介質中信息的安全類別或級別相匹配；

c) 介質銷毀前的審閱、批準、跟蹤、文件與驗證機制；組織審查和批準的介質銷毀，以確保符合組織政策，跟蹤、文件銷毀行動，并驗證該銷毀過程的合規性；

d) 組織測試銷毀設備和銷毀程序，以驗證預期的處理結果；

e) 組織按定義的方式銷毀便攜式存儲設備；

f) 組織應按國家相關法律、法規規定銷毀涉密和受控設備。

6.11.7　介質使用（MP-7）

本項要求包括：

a) 應采取安全防護措施限制或禁止在ICS或組件中介質（包含數字介質和非數字介質）的使用。

b) 組織應禁止未標識的便攜式設備在ICS使用；

c) 組織應禁止使用不方便實施銷毀和凈化處理的介質。