B.12 介質保護（MP）

B.12 介質保護（MP）

B.12.1　介質保護策略和規程（MP-1）

控制：
組織應：
a） 制定并發布正式的介質保護策略，其中應包含目的、范圍、角色、責任、管理承諾、各部門間的協調以及合規性；
b） 制定并發布正式的介質保護規程，以推動介質保護策略以及相關安全控制的實施；
c） 按【賦值：組織定義的時間間隔】，對介質保護策略和規程進行評審和更新。
補充指導：
a） 通過該控制來有效實現介質保護族中安全控制和安全增強的策略和規程；
b） 應與相關的法律、法規、制度、政策和標準保持一致；
c） 介質保護策略可作為組織信息安全策略的一部分；
d） 介質保護規程一般可針對安全程序予以開發，也可針對特殊的ICS予以開發；
e） 在開發系統和服務獲取策略中，組織的風險管理戰略是一個重要的因素。

B.12.2　介質訪問（MP-2）

控制：
a) 組織應規定介質的訪問策略，嚴格控制對組織介質的訪問。
補充指導：
a） 介質包括數字介質和非數字介質，其中，數字介質包括：硬盤、光盤、軟盤、U盤等，非數字介質包括文檔、縮微膠片等；
b） 相關安全控制：AC-3， IA-2， MP-4， PE-2， PE-3， PL-2。
控制增強：
a） 默認禁止訪問；

B.12.3　介質標記（MP-3）

控制：
a） 組織應按照【賦值：組織定義的規范】標記介質的分發范圍、訪問要求、處理要求、銷毀要求等。
補充指導：無

B.12.4　介質存儲（MP-4）

控制：
組織應：
a） 在受控區域中，采取物理控制措施并安全地存儲磁帶、外置/可移動硬盤、U盤或其它Flash存儲介質、軟盤、CD、DVD等介質。
b） 定義設施內用來存儲信息和存放工業控制系統的受控區域。
c） 為這些介質提供持續保護，直到利用經批準的設備、技術和規程對其進行破壞或凈化。
補充指導：
a) 介質包括數字介質和非數字介質。
b) 相關安全控制：CP-6、MP-2。
控制增強：
a） 加密存儲，物理安全保護；

B.12.5　介質傳輸（MP-5）

控制：
組織應：
a) 在受控區域之外傳遞磁帶、外置/可移動硬盤、U盤或其它Flash存儲介質、軟盤、CD和DVD時，采用適當的安全防護措施進行保護和控制。
b) 維護介質在受控區域之外傳遞過程的可核查性。
c) 對介質傳遞相關活動進行記錄。
d) 只允許授權人員參與介質傳遞有關的活動。
補充指導：無
a) 介質包括數字介質和非數字介質。
b) 相關安全控制：CP-6、MP-2、MP-3、MP-4。
控制增強：
a） 組織控制區域外加強介質保護；
b） 文檔化介質傳輸相關活動；
c） 加強介質傳輸過程中對委托人管理；
d） 在介質傳輸過程中進行加密處理。
增強補充指導：

B.12.6　介質銷毀（MP-6）

控制：
組織應：
a） 根據介質銷毀有關規定和標準，在介質報廢、組織控制外使用、回收使用前，采用銷毀技術和規程對介質進行銷毀。
b） 所采用的銷毀機制的強度、覆蓋范圍應與介質中信息的安全類別或級別相匹配。
補充指導：
a） 該控制適用于組織所有的介質；
b） 銷毀前應確保介質內的信息不能恢復或重建；
c） 銷毀技術，包括清除、密碼清除、物理破壞，以防止信息泄露；
d） 組織確定合適的銷毀方法是必要的，其他的方法不能應用于介質銷毀；
e） 組織應使用批準的銷毀技術和程序。
f） 相關安全控制：MA-2、MA-4、RA-3。
控制增強：
a） 介質銷毀前的審閱、批準、跟蹤、文件與驗證機制；組織審查和批準的介質銷毀，以確保符合組織政策，跟蹤、文件銷毀行動，并驗證該銷毀過程的合規性。
b） 組織測試銷毀設備和銷毀程序，以驗證預期的處理結果。
c） 組織按定義的方式銷毀便攜式存儲設備。

B.12.7　介質使用（MP-7）

控制：
a) 組織應采取安全防護措施限制或禁止在ICS系統和組件中介質（包含數字介質和非數字介質）的使用。
補充指導：
a) ICS中介質包括數字介質和非數字介質；
b) 數字介質包括磁帶、外置/可移動硬盤、U盤或其它Flash存儲介質、軟盤、CD和DVD等；
c) 非數字介質包括文件、文檔或膠片；
d) 該控制應包括具有拍照、存儲功能的智能手機、平板電腦、閱讀器、相機等；
e) 組織應采用技術和非技術手段（如：政策、流程和行為規范等）來規范介質的使用。
f) 相關安全控制：PL-4。
控制增強：
a) 組織應禁止未標識的便攜式設備在ICS使用；