8.3介質處理

8.3介質處理

8.3.1移動介質的管理

控制
宜按照組織采用的分級方案，實現移動介質管理規程。
實現指南
對于可移動介質的管理，宜考慮下列指南：
a) 如果組織不再需要可重用的介質，該介質離開組織時，宜使其內容不可恢復；
b) 在必要并可行時，對從組織取走介質宜要求得到授權，并保存取走的記錄，以維護審核蹤跡；
c) 要將所有介質存儲在符合制造商說明書的安全、保密的環境中；
d) 若數據的保密性和完整性是重要的考慮因素，宜使用密碼技術保護可移動介質中的數據；
e) 當數據仍然需要時，為降低其存儲介質老化的風險，宜在數據變成不可讀前，將其轉移至新的介質中；
f) 有價值數據的多個拷貝宜分開存儲在不同的介質中，以進一步減少數據同時損壞或丟失的風險；
g) 宜考慮可移動介質的登記，以減少數據丟失的機會；
h) 只有在業務需求時，才宜使用可移動介質驅動器；
i) 在需要使用移動介質時，宜監視對這樣介質的信息傳輸。

8.3.2 介質的處置

控制
宜使用正式的規程安全地處置不再需要的介質。
實現指南
宜建立介質安全處置的正式規程，以最小化把保密信息泄露給未授權人員的風險。包含保密信息的介質的安全處置規程宜與信息的敏感性相一致。宜考慮下列條款：
a) 包含有保密信息的介質宜被安全地存儲和處置，例如，利用焚化或粉碎的方法，或者將數據擦除供組織內其他應用使用；
b) 宜有規程識別可能需要安全處置的項目；
c) 將所有介質部件收集起來并進行安全處置，可能比試圖分離出敏感部件更容易；
d) 許多組織提供介質收集和處置服務；宜注意選擇具有足夠控制和經驗的合適的外部方；
e) 處置敏感項宜做記錄，以便維護審核蹤跡。
當大量處置介質時，宜考慮可導致大量不敏感信息成為敏感信息的集聚效應。
其他信息

8.3.3物理介質的轉移

控制
包含信息的介質在運送中宜受到保護，以防止未授權訪問、不當使用或毀壞。
實現指南
為保護包含信息的介質在傳輸中的安全，宜考慮下列指南：
a) 要使用可靠的運輸或送信人；
b) 授權的送信人列表要經管理層批準；
c) 要制定驗證送信人身份的規程；
d) 包裝要足以保護信息免遭在運輸期間可能出現的任何物理損壞，并且符合制造商的說明書，例如防止可能減少介質恢復效力的任何環境因素，例如暴露于過熱、潮濕或電磁區域；
e) 宜保持其中標識了介質的內容、所應用的保護，并記錄了移交給運輸方的時間和接受地點的日志。
其他信息
信息在物理傳輸期間易受未授權訪問、不當使用或破壞，例如在通過郵政服務或送信人傳送時。在本控制中，介質包括紙質文件。