7.25 介質訪問和使用

7.25.1 一般要求

云服務商應：

a）只允許[賦值：云服務商定義的人員或角色]訪問[賦值：云服務商定義的數字或非數字介質]。

b）在[賦值：云服務商定義的介質]報廢、云服務商控制之外使用回收再利用前，采用[賦值：云服務商定義的介質凈化技術和規程]對其進行凈化，所采用凈化機制的強度、覆蓋范圍應與其中信息類別或敏感級別相匹配。

c）[選擇：限制；禁止]在[賦值：云服務商定義的系統或組件]中使用[賦值：云服務商定義的介質]。

7.25.2 增強要求

云服務商應：

a）采用自動機制限制對各類介質的訪問，并對介質訪問情況進行審計。

b）對各類介質進行標記，以標明其中所含信息的分發限制、處理注意事項以及其他有關安全標記（如敏感級）。

c）在受控區域中，采取物理控制措施并安全地存儲磁帶、外置或可移動硬盤、Flash驅動器、CD等介質，并對這些介質提供持續保護，直到對其進行破壞或凈化。

d）在受控區域之外傳遞數字介質時，采用密碼機制來保護其中信息的保密性和完整性。

e）確保各類介質在受控區域之外的傳遞過程得到記錄。