19.9 介質管理（MCO_MEM）

19.9.1　安全保障管理目的

防止資產的非授權暴露、修改、去除和破壞以及對業務活動的中斷。
應控制和物理保護介質。
應建立合適的運行流程以保護文檔、計算機介質（例如：磁帶、磁盤）、輸入/輸出數據和系統文件免受非授權暴露、修改、去除和破壞。

19.9.2　MCO_MEM.1 可移動介質的管理

19.9.2.1　管理保障控制組件控制

應有流程用于管理可移動介質。

19.9.2.2　管理保障控制組件注解

在管理可移動介質時，應考慮下列指導方針：
a) 如果不再需要，可重用介質中的以前內容應該統統清除；
b) 如果需要和可實踐，當移動介質時需要授權，并有相關記錄，可進行審計跟蹤；
c) 所有介質應按制造商的規格儲存在安全的環境中。；
d) 對可移動介質進行注冊，限制數據丟失的可能性；
e) 可移動介質僅在有商務原因需要這樣做時引導使用。
所有程序及授權級別都要記錄。

19.9.3　MCO_MEM.2 介質管理流程

19.9.3.1　管理保障控制組件控制

建立處理和存貯信息的流程，防止未授權暴露和使用信息。

19.9.3.2　管理保障控制組件注解

應制定一套處理及儲存信息的程序，以便保護這類信息不被非法公開或濫用。程序應按信息在文件、計算機系統、網絡、移動計算機、移動通訊、郵件、聲音郵件、一般語音通訊、多媒體、郵件服務/設備，傳真機的使用等中分類，或其它敏感文件，例如空支票、發票：
a） 所有介質的處理及標簽；
b） 出入口的控制，確認非法人員；
c） 保留一份合法接收數據的正式記錄；
d） 保證輸入數據是完整、處理正當完成及已進行輸出的檢查；
e） 保護等待輸出的假脫機數據，程度與數據的敏感程序一致；
f） 介質按生產商規格的環境儲存；
g） 把要分發的數據減到最底；
h） 把所有拷貝數據標識清楚，注明合法接收者的姓名；
i） 定期查核分發列表及合法接收者列。

19.9.4　MCO_MEM.3 介質的清潔和廢棄

19.9.4.1　管理保障控制組件控制

當介質不在需要時，應使用正式的流程安全地對介質進行廢棄。

19.9.4.2　管理保障控制組件注解

不再需要的的介質，應該安全地予以廢棄，因為如果處理不當，就會泄露敏信息，所有應制定正式的清除程序，把風險減到最低。

19.9.5　MCO_MEM.4 文件的管理

19.9.5.1　管理保障控制組件控制

對系統文檔進行保護，防止未授權訪問。

19.9.5.2　管理保障控制組件注解

為了系統文檔的安全，考慮下面的細節：
a) 應安全地儲存系統說明文檔；；
b) 訪問系統說明文檔的人員應該減到最少，并由應用擁有者授權；
c) 在公用網上的、或通過公用網提供的系統說明文檔，應有適當的保護。

19.9.6　MCO_MEM.5 物理介質的傳送

19.9.6.1　管理保障控制組件控制

在物理介質的運輸過程中，組織機構應保護介質中所包含的信息，以防止對介質包含的信息的非授權訪問、誤用或破壞。

19.9.6.2　管理保障控制組件注解

應考慮下列指導方針以保護信息媒介在場地之間的傳送：
a) 應使用可靠的傳輸或信使；
b) 授權信使的列表應遵守管理；
c) 應編制流程來確認信使的標識；
d) 應進行充分的包裝以符合廠商的規范并使介質的內容免受由于運輸所導致的物理破壞，例如保護介質免受由于暴露在過熱、潮濕或電磁區域而產生的引起介質有效性和可用性的環境因素的影響；
e) 在需要時應采用相關的控制以保護敏感信息免受非授權的暴露或修改；