移動(dòng)存儲(chǔ)安全管理制度總則目的為加強(qiáng)公司移動(dòng)存儲(chǔ)設(shè)備的安全管理，確保公司信息資產(chǎn)的安全性、完整性和保密性，防止因移動(dòng)存儲(chǔ)設(shè)備使用不當(dāng)導(dǎo)致公司信息泄露、數(shù)據(jù)損壞或丟失等安全事故的發(fā)生，特制定本制度。適用范圍本制度適用于公司全體員工以及因工作需要接入公司信息系統(tǒng)使用移動(dòng)存儲(chǔ)設(shè)備的外部人員。職責(zé)分工1.人力資源部負(fù)責(zé)制度的制定、修訂、解釋和培訓(xùn)工作。將移動(dòng)存儲(chǔ)安全管理納入員工績(jī)效考核體系，對(duì)違反制度的行為進(jìn)行相應(yīng)處罰。2.信息部門(mén)負(fù)責(zé)對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行技術(shù)管控和安全審計(jì)，定期更新病毒庫(kù)和安全防護(hù)策略。協(xié)助各部門(mén)解決移動(dòng)存儲(chǔ)設(shè)備使用過(guò)程中的技術(shù)問(wèn)題，提供技術(shù)支持。3.各部門(mén)負(fù)責(zé)人負(fù)責(zé)本部門(mén)移動(dòng)存儲(chǔ)設(shè)備的日常管理和監(jiān)督，確保員工遵守本制度。對(duì)本部門(mén)員工進(jìn)行移動(dòng)存儲(chǔ)安全培訓(xùn)，提高員工安全意識(shí)。4.員工個(gè)人嚴(yán)格遵守本制度，妥善保管個(gè)人移動(dòng)存儲(chǔ)設(shè)備，確保設(shè)備安全。對(duì)使用移動(dòng)存儲(chǔ)設(shè)備存儲(chǔ)的公司信息負(fù)責(zé)，不得擅自傳播、泄露或用于非工作目的。移動(dòng)存儲(chǔ)設(shè)備的采購(gòu)與使用采購(gòu)標(biāo)準(zhǔn)1.公司原則上不統(tǒng)一采購(gòu)移動(dòng)存儲(chǔ)設(shè)備供員工個(gè)人使用。如員工因工作需要必須配備移動(dòng)存儲(chǔ)設(shè)備，需自行購(gòu)買(mǎi)符合公司安全要求的產(chǎn)品。2.移動(dòng)存儲(chǔ)設(shè)備應(yīng)具備以下安全特性：具備加密功能，可對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密保護(hù)。符合國(guó)家相關(guān)安全標(biāo)準(zhǔn)，通過(guò)安全認(rèn)證。具備防病毒、防惡意軟件等安全防護(hù)功能。使用申請(qǐng)1.員工因工作需要使用移動(dòng)存儲(chǔ)設(shè)備，應(yīng)填寫(xiě)《移動(dòng)存儲(chǔ)設(shè)備使用申請(qǐng)表》（以下簡(jiǎn)稱“申請(qǐng)表”），詳細(xì)說(shuō)明使用目的、存儲(chǔ)數(shù)據(jù)類型等信息，并提交所在部門(mén)負(fù)責(zé)人審批。2.部門(mén)負(fù)責(zé)人應(yīng)根據(jù)工作實(shí)際需求對(duì)申請(qǐng)表進(jìn)行審核，審核通過(guò)后報(bào)信息部門(mén)備案。3.對(duì)于涉及公司重要信息的移動(dòng)存儲(chǔ)設(shè)備使用申請(qǐng)，信息部門(mén)有權(quán)進(jìn)行安全性評(píng)估，并提出審核意見(jiàn)。設(shè)備登記1.經(jīng)審批通過(guò)后，員工應(yīng)將所使用的移動(dòng)存儲(chǔ)設(shè)備信息進(jìn)行登記，包括設(shè)備品牌、型號(hào)、容量、序列號(hào)等，填寫(xiě)《移動(dòng)存儲(chǔ)設(shè)備登記表》。2.信息部門(mén)負(fù)責(zé)對(duì)移動(dòng)存儲(chǔ)設(shè)備登記表進(jìn)行統(tǒng)一管理，定期更新設(shè)備信息。使用規(guī)范1.移動(dòng)存儲(chǔ)設(shè)備只能在公司內(nèi)部辦公區(qū)域或經(jīng)公司批準(zhǔn)的外部場(chǎng)所使用，嚴(yán)禁在公共網(wǎng)吧、不可信網(wǎng)絡(luò)環(huán)境等存在安全風(fēng)險(xiǎn)的場(chǎng)所使用。2.在使用移動(dòng)存儲(chǔ)設(shè)備前，應(yīng)先對(duì)設(shè)備進(jìn)行病毒查殺和安全掃描，確保設(shè)備無(wú)安全隱患。3.移動(dòng)存儲(chǔ)設(shè)備應(yīng)專盤(pán)專用，不得在同一設(shè)備上交叉存儲(chǔ)公司不同部門(mén)或不同類型的信息。如需存儲(chǔ)多種信息，應(yīng)進(jìn)行分類分區(qū)管理。4.嚴(yán)禁使用移動(dòng)存儲(chǔ)設(shè)備從互聯(lián)網(wǎng)上下載不明來(lái)源的文件或程序，如因工作需要必須下載，應(yīng)先經(jīng)信息部門(mén)審核通過(guò)，并在下載后進(jìn)行嚴(yán)格的病毒檢測(cè)。5.不得擅自將公司移動(dòng)存儲(chǔ)設(shè)備借給外部人員使用，如因工作需要必須外借，需經(jīng)所在部門(mén)負(fù)責(zé)人批準(zhǔn)，并辦理相關(guān)借用手續(xù)。外借期間，借用人員應(yīng)嚴(yán)格遵守公司移動(dòng)存儲(chǔ)設(shè)備安全管理制度。6.移動(dòng)存儲(chǔ)設(shè)備使用完畢后，應(yīng)及時(shí)從計(jì)算機(jī)上拔出，并妥善保管。如發(fā)現(xiàn)設(shè)備丟失或損壞，應(yīng)立即報(bào)告所在部門(mén)負(fù)責(zé)人，并協(xié)助信息部門(mén)進(jìn)行處理。移動(dòng)存儲(chǔ)設(shè)備的存儲(chǔ)與傳輸數(shù)據(jù)分類1.根據(jù)公司信息的敏感程度和重要性，將移動(dòng)存儲(chǔ)設(shè)備中存儲(chǔ)的數(shù)據(jù)分為三類：絕密級(jí)、機(jī)密級(jí)和普通級(jí)。絕密級(jí)：涉及公司核心技術(shù)、商業(yè)秘密、財(cái)務(wù)數(shù)據(jù)等關(guān)鍵信息，一旦泄露將對(duì)公司造成重大損失。機(jī)密級(jí)：包含公司重要業(yè)務(wù)信息、客戶資料、研發(fā)數(shù)據(jù)等，泄露后可能對(duì)公司業(yè)務(wù)產(chǎn)生較大影響。普通級(jí)：一般性的工作文件、資料等，對(duì)公司安全影響較小。2.各部門(mén)應(yīng)根據(jù)工作實(shí)際情況，對(duì)本部門(mén)產(chǎn)生的數(shù)據(jù)進(jìn)行準(zhǔn)確分類，并采取相應(yīng)的安全存儲(chǔ)措施。存儲(chǔ)安全1.對(duì)于絕密級(jí)和機(jī)密級(jí)數(shù)據(jù)，應(yīng)采用加密存儲(chǔ)方式。員工可使用移動(dòng)存儲(chǔ)設(shè)備自帶的加密功能或第三方加密軟件對(duì)數(shù)據(jù)進(jìn)行加密處理。加密密鑰應(yīng)妥善保管，不得泄露。2.在移動(dòng)存儲(chǔ)設(shè)備上存儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)建立清晰的文件夾結(jié)構(gòu)和文件名命名規(guī)則，便于數(shù)據(jù)查找和管理。文件名應(yīng)準(zhǔn)確反映文件內(nèi)容，嚴(yán)禁使用模糊、易混淆的名稱。3.定期對(duì)移動(dòng)存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行備份，備份數(shù)據(jù)應(yīng)存儲(chǔ)在安全的位置，如公司內(nèi)部服務(wù)器或其他可靠的存儲(chǔ)介質(zhì)上。備份周期應(yīng)根據(jù)數(shù)據(jù)的重要性和變動(dòng)頻率確定，重要數(shù)據(jù)應(yīng)每日備份，一般數(shù)據(jù)可每周或每月備份一次。傳輸安全1.通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳輸數(shù)據(jù)時(shí)，應(yīng)啟用加密傳輸功能。在傳輸前，應(yīng)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在傳輸過(guò)程中的安全性。2.嚴(yán)禁通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳輸未經(jīng)病毒檢測(cè)和安全掃描的文件。在接收外部傳輸?shù)臄?shù)據(jù)時(shí)，應(yīng)先對(duì)數(shù)據(jù)進(jìn)行病毒檢測(cè)和安全掃描，確認(rèn)無(wú)安全隱患后再進(jìn)行使用。3.如通過(guò)移動(dòng)存儲(chǔ)設(shè)備與外部單位進(jìn)行數(shù)據(jù)交換，應(yīng)提前與對(duì)方溝通數(shù)據(jù)安全事宜，明確雙方的安全責(zé)任和義務(wù)。數(shù)據(jù)交換應(yīng)遵循公司的數(shù)據(jù)安全管理規(guī)定，確保數(shù)據(jù)安全。移動(dòng)存儲(chǔ)設(shè)備的安全檢查與審計(jì)定期檢查1.信息部門(mén)應(yīng)定期對(duì)公司移動(dòng)存儲(chǔ)設(shè)備進(jìn)行安全檢查，檢查內(nèi)容包括設(shè)備的硬件狀態(tài)、軟件安裝情況、病毒防護(hù)情況、數(shù)據(jù)存儲(chǔ)與傳輸安全等。2.安全檢查可采用自動(dòng)檢測(cè)工具和人工檢查相結(jié)合的方式進(jìn)行。對(duì)于檢查中發(fā)現(xiàn)的安全問(wèn)題，應(yīng)及時(shí)通知相關(guān)責(zé)任人進(jìn)行整改。3.各部門(mén)負(fù)責(zé)人應(yīng)定期對(duì)本部門(mén)員工使用的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行自查，確保設(shè)備使用符合安全規(guī)定。自查結(jié)果應(yīng)及時(shí)上報(bào)信息部門(mén)。安全審計(jì)1.信息部門(mén)應(yīng)建立移動(dòng)存儲(chǔ)設(shè)備安全審計(jì)機(jī)制，對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和審計(jì)。審計(jì)內(nèi)容包括設(shè)備接入時(shí)間、地點(diǎn)、操作記錄、數(shù)據(jù)訪問(wèn)情況等。2.通過(guò)安全審計(jì)，及時(shí)發(fā)現(xiàn)和處理異常操作行為和安全事件。對(duì)于違反移動(dòng)存儲(chǔ)設(shè)備安全管理制度的行為，應(yīng)按照規(guī)定進(jìn)行調(diào)查和處理。3.安全審計(jì)記錄應(yīng)保存一定期限，以便在需要時(shí)進(jìn)行查詢和追溯。審計(jì)記錄的保存期限按照公司檔案管理規(guī)定執(zhí)行。移動(dòng)存儲(chǔ)設(shè)備的報(bào)廢與銷毀報(bào)廢條件1.移動(dòng)存儲(chǔ)設(shè)備出現(xiàn)硬件故障，無(wú)法正常使用且維修成本過(guò)高。2.移動(dòng)存儲(chǔ)設(shè)備達(dá)到使用年限，性能?chē)?yán)重下降，無(wú)法滿足工作需求。3.移動(dòng)存儲(chǔ)設(shè)備丟失或被盜，無(wú)法找回。4.因公司業(yè)務(wù)調(diào)整或其他原因，不再需要使用移動(dòng)存儲(chǔ)設(shè)備。報(bào)廢申請(qǐng)1.符合報(bào)廢條件的移動(dòng)存儲(chǔ)設(shè)備，使用部門(mén)應(yīng)填寫(xiě)《移動(dòng)存儲(chǔ)設(shè)備報(bào)廢申請(qǐng)表》，詳細(xì)說(shuō)明報(bào)廢原因、設(shè)備信息等，并提交所在部門(mén)負(fù)責(zé)人審核。2.部門(mén)負(fù)責(zé)人審核通過(guò)后，報(bào)信息部門(mén)進(jìn)行技術(shù)鑒定。信息部門(mén)應(yīng)根據(jù)設(shè)備的實(shí)際情況，對(duì)報(bào)廢申請(qǐng)進(jìn)行技術(shù)評(píng)估，確認(rèn)是否符合報(bào)廢條件。3.經(jīng)信息部門(mén)技術(shù)鑒定通過(guò)后，報(bào)廢申請(qǐng)報(bào)公司分管領(lǐng)導(dǎo)審批。審批通過(guò)后，方可進(jìn)行報(bào)廢處理。銷毀方式1.對(duì)于報(bào)廢的移動(dòng)存儲(chǔ)設(shè)備，應(yīng)采用安全可靠的方式進(jìn)行銷毀，確保設(shè)備中的數(shù)據(jù)無(wú)法恢復(fù)。2.可采用物理銷毀的方式，如粉碎、消磁等。物理銷毀應(yīng)在公司指定的場(chǎng)所進(jìn)行，由專人負(fù)責(zé)操作，并做好記錄。3.也可采用數(shù)據(jù)擦除軟件對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行多次數(shù)據(jù)擦除，確保數(shù)據(jù)徹底清除。數(shù)據(jù)擦除后，應(yīng)對(duì)設(shè)備進(jìn)行格式化處理，并進(jìn)行檢測(cè)，確保數(shù)據(jù)無(wú)法恢復(fù)。4.銷毀過(guò)程中產(chǎn)生的相關(guān)記錄，如銷毀時(shí)間、地點(diǎn)、方式、操作人員等，應(yīng)妥善保存，以備查詢和追溯。違規(guī)處理違規(guī)行為界定1.未經(jīng)審批擅自使用移動(dòng)存儲(chǔ)設(shè)備。2.將公司移動(dòng)存儲(chǔ)設(shè)備借給外部人員使用未辦理相關(guān)手續(xù)。3.使用移動(dòng)存儲(chǔ)設(shè)備存儲(chǔ)、傳輸禁止存儲(chǔ)或傳輸?shù)臄?shù)據(jù)。4.在移動(dòng)存儲(chǔ)設(shè)備使用過(guò)程中違反數(shù)據(jù)分類管理和存儲(chǔ)安全規(guī)定。5.未按規(guī)定進(jìn)行移動(dòng)存儲(chǔ)設(shè)備的安全檢查和審計(jì)，或?qū)z查和審計(jì)中發(fā)現(xiàn)的問(wèn)題未及時(shí)整改。6.擅自修改移動(dòng)存儲(chǔ)設(shè)備的安全設(shè)置或破壞安全防護(hù)措施。7.故意泄露移動(dòng)存儲(chǔ)設(shè)備加密密鑰或密碼。8.其他違反本制度的行為。處理措施1.對(duì)于首次違反本制度的員工，給予口頭警告，并責(zé)令其立即整改。2.對(duì)于再次違反本制度的員工，給予書(shū)面警告，并視情節(jié)輕重處以一定金額的罰款。罰款金額根據(jù)違規(guī)行為的嚴(yán)重程度確定，一般為[X]元至[X]元。3.對(duì)于多次違反本制度或違規(guī)行為情節(jié)嚴(yán)重的員工，將給予降職、降薪、辭退等處分。4.如因員工違規(guī)行為導(dǎo)致公司信息泄露、數(shù)據(jù)損壞或丟失等安全事故，給公司造成經(jīng)濟(jì)損失的，公司將依法追究其