华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证 > “A.8.3 介质处理”条款理解与应用

ISO27001认证:“A.8.3 介质处理”条款理解与应用

文章录入:华道众合   文章来源:华道众合   添加时间:2021-1-22
A.8.3 介质处理
目的∶ 防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。
【标准条款】
A.8.3.1 移动介质的管理
应按照组织采用的分级方案,实现移动介质管理规程。
【理解与应用】
对于可移动介质的管理,宜考虑如下内容∶
(1)如果组织不再需要可重用的介质,该介质离开组织时,宜使其内容不可恢复;
(2)在必要并可行时,对从组织取走介质宜要求得到授权,并保存取走的记录,以保持审核踪迹;
(3)要将所有介质存储在符合制造商说明书的安全、保密的环境中;
(4)若数据的保密性和完整性是重要的考虑因素,宜使用密码技术保护可移动介质中的数据;
(5)当数据仍然需要时,为降低其存储介质老化的风险,宜在数据变成不可读前,将其转移至新的介质中;
(6)有价值数据的多个拷贝宜分开存储在不同的介质中,以进一步减少数据同时损坏或丢失的风险;
(7)宜考虑可移动介质的登记,以减少数据丢失的机会;
(8)只有在业务需求时,才宜使用可移动介质驱动器;
(9)在需要使用移动介质时,宜监视对这样介质的信息传输。规程和授权级别宜形成文件。
 
【标准条款】
A.8.3.2 介质的处置
应使用正式的规程安全地处置不再需要的介质。
【理解与应用】
需建立介质安全处置的正式规程,以最小化把保密信息泄露给未授权人员的风险。包含保密信息的介质的安全处置规程宜与信息的敏感性相一致。宜考虑下列条款∶
(1)包含有保密信息的介质宜被安全地存储和处置,例如,利用焚化或粉碎的方法,或者将数据擦除供组织内其他应用使用;
(2)宜有规程识别可能需要安全处置的项目;
(3)将所有介质部件收集起来并进行安全处置,可能比试图分离出敏感部件更容易;
(4)许多组织提供介质收集和处置服务;宜注意选择具有足够控制和经验的合适的外部方;
(5)处置敏感项宜做记录,以便维护审核踪迹。
当大量处置介质时,宜考虑可导致大量不敏感信息成为敏感信息的集聚效应。
 
【标准条款】
A.8.3.3 物理介质的转移
包含信息的介质在运送中应受到保护,以防止未授权访问、不当使用或毁坏。
【理解与应用】
为保护包含信息的介质在传输中的安全,需考虑如下内容∶
(1)要使用可靠的运输或送信人;
(2)授权的送信人列表要经管理层批准;
(3)要制定验证送信人身份的规程;
(4)包装要足以保护信息免遭在运输期间可能出现的任何物理损坏,并且符合制造商的说明书,例如防止可能减少介质恢复效力的任何环境因素,如暴露于过热、潮湿或电磁区域;
(5)保持其中标识了介质的内容、所应用的保护,并记录了移交给运输方的时间和接受地点的日志。
想了解更多的关于ISO27001认证信息可以经常关注我们