文件编码：XXX-XXXX-021 存储媒体安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为加强北京思度咨询科技有限公司存储安全管理，即对存储媒体的 使用、存储、携带、记录、清单等活动和逻辑存储提供明确的安全管理标准，特 制定此规范。 第二条 本规范适用于北京思度咨询科技有限公司所有部门存储安全管理。 第二章 适用范围 第三条 本规范所指存储安全为存储媒体安全和逻辑存储安全，指 XXX科技 发展有限公司存储数据载体（如文件档案、计算机硬盘、打印媒体、云服务器 等）的安全和逻辑存储系统（如数据库）的安全 。 第三章 职责权限 第四条 保障服务中心-数据库运维岗，主要履行的职责包括但不限于： （一）协助制定存储媒体、逻辑存储系统访问和使用相关的安全管理规范； （二）组织业务团队人员定期对使用的存储媒体、逻辑存储系统进行安全检 查，并留存记录； （三）负责监督存储媒体、逻辑存储安全管理制度的执行情况，及时发现存 在的问题，并上报数据安全领导小组办公室； （四）负责存储媒体、逻辑存储系统的日常维护、巡检以及策略调整； （五）负责建立数据保管清单，对云服务器上采购的服务进行梳理，并定期 进行核查。 第 1 页 共 5 页第四章 存储媒体安全管理 第五条 存储媒体采购规范 （一）存储媒体由存储媒体安全管理部门进行统一采购； （二）存储媒体采购时严格遵循北京思度咨询科技有限公司申报、审批、采 购、标识、入账、使用的流程； （三）存储媒体采购需要建立可信的渠道提供商，选择可靠的品牌，确保产 品质量； （四）存储媒体采购中应进行防病毒等安全性检测，在确保安全的情况下入 账。 第六条 存储媒体存放规范 （一）存储媒体存放环境应有防火、防盗、防水、防震、防腐蚀等措施，防 止其被盗、被毁、被未授权修改以及其信息的非法泄 露； （二）存储媒体 必须具有明确的 分类标识，标识 须包括归属、大小、保密程 度等，存储媒体的标识 必须醒目； （三）建立存储媒体保管清单，由保障服务中心 -数据库运维岗定期 根据保 管清单对存储媒体的使用现 状进行检查，检查 内容包括完整性（数据 是否损坏或 丢失）和可用性（ 介质是否受到物理破坏）等，确保存储媒体的使用 符合机构公 布的关于存储媒体使用的制度。 第七条 存储媒体使用规范 （一）新启用的存储媒体 或使用移动存储介质时，必须进行安全检查和查 杀 病毒处理； （二）非本单位的移动存储介质一律不得和涉密计算机连接； （三）涉密和非涉密的存储媒体 禁止交叉使用； （四）如使用移动介质转移存储敏感数据，需在使用 前格式化，并在使用 后 立即删除敏感数据。 第八条 云服务器账 户及口令需遵循以下管理要 求： （一）严禁不同的云服务器使用相 同的账户与口令； （二）云服务器用 户账户与管理员账 户分离； （三）云服务器的账号和 口令的安全设置应遵循北京思度咨询科技有限公司 对账号及 口令的管理要 求执行。 第九条 部署于云服务器上系统安全 配置需遵循以下管理要 求： 第 2 页 共 5 页（一）由保障服务中心-数据库运维岗人员定期检查云服务器的 配置基线， 当发现不合规项时，提出配置基线变更的申请； （二）数据安全领导小组办公室负责组织制定安全 配置基线策略； （三）应有日志功能记录所有用 户的登录时间、操作记录； （四）日志的访问、保存及 分析等安全策略要 求按照北京思度咨询科技有限 公司数据 分析安全管理要 求执行。 第五章 逻辑存储安全管理 第十条 逻辑存储系统账号管理 （一）申请人需使用 同一而规范的申 请表提出用户账号创建、修改、 删除、 禁用等申请； （二）在受理申请时，保障服务中心 -数据库运维岗 根据申请配置权限，在 系统条件 具备的情况下， 给用户分配独有的用户账号和权限。一 旦分配好账号， 用户不得使用他人账号或者允许他人使用自己的账号； （三）当用户岗位和权限发生 变化时，应主动申 请所需逻辑存储系统 过的账 号和权限； （四）用户账号口令的发放要严格保 密，用户必须及时更改 初始口令； （五）账号口令最小长度为6位，并要求具有一定的 复杂度，账号 口令需定 期更改，账号 口令的更新周期不得超过90天； （六）严禁共享个人用户账号口令。 第十一条 逻辑存储系统访问 控制 （一）保障服务中心-数据库运维岗需制定逻辑存储系统的访问规则，所有 使用的用 户都必须按规定执行，以确保逻辑存储 设备和业务数据的安全； （二）对逻辑存储系统进行 设置，保证在进入系统 前必须执行登录操作，并 且记录登录成功与失败的日志； （三）保障服务中心-数据库运维岗 必须确保用户的权限被限定在 许可的范 围内，同时能够访问到有权访问的信息； （四）访问控制的规则和权限应 结合实际情况，并记录在案。 第十二条 病毒和 补丁管理 （一）保障服务中心-数据库运维岗定期进行病毒检测，发现病毒立即 处理 并通知上 级领导部门 或专职人员； 第 3 页 共 5 页（二）逻辑存储系统应及时 升级或安装安全补丁，弥补系统漏洞；必须为逻 辑存储服务器 做好病毒及木马的实时监测，及时 升级病毒库； （三）未经保障服务中心-数据库运维岗 许可，不得在逻辑存储系统上安 装 新软件，若确为需要安 装，安装前应进行病毒检查。 第十三条 日 志管理 （一）定期检查逻辑存储系统上的安全日 志进行检查，对 错误、异常、警告 等日志进行分析判断，并将判读结果进行有效 解决处理并记录存档； （二）逻辑存储系统上的日 志要定期备份，以便帮助用户了解在与安全相关 的事物中所涉及到的操作、流程以及 事件的整体信息。 第十四条 逻辑存储系统安全 配置要求 （一）账号管理 与授权 1、删除或锁定可能无用的账户； 2、按照用户角色分配不同权限的账号； 3、口令策略设置符合复杂度要求； 4、设定不能重复的口令； 5、口令生存期不 得长于90天； 6、设定连续认证失败次数。 （二）日志配置要求 1、审核策略 设置为成功失败都要审核； 2、设置日志查看器大小。 （三）其他配置要求 1、安装防病毒软件； 2、设置带密码的屏幕保护； 3、交互式登录不显示上次登录用户名。 （四）内部数据存储系统应在上 线前遵循统一的 配置要求进行有效的安全 配 置，对使用的 外部数据存储系统 也应进行有效的安全 配置。 第六章 附则 第十五条：本规范由数据安全领导小组办公室负责制定、 解释和修改。 第十六条：对违反本规定的人员， 将按照北京思度咨询科技有限公司有关规 定进行处罚。 第十七条：本规范自发布之日起执行。 第 4 页 共 5 页