usb轉(zhuǎn)儲管理辦法一、總則（一）目的為規(guī)范公司USB轉(zhuǎn)儲行為，確保公司信息資產(chǎn)的安全與完整，防止因USB轉(zhuǎn)儲操作不當(dāng)導(dǎo)致信息泄露、數(shù)據(jù)丟失或其他安全風(fēng)險(xiǎn)，特制定本管理辦法。（二）適用范圍本辦法適用于公司全體員工以及因工作需要使用公司資源進(jìn)行USB轉(zhuǎn)儲操作的外部人員（如合作單位人員、供應(yīng)商等）。（三）基本原則1.合法合規(guī)原則：USB轉(zhuǎn)儲操作必須嚴(yán)格遵守國家法律法規(guī)以及行業(yè)相關(guān)標(biāo)準(zhǔn)和規(guī)范，不得從事任何違法違規(guī)的轉(zhuǎn)儲行為。2.安全保密原則：確保轉(zhuǎn)儲過程中信息資產(chǎn)的安全性和保密性，采取必要的技術(shù)和管理措施防止信息泄露。3.授權(quán)審批原則：所有USB轉(zhuǎn)儲操作均需經(jīng)過授權(quán)審批，未經(jīng)批準(zhǔn)不得擅自進(jìn)行。4.可追溯原則：對USB轉(zhuǎn)儲操作進(jìn)行詳細(xì)記錄，以便在需要時(shí)能夠追溯操作過程和相關(guān)信息。二、USB轉(zhuǎn)儲定義與分類（一）定義本辦法所稱USB轉(zhuǎn)儲，是指通過USB存儲設(shè)備（如U盤、移動(dòng)硬盤等）將公司內(nèi)部的電子數(shù)據(jù)（包括但不限于文件、文檔、數(shù)據(jù)庫、程序代碼等）復(fù)制或轉(zhuǎn)移至外部存儲介質(zhì)的行為。（二）分類1.日常工作轉(zhuǎn)儲：因日常辦公需要，如數(shù)據(jù)備份、資料共享等，在規(guī)定的流程和權(quán)限范圍內(nèi)進(jìn)行的USB轉(zhuǎn)儲操作。2.特殊項(xiàng)目轉(zhuǎn)儲：針對特定項(xiàng)目，如項(xiàng)目交付、數(shù)據(jù)遷移等，經(jīng)項(xiàng)目負(fù)責(zé)人批準(zhǔn)進(jìn)行的臨時(shí)性USB轉(zhuǎn)儲操作。3.應(yīng)急轉(zhuǎn)儲：在突發(fā)情況下，如系統(tǒng)故障、數(shù)據(jù)丟失等，為保障業(yè)務(wù)連續(xù)性而進(jìn)行的緊急USB轉(zhuǎn)儲操作。三、USB轉(zhuǎn)儲流程（一）申請1.申請人填寫申請表：員工或外部人員如需進(jìn)行USB轉(zhuǎn)儲操作，應(yīng)首先填寫《USB轉(zhuǎn)儲申請表》，詳細(xì)說明轉(zhuǎn)儲的目的、內(nèi)容、存儲設(shè)備信息以及預(yù)計(jì)轉(zhuǎn)儲時(shí)間等。2.提交申請：申請表填寫完成后，提交至所在部門負(fù)責(zé)人進(jìn)行初審。（二）初審1.部門負(fù)責(zé)人審核：部門負(fù)責(zé)人對申請表進(jìn)行審核，重點(diǎn)審查轉(zhuǎn)儲目的是否合理、轉(zhuǎn)儲內(nèi)容是否涉及敏感信息、存儲設(shè)備是否符合安全要求等。2.簽署意見：如審核通過，部門負(fù)責(zé)人在申請表上簽署同意意見，并注明建議的審批層級；如審核不通過，應(yīng)注明原因并退回申請表。（三）審批1.按層級審批：根據(jù)轉(zhuǎn)儲內(nèi)容的敏感程度和涉及范圍，申請表依次提交至相關(guān)審批層級進(jìn)行審批。一般轉(zhuǎn)儲申請，由部門負(fù)責(zé)人審批即可。涉及敏感信息（如公司機(jī)密文件、客戶數(shù)據(jù)等）的轉(zhuǎn)儲申請，需經(jīng)公司信息安全管理部門負(fù)責(zé)人和分管領(lǐng)導(dǎo)審批。對于重大項(xiàng)目或涉及公司核心業(yè)務(wù)的轉(zhuǎn)儲申請，還需經(jīng)公司總經(jīng)理審批。2.審批意見反饋：審批人員應(yīng)在規(guī)定時(shí)間內(nèi)完成審批，并將審批意見及時(shí)反饋給申請人。如審批通過，申請表進(jìn)入下一步流程；如審批不通過，應(yīng)明確說明理由，申請人需根據(jù)審批意見進(jìn)行修改或調(diào)整后重新提交申請。（四）準(zhǔn)備1.檢查存儲設(shè)備：申請人在獲得審批通過后，應(yīng)對用于轉(zhuǎn)儲的USB存儲設(shè)備進(jìn)行檢查，確保設(shè)備無病毒、無損壞且存儲空間足夠。2.加密處理（如有需要）：對于涉及敏感信息的轉(zhuǎn)儲內(nèi)容，應(yīng)在轉(zhuǎn)儲前進(jìn)行加密處理，確保數(shù)據(jù)在傳輸和存儲過程中的安全性。加密方式應(yīng)符合公司信息安全相關(guān)規(guī)定。（五）轉(zhuǎn)儲1.在指定環(huán)境操作：USB轉(zhuǎn)儲操作應(yīng)在公司指定的安全環(huán)境下進(jìn)行，如公司內(nèi)部的專用計(jì)算機(jī)或經(jīng)信息安全管理部門認(rèn)可的設(shè)備。2.專人監(jiān)督（必要時(shí)）：對于涉及重要信息或高風(fēng)險(xiǎn)的轉(zhuǎn)儲操作，公司信息安全管理部門可安排專人進(jìn)行現(xiàn)場監(jiān)督，確保轉(zhuǎn)儲過程符合安全要求。3.記錄轉(zhuǎn)儲過程：操作人員應(yīng)詳細(xì)記錄轉(zhuǎn)儲過程中的相關(guān)信息，包括轉(zhuǎn)儲時(shí)間、轉(zhuǎn)儲內(nèi)容、存儲設(shè)備編號等，并存檔以備查閱。（六）驗(yàn)收1.接收方確認(rèn)：轉(zhuǎn)儲完成后，接收方應(yīng)對轉(zhuǎn)儲的數(shù)據(jù)進(jìn)行確認(rèn)，確保數(shù)據(jù)的完整性和準(zhǔn)確性。如發(fā)現(xiàn)數(shù)據(jù)存在問題，應(yīng)及時(shí)與轉(zhuǎn)儲方溝通并解決。2.填寫驗(yàn)收報(bào)告：接收方填寫《USB轉(zhuǎn)儲驗(yàn)收報(bào)告》，詳細(xì)記錄驗(yàn)收情況，如驗(yàn)收通過，報(bào)告提交至信息安全管理部門備案；如驗(yàn)收不通過，應(yīng)說明問題及處理結(jié)果，并及時(shí)反饋給相關(guān)部門。四、USB存儲設(shè)備管理（一）采購與選型1.統(tǒng)一采購：公司原則上統(tǒng)一采購用于USB轉(zhuǎn)儲的存儲設(shè)備，以確保設(shè)備的質(zhì)量和安全性。2.選型標(biāo)準(zhǔn)：采購部門在選型時(shí)，應(yīng)綜合考慮存儲容量、讀寫速度、兼容性、安全性等因素，優(yōu)先選擇具有加密功能、數(shù)據(jù)備份恢復(fù)功能且經(jīng)過安全認(rèn)證的產(chǎn)品。（二）登記與標(biāo)識1.設(shè)備登記：新采購的USB存儲設(shè)備到貨后，由使用部門負(fù)責(zé)進(jìn)行登記，填寫《USB存儲設(shè)備登記表》，記錄設(shè)備型號、編號、購買時(shí)間、使用人員等信息。2.標(biāo)識管理：為便于識別和管理，應(yīng)對每臺USB存儲設(shè)備進(jìn)行唯一標(biāo)識，并在設(shè)備上粘貼標(biāo)識標(biāo)簽。標(biāo)識標(biāo)簽應(yīng)包含設(shè)備編號、使用部門、使用人員等信息。（三）使用與維護(hù)1.專人專用原則：USB存儲設(shè)備應(yīng)實(shí)行專人專用，不得隨意轉(zhuǎn)借他人使用。如因工作需要轉(zhuǎn)借，需經(jīng)設(shè)備所有者同意，并辦理相關(guān)轉(zhuǎn)借手續(xù)。2.定期維護(hù)：使用人員應(yīng)定期對USB存儲設(shè)備進(jìn)行維護(hù)，如檢查設(shè)備狀態(tài)、清理存儲空間、查殺病毒等，確保設(shè)備的正常運(yùn)行和數(shù)據(jù)安全。3.數(shù)據(jù)備份：使用人員應(yīng)定期對USB存儲設(shè)備中的重要數(shù)據(jù)進(jìn)行備份，防止數(shù)據(jù)丟失。備份數(shù)據(jù)應(yīng)存儲在安全的位置，并按照公司數(shù)據(jù)備份相關(guān)規(guī)定進(jìn)行管理。（四）報(bào)廢與銷毀1.報(bào)廢申請：當(dāng)USB存儲設(shè)備因損壞、老化等原因無法繼續(xù)使用時(shí)，使用人員應(yīng)填寫《USB存儲設(shè)備報(bào)廢申請表》，提交至所在部門負(fù)責(zé)人審批。2.報(bào)廢審批：部門負(fù)責(zé)人對報(bào)廢申請進(jìn)行審核，如同意報(bào)廢，申請表提交至公司信息安全管理部門進(jìn)行最終審批。信息安全管理部門應(yīng)檢查設(shè)備中是否存在未處理的敏感信息，如存在敏感信息，應(yīng)在確保信息已妥善處理后再進(jìn)行報(bào)廢審批。3.銷毀處理：經(jīng)審批同意報(bào)廢的USB存儲設(shè)備，由公司指定的專業(yè)機(jī)構(gòu)進(jìn)行銷毀處理。銷毀過程應(yīng)進(jìn)行詳細(xì)記錄，包括銷毀時(shí)間、銷毀方式、銷毀人員等信息，并形成銷毀報(bào)告存檔。五、安全與保密要求（一）信息安全保護(hù)1.加密傳輸與存儲：在USB轉(zhuǎn)儲過程中，對于涉及敏感信息的數(shù)據(jù)應(yīng)采用加密技術(shù)進(jìn)行傳輸和存儲，確保數(shù)據(jù)在傳輸和存儲過程中的保密性、完整性和可用性。2.防病毒措施：用于USB轉(zhuǎn)儲的存儲設(shè)備應(yīng)安裝有效的防病毒軟件，并定期更新病毒庫，防止病毒感染和傳播。3.訪問控制：對USB存儲設(shè)備的訪問應(yīng)進(jìn)行嚴(yán)格的權(quán)限控制，只有經(jīng)過授權(quán)的人員才能訪問設(shè)備中的數(shù)據(jù)。（二）保密責(zé)任1.簽訂保密協(xié)議：對于涉及公司機(jī)密信息的USB轉(zhuǎn)儲操作，參與操作的人員應(yīng)簽訂保密協(xié)議，明確保密責(zé)任和義務(wù)。2.保密培訓(xùn)：公司應(yīng)定期組織員工進(jìn)行保密培訓(xùn)，提高員工的保密意識和技能，確保員工在USB轉(zhuǎn)儲操作過程中能夠嚴(yán)格遵守保密規(guī)定。3.違規(guī)處理：如發(fā)現(xiàn)員工在USB轉(zhuǎn)儲操作過程中違反保密規(guī)定，導(dǎo)致公司信息泄露的，公司將按照相關(guān)規(guī)定追究其責(zé)任，情節(jié)嚴(yán)重的將依法追究法律責(zé)任。六、監(jiān)督與檢查（一）定期檢查1.信息安全管理部門檢查：公司信息安全管理部門定期對公司內(nèi)部的USB轉(zhuǎn)儲操作和USB存儲設(shè)備管理情況進(jìn)行檢查，檢查內(nèi)容包括轉(zhuǎn)儲流程的執(zhí)行情況、存儲設(shè)備的使用與維護(hù)情況、安全與保密措施的落實(shí)情況等。2.檢查記錄與報(bào)告：每次檢查應(yīng)形成詳細(xì)的檢查記錄，并編寫檢查報(bào)告。檢查報(bào)告應(yīng)包括檢查情況、發(fā)現(xiàn)的問題、整改建議等內(nèi)容，提交至公司管理層審閱。（二）不定期抽查1.管理層抽查：公司管理層可根據(jù)工作需要，不定期對USB轉(zhuǎn)儲操作和USB存儲設(shè)備管理情況進(jìn)行抽查，以確保各項(xiàng)管理規(guī)定得到有效執(zhí)行。2.問題整改跟蹤：對于檢查和抽查中發(fā)現(xiàn)的問題，責(zé)任部門應(yīng)及時(shí)進(jìn)行整改，并將整改情況反饋給信息安全管理部門。信息安全管理部門負(fù)責(zé)對整改情況進(jìn)行跟蹤檢查，確保問題得到徹底解決。七、違規(guī)處理（一）違規(guī)行為界定1.未經(jīng)授權(quán)擅自進(jìn)行USB轉(zhuǎn)儲操作。2.在USB轉(zhuǎn)儲過程中違反安全與保密規(guī)定，導(dǎo)致信息泄露、數(shù)據(jù)丟失或其他安全事故。3.轉(zhuǎn)借USB存儲設(shè)備給未經(jīng)授權(quán)人員使用。4.未按規(guī)定對USB存儲設(shè)備進(jìn)行登記、標(biāo)識、維護(hù)、報(bào)廢等管理操作。5.其他違反本管理辦法的行為。（二）處理措施1.警告：對于首次違規(guī)且情節(jié)較輕的行為，給予警告處分，并責(zé)令其立即整改。2.罰款：對于違規(guī)情節(jié)較嚴(yán)重的行為，除給予警告處分外，并處以一定金額的罰款。罰款金額根據(jù)違規(guī)行為的嚴(yán)重程度和造成的損失確定。3.解除勞動(dòng)合同（適用于員工）：對于嚴(yán)重違反本管理辦法，給公司造成重大損失或惡劣影響的員工，公司將依法解除勞動(dòng)合同。