国密算法与信息系统安全-设备迁移与信息清除

本文档涉及的是《信息安全技术 信息系统安全等级保护实施指南》中的设备迁移或废弃以及信息转移、暂存和清除的相关实践，重点强调了在信息系统终止处理过程中的安全操作，确保信息资产的安全。 在《等级保护 实施指南》中，9.2章节讲述了信息转移、暂存和清除的活动。这一活动的目标是保障信息资产在信息系统终止处理时能被安全地转移到其他系统，或者在暂存和清除过程中不会泄露。主要步骤包括： 1. 识别要转移、暂存和清除的信息资产，基于信息系统信息资产清单来确定重要信息及其位置和状态。 2. 制定信息资产的转移、暂存和清除策略，特别是涉及涉密信息时，需遵循国家相关部门的规定。 3. 记录整个处理过程，包括参与人员、操作方式和信息当前位置，以便跟踪和审计。 9.3章节则关注设备迁移或废弃，其目标是确保设备在迁移或废弃后不包含敏感信息，并且处理方式符合国家要求。此过程可能包括存储介质的清除或销毁，以防止数据泄露。 整个等级保护实施涵盖了信息系统定级、总体安全规划、安全设计与实施等多个阶段。在信息系统定级阶段，通过系统识别和描述、信息系统划分，最终确定安全保护等级。总体安全规划阶段则涉及安全需求分析、总体安全设计和安全建设项目规划，其中安全需求分析包括基本安全需求和额外/特殊安全需求的确定。 在安全设计与实施阶段，需要详细设计安全方案，包括技术措施和管理措施的实现，以及相应的人员培训和产品采购。这一系列步骤旨在构建一个综合的安全管理体系，确保信息系统的安全运行。 在设备迁移、废弃处理时，必须按照预设的安全流程进行，确保所有存储介质经过适当的清除或销毁处理，以消除潜在的数据风险。这些操作记录在相关处理记录文档中，供审计和追溯。 这份指南提供了一套全面的方法论，指导IT从业者如何在信息系统生命周期的不同阶段，尤其是终止阶段，妥善处理信息资产和设备，以满足国家的等级保护要求，保障信息安全。