企业闲置办公设备处理保密要求

企业闲置办公设备处理保密要求

一、总则

企业办公活动中使用的计算机、打印机、复印机、传真机、扫描仪、服务器、网络设备、手机、平板电脑、U盘、移动硬盘和监控设备等各类设备，在达到使用年限或不再需要时需要进行淘汰处理。这些设备中通常存储了大量企业信息，包括业务数据、客户资料、员工信息、系统配置和操作日志等。如果仅清除表面可见数据而未做彻底的存储介质处理，存储在设备深层的数据可能被恢复后造成信息泄露。企业闲置办公设备处理保密要求旨在规范各类办公设备从判定闲置到最终处置的全过程，确保所有可能存储信息的设备在离开企业前经过彻底的数据销毁处理。本要求适用于企业所有部门和所有类型的办公设备，包括台式电脑、笔记本电脑、服务器、打印机、复印机、传真机、扫描仪、移动存储设备、网络设备和通讯设备。

二、闲置设备的判定与登记

各部门在日常办公中发现有设备不再使用或需要淘汰更新时，应向行政管理部门提交设备闲置处理申请。行政管理部门收到申请后对设备进行核实，确认设备的品牌型号、资产编号、采购日期、使用年限、当前状态和存储介质类型。闲置设备应当由行政管理部门统一收集，存放在指定的闲置设备临时存放区。闲置设备在入库前完成信息登记，包括设备编号、设备类型、原使用部门和责任人、入库日期和预计处理方式。闲置设备存放区应设置门禁和监控，非授权人员不得进入和搬离设备。

三、存储介质分类与数据清除等级

不同的办公设备中存储数据的介质类型各不相同，需要根据介质类型采用相应的数据清除方式。设备数据清除等级按照存储信息的敏感程度分为常规清除、安全清除和物理销毁三级。常规清除适用于不包含敏感信息的通用设备，采用数据格式化加覆写一次的方式处理。安全清除适用于曾存储过企业内部数据的设备，采用专业数据销毁工具进行多次覆写擦除后验证的方式处理。物理销毁适用于曾存储过商业机密或高度敏感信息的设备，对存储介质通过物理破碎、钻孔、高温熔毁或强磁消磁等方式使其丧失数据读取能力。数据清除等级由设备原使用部门在提交闲置处理申请时根据设备曾存储信息的最高密级提出建议，行政管理部门审核确认。

四、计算机类设备的数据销毁

计算机类设备包括台式电脑、笔记本电脑和平板电脑，是闲置设备中数量最大数据风险最高的类别。设备的数据销毁应当优先处理硬盘存储介质。机械硬盘的数据销毁采用覆写擦除工具执行至少三次覆写操作，覆写模式按照行业通用标准执行。覆写完成后应当使用数据恢复工具验证覆写效果，确认数据不可恢复。固态硬盘的销毁方式与机械硬盘不同，由于固态硬盘的磨损平衡和垃圾回收机制，简单的覆写可能无法覆盖所有存储单元。固态硬盘建议采用硬盘厂商提供的安全擦除指令进行数据清除，清除完成后通过读取全部存储单元验证数据是否已清零。无法通过软件方式安全擦除的固态硬盘采用物理销毁方式处理。笔记本电脑的CMOS电池和内置存储卡也应在设备处理前取出并一并销毁。

五、打印复印传真类设备的数据销毁

打印机、复印机和传真机等设备内部通常配备有硬盘，用于缓存打印任务、存储扫描文档和记录操作日志。这类设备的硬盘数据清除往往容易被忽略。设备在闲置处理前应当由IT人员和设备原使用部门共同确认设备中内置硬盘的型号和容量。硬盘取出后按照计算机硬盘的数据销毁方式处理。设备的内置存储卡或闪存芯片如无法取出单独处理的，应连同设备存储控制板一同进行物理破坏。设备的操作面板中可能存储了企业地址簿、快速拨号号码和历史发送记录，在设备处理前应通过设备菜单进行出厂设置重置操作清除面板内的用户数据。设备的传真功能模块中可能保留着接收到的传真文件缓存，清除时针对传真模块进行单独清理。

六、移动存储设备的数据销毁

移动存储设备包括U盘、移动硬盘、存储卡、数码伴侣和固态移动硬盘等。这类设备的特点是体积小、容量大、便于携带，容易被随手放置或遗忘处理。各员工应在设备闲置或不再使用时主动将设备交回行政管理部门。移动存储设备的数据销毁标准高于固定设备，因其脱离企业物理范围后风险更大。所有移动存储设备在交回后统一处理，U盘和存储卡采用物理粉碎方式处理。移动硬盘的销毁方式与计算机硬盘相同。带有硬件加密功能的移动存储设备在销毁前应解除加密锁或清除加密密钥。遗失或不明去向的移动存储设备由原责任人报告原因并在资产台账中标注状态变化。

七、服务器和网络设备的数据销毁

服务器和网络设备是企业信息系统的核心，其存储的数据量庞大且结构复杂。服务器在闲置处理前应当由IT部门完成数据迁移和系统停用流程。服务器的硬盘使用RAID阵列的，应在拆解前确认RAID阵列已挂载回退或对单块硬盘逐个销毁。独立硬盘的销毁方式与计算机硬盘相同。服务器主板上的RAID控制器缓存、远程管理芯片的固件存储区域和备用电池模块中的存储芯片也应在销毁前确认数据已清除。网络设备包括交换机、路由器和防火墙等，其配置文件和日志信息存储在闪存或固件中。在设备处理前应当执行出厂设置重置命令，将设备配置恢复至出厂状态，再对设备进行数据清除验证。网络设备的管理模块和日志存储卡应单独取出处理。

八、通讯和办公类设备的数据销毁

通讯设备包括座机电话、IP电话、对讲机、视频会议终端和会议电话等设备。这些设备的通讯录、通话记录和配置信息也需要在闲置处理前清除。座机电话通过菜单操作清除通讯录和快速拨号记录。IP电话通过系统设置恢复出厂状态。对讲机清除已配对设备列表和频道配置。视频会议终端清除已保存的会议号码、IP地址和登录凭证。办公类设备包括投影仪、电子白板、考勤机、门禁控制器、碎纸机等。投影仪和电子白板清除已连接的设备列表和本地存储的文件。考勤机清除员工打卡记录和指纹模板等生物识别信息。门禁控制器清除用户权限列表和通行记录。碎纸机清除连续工作次数记录和异常卡纸记录。

九、数据销毁的记录与验证

数据销毁作业应当全程记录，建立设备销毁台账。销毁台账包含设备编号、设备名称、存储介质类型、数据清除等级、清除工具名称和版本、执行人签字、监督人签字、清除时间和验证结果等字段。数据清除完成后由执行人填写清除记录，同时由独立的监督人进行验证抽查。抽查比例按清除等级确定，常规清除抽查不少于百分之十，安全清除抽查不少于百分之三十，物理销毁百分之百在销毁过程中当场确认。抽查不合格的设备重新执行清除操作。销毁记录台账保存期限不少于三年。

十、闲置设备的处置方式分类

完成数据销毁后的闲置设备根据设备状况和处理成本分为报废回收、捐赠转售和内部再利用三类。完全损坏或无使用价值的设备按照电子废弃物回收流程处理，由具备电子废弃物处理资质的回收企业回收。具有一定使用价值且数据已彻底清除的设备可经审批后用于对外捐赠或内部员工低价转售，捐赠转售前应在设备外壳粘贴已清除数据的标注标签，同时向接收方出具数据已清除的书面证明。尚可继续使用的设备在企业内部各部门之间调剂使用，调剂使用时重新录入资产台账和更新责任人。

十一、设备处置商的保密要求

企业选择电子废弃物回收商或二手设备购买商时，应当评估其信息安全管理能力。回收商或购买商应具备相关行业资质，拥有正式的经营场所和固定的处理场地。企业应与处置方签署书面协议，协议中明确处置方不得对接收的设备进行信息恢复操作，不得将企业设备中的任何数据内容用于商业用途，不得将未彻底销毁的存储设备转售给第三方。协议中还应当约定企业有权对处置方的设备处理现场进行不定期抽查。处置方应配合企业的抽查要求。处置方发生数据泄露事件时应在二十四小时内通知企业并承担相应法律责任。

十二、员工在设备处理中的配合责任

员工在企业办公设备使用过程中负有保护设备中数据的义务。员工使用的电脑、手机、U盘等设备在交回行政管理部门前应将个人文件和个人账户信息迁出，将设备中的工作文档按照档案管理规定归档。员工不得在设备交回前私自删除设备中的系统日志或卸载管理软件。员工交回设备时应当如实告知设备中曾存储的数据类型和密级，配合管理部门确定数据清除等级。员工离职时的办公设备交回作为离职手续的必要环节，离职员工应当将保管的全部办公设备交回，设备未交回前不得签署离职证明。员工因个人原因导致设备遗失的，应当报告遗失情况并配合做信息泄露风险评估。

十三、违规处理

违反闲置办公设备处理保密要求的员工，按照违规情节予以相应处理。员工私自将企业闲置设备带出而不经过数据销毁流程的，按窃取企业资产处理。员工在交回设备时隐瞒设备中存储的敏感信息导致数据清除不足的，按设备管理违规处理。员工自行处理或丢弃企业闲置设备的，照价赔偿设备并给予通报批评。设备管理人员未按数据清除标准操作导致数据残留后外泄的，追究管理责任。设备处置商违反协议对设备数据进行恢复或转卖的，按合同约定索赔并终止合作关系。

常见问题解答

问：员工使用的台式电脑淘汰了，里面的个人文件和照片如何处理？ 答：员工应在电脑交回前自行备份个人文件和个人照片等与工作无关的内容，并在备份完成后从电脑中删除。电脑交回管理部门后将进行数据清除操作，清除后电脑中的所有数据将不可恢复。因此员工务必在交回前完成个人文件的备份。企业不承担因员工未备份而丢失个人数据的责任。如员工不知如何备份可联系IT部门协助。

问：旧手机交回公司后如何处理其中的企业内部App登录状态？ 答：手机设备中的企业内部应用程序在数据清除前应当由IT部门或员工本人从应用程序中进行账户退出操作，清除应用程序的本地缓存数据。手机设备恢复出厂设置后再进行数据覆写或物理销毁。IT部门可以在设备管理系统中远程注销该设备的企业服务权限，确保设备在脱离企业控制后无法再访问企业内部系统。

北京企密安 010-63711822 baomiwang.com