- 保密网

来源：保密网作者：康凯杰发布时间：2026-05-22 23:40:06 浏览次数：次

一、安全风险现状分析

U盘、移动硬盘、存储卡等移动存储设备因其体积小、容量大、携带方便的特点，在企业日常办公中得到了广泛应用。然而，正是这些便捷特性也使其成为信息泄露的高风险载体。北京企密安在为企业进行安全评估时发现，移动存储设备相关的泄密事件在企业信息泄露案例中占了相当比例。主要风险包括：设备丢失导致数据泄露、通过私人U盘将内部文件带出企业、在未经授权设备上使用导致病毒感染、设备维修或报废时未彻底清除数据等。此外，小型化设备如指甲盖大小的迷你U盘和MicroSD卡，容易被忽视，也让其监控和管理面临更大的挑战。

二、设备购置与准入管理

公司内部使用的移动存储设备应由行政部门统一采购，采购型号和品牌应经过技术部门安全评估确认。个人购买的移动存储设备原则上不得接入公司办公网络和计算机。如确因工作需要临时使用个人设备，须经部门负责人批准，并由技术人员对设备进行安全扫描后方可使用。所有统一配发的移动存储设备应在设备上粘贴标签，标注设备编号、使用人姓名、所属部门和管理责任人。设备信息应录入公司资产管理台账，建立设备从购入、使用、维修到报废的全生命周期档案。涉密程度较高的部门和岗位，建议使用经国家密码管理局认证的加密U盘，设备本身内置硬件加密芯片，即使设备丢失，数据也无法被读取。

三、设备使用规范

使用移动存储设备应遵循最少数据原则，仅在设备上存放工作需要的数据，不得将大量无关或过期的内部文件长期保存在移动存储设备上。设备连接计算机前应先进行病毒扫描，确认安全后再进行文件操作。严禁在公司涉密计算机和互联网计算机之间交叉使用同一移动存储设备。操作涉密数据时，使用的移动存储设备应是涉密专用设备，与日常办公设备严格区分。设备使用完毕后应及时安全弹出，不得在未完成数据传输时直接拔除，以免造成数据损坏或设备故障。移动存储设备不得借给非本公司人员使用，如因工作需要外借，须经部门负责人批准并做好登记。

四、数据传输与加密要求

所有通过移动存储设备传输的内部数据应进行加密处理。对于一般内部资料，可以使用软件加密或压缩加密方式；对于重要和核心内部资料，应使用设备自身的硬件加密功能或专门的数据加密软件。加密密码的设置应符合密码强度要求，长度不少于十位，包含大小写字母、数字和特殊字符。密码应通过其他安全渠道告知接收方，不得与数据存放在同一设备上。传输完成后，接收方应在确认数据完整可用后，按照公司要求对设备中的数据进行清理或归档。跨部门、跨层级的数据传输应提前获得审批，不得擅自通过移动存储设备进行跨权限的数据流动。

五、设备丢失与泄露应急处理

移动存储设备一旦发现丢失或被盗，使用人应立即向部门负责人和保密管理部门报告。报告内容包括设备编号、存储的数据类型和密级、最后一次使用的时间和地点等。保密管理部门接到报告后应立即启动应急预案：评估丢失设备中数据的敏感程度和潜在损失；如设备具有远程擦除功能，立即激活；通知可能受影响的相关方；必要时向公安机关报案。设备丢失后的补救工作应同步启动，包括修改相关账户密码、通知客户或合作伙伴、调整业务流程等。对于因未按规定使用加密措施导致数据泄露的，相关责任人要承担相应责任。

六、设备报废与数据销毁

移动存储设备在达到使用年限或出现故障需要报废时，必须进行彻底的数据销毁。数据销毁不得仅依靠格式化或删除文件的方式完成，因为通过数据恢复工具可以轻易还原这些数据。应采用专业的数据销毁软件进行多次覆写，或通过物理破坏的方式如液压破碎、高温熔毁等。报废设备应统一交由公司指定部门处理，不得自行丢弃或转卖。设备报废处理的全过程应有记录，包括处理时间、处理方式、操作人和监督人签字。处理记录保存期限不少于三年。

七、日常检查与违规处理

各部门应定期对移动存储设备进行盘点，核对设备编号和使用人是否一致，检查设备是否有异常使用记录。使用人应定期自查设备中存储的数据，清理不再需要的文件。对于违反移动存储设备管理规定，包括私自使用个人设备、未对数据进行加密、将设备转借他人、设备丢失未及时报告等行为，公司视情节轻重给予相应处理。造成严重后果的，将依法追究责任。