ISO27017新规下，你的备份硬盘还“躺”在工位抽屉里吗？

最近不少客户一进咨询室就问：“我们天天做备份，怎么新规一出，审计老师说介质管理不合规？”——其实问题不在“备没备”，而在“存没存对”。ISO/IEC 27017:2022更新后，数据安全备份介质的存储要求不再是“找个柜子放好就行”，而是有了明确的物理隔离、环境控制与访问约束三重门槛。

不是“存起来”，而是“守得住”

以前大家习惯把磁带、移动硬盘塞进办公桌抽屉，或者堆在机房角落的纸箱里。新规直接划了红线：备份介质必须与生产环境物理分离，且不得存放于无人值守、无门禁、无温湿度监控的区域。简单说——你不能让备份盘和笔记本电脑共用一个工位抽屉，更不能让它和咖啡杯一起放在开放式办公区。

温湿度？不是建议，是硬指标

标准里白纸黑字写着：长期归档类备份介质（比如LTO磁带、蓝光光盘），存储环境需维持在温度18–24℃、相对湿度40%–60%。别小看这组数字——某客户曾因把三年期备份磁带存放在未控湿的仓库，抽检时发现23%的磁带已出现读取错误。这不是运气差，是标准早就在预警。

谁能碰？得有“介质出入台账”说话

ISO27017现在特别强调“可追溯性”。每盒磁带、每块硬盘的借出、归还、销毁，都得登记时间、责任人、事由，且记录至少保留两年。我们帮一家金融客户梳理时发现，他们过去靠微信留言审批介质借用——这在审核现场直接被判定为“访问控制失效”。

在九蚂蚁，我们不做“改个文档就过审”的表面功夫。从介质标签规范、专用存储柜选型，到权限流程嵌入OA系统，每一步都按新版条款抠细节。毕竟，真正的安全备份，不是等出事了再找盘恢复，而是让风险，在介质落锁那一刻就被挡在外面。