??????? (三)另外,應急電源開關應位于設備房間應急出口附近����,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明��。
??????? (四)要有穩(wěn)定足夠的供水以支持空調(diào)��、加濕設備和滅火系統(tǒng)(當使用時)���,供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火���。如果需要還應有告警系統(tǒng)來指示水壓的降低����。
??????? (五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效���。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求���。
??????? (六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點�。
??????? 第十三條?電纜安全
??????? (一)敷設到公司內(nèi)各個區(qū)域的電纜線的保護方式如下:
??????? 1、進入信息處理設施的電源和通信線路宜在地下���,若可能�,應提供足夠的可替換的保護����;
??????? 2、網(wǎng)絡布纜要免受未授權竊聽或損壞�,例如,利用電纜管道或使路由避開公眾區(qū)域���;
??????? 3��、為了防止干擾�,電源電纜要與通信電纜分開;
??????? 4����、使用清晰的可識別的電纜和設備記號�,以使處理失誤最小化,例如���,錯誤網(wǎng)絡電纜的意外配線�;
??????? 5����、使用文件化配線列表減少失誤的可能性;
??????? 6��、對于敏感的或關鍵的系統(tǒng)����,更進一步的控制考慮應包括:
??????? (1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
??????? (2)使用可替換的路由選擇和/或傳輸介質���,以提供適當?shù)陌踩胧?br />
??????? (3)使用纖維光纜���;
??????? (4)使用電磁防輻射裝置保護電纜�;
??????? (5)對于電纜連接的未授權裝置要主動實施技術清除�、物理檢查;
??????? (6)控制對配線盤和電纜室的訪問���;
??????? 第十四條?設備維護
??????? (一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護����。
??????? (二)由供貨商維護的設備���。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行��。
??????? (三)只有已授權的維護人員才可對設備進行修理和服務
??????? (四)原則上應保存所有維護記錄
??????? (五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄�;
??????? (六)設備資產(chǎn)的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄����。
??????? (七)設備資產(chǎn)的管理部門和行政服務公司定期審核維護記錄和計劃。
??????? (八)當對設備安排維護時���,應實施適當?shù)目刂?�,要考慮維護是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行���;當需要時��,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的���;
??????? (九)應遵守由保險策略所施加的所有要求。
??????? 第十五條?場外設備的安全
??????? (一)離開辦公場所的設備的保護應考慮下列措施:
??????? 1�、離開建筑物的設備和介質在公共場所不應無人看管�。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來�;
??????? 2、制造商的設備保護說明要始終加以遵守���,例如�,防止暴露于強電磁場內(nèi)����;
??????? 3、家庭工作的控制措施應根據(jù)風險評估確定���,當適合時����,要施加合適的控制措施��,例如,可上鎖的存檔柜��、清理桌面策略��、對計算機的訪問控制以及與辦公室的安全通信�;
??????? 4、足夠的安全保障掩蔽物宜到位��,以保護離開辦公場所的設備���。安全風險在不同場所可能有顯著不同����,例如��,損壞��、盜竊和截取���,要考慮確定最合適的控制措施���。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話�、智能卡、紙張及其他形式的設備���。
??????? 第十六條?設備的安全處置與重新使用
??????? (一)設備報廢處置時��,存有敏感信息的存儲設備要從物理上加以銷毀��,或用安全方式對信息加以覆蓋�,而不能采用常用的標準刪除功能來刪除�。
??????? (二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查����,以確保其內(nèi)存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲設備要對其進行風險評估���,以決定是否對其銷毀�、修理或遺棄�。
??????? (三)為保證信息安全,必須在處理介質前擦除有關的敏感信息:
??????? 1���、用碎紙機銷毀所有的敏感紙質記錄��。廢紙可在碎紙后立即處置掉���。
??????? 2���、公司內(nèi)部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀���。
??????? 3��、磁帶和磁盤必須在處置前實際銷毀和核對��。
??????? 4���、數(shù)據(jù)存儲光盤應在處置前實際銷毀。
??????? (四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》��,經(jīng)部門負責人同意后����,方可進行處置。并記錄在《信息介質處置記錄表》��,留待審計時備查����。
??????? 第十七條?設備的移動
??????? (一)應考慮如下措施:
??????? 1���、在未經(jīng)事先授權的情況下,不應讓設備����、信息或軟件離開辦公場所;
??????? 2���、明確識別有權允許資產(chǎn)移動����,離開辦公場所的雇員���、承包方人員和第三方人員;
??????? 3�、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查���;
??????? 4����、若需要并合適,要對設備作出移出記錄�,當返回時,要作出送回記錄�。
??????? (二)應執(zhí)行檢測未授權資產(chǎn)移動的抽查,以檢測未授權的記錄裝置����、武器等等,防止他們進入辦公場所�。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查��,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查��。
???????
??????? 第五章 附則
??????? 第十八條?本管理辦法由科技信息部負責解釋和修訂�。
??????? 第十九條?本管理辦法自發(fā)布之日起施行。
???????
???????
