網(wǎng)絡(luò)管理中心環(huán)境及安全管理辦法
????????
??????? 二、?機房安全管理辦法
???????
??????? 1.人員進(jìn)出安全管理:無論內(nèi)部員工還是第三方人員�,只有經(jīng)過授權(quán)的人員才可以進(jìn)入安全區(qū)域。網(wǎng)管中心應(yīng)實施以下措施對安全區(qū)域的出入進(jìn)行控制。
??????? (以下管理辦法同時適用于網(wǎng)管中心維護機房及設(shè)備機房)
??????? (a)重要的安全區(qū)域應(yīng)僅限于授權(quán)人員訪問���,并使用身份識別技術(shù)(例如門禁卡���、個人識別碼等)對所有訪問活動進(jìn)行授權(quán)和驗證。所有訪問活動的審計跟蹤記錄應(yīng)被安全地保管�����;
??????? (b)所有內(nèi)部員工都應(yīng)佩戴明顯的����、可視的身份識別證明,并應(yīng)主動向那些無公司員工陪伴的陌生人和未佩戴可視標(biāo)志的人員提出質(zhì)疑�;
??????? (c)安全區(qū)域的訪問者應(yīng)辦理出入手續(xù)并接受監(jiān)督或檢查,應(yīng)記錄其進(jìn)入和離開的日期和時間����;
??????? (d)訪問者的訪問目的必須經(jīng)過室經(jīng)理以上管理人員批準(zhǔn),并只允許訪問經(jīng)授權(quán)的目標(biāo)���;
??????? (e)訪問者應(yīng)被告知該區(qū)域的安全要求及有關(guān)應(yīng)急程序���;
??????? (f)安全區(qū)域的訪問權(quán)應(yīng)被定期審查和更新;
??????? (g)不得隨意允許未經(jīng)授權(quán)許可的人員進(jìn)入機房。原則上只有在獲得網(wǎng)管中心室經(jīng)理以上管理人員授權(quán)證明的情況下才可進(jìn)入機房���,進(jìn)入時應(yīng)做好登記工作�����;
??????? (h)對于需臨時進(jìn)入機房的人員(包括公司內(nèi)部及外部人員)�����,必須經(jīng)過室經(jīng)理以上授權(quán)批準(zhǔn)后,在有權(quán)限進(jìn)入機房的工作人員陪同下進(jìn)入機房�����,并填寫機房進(jìn)出登記表�����;
??????? (i)安全管理人員(非機房管理人員)應(yīng)定期(如每月)對機房進(jìn)出日志/登記記錄進(jìn)行審核��,發(fā)現(xiàn)異常情況應(yīng)及時上報��;
????????? (j)進(jìn)出設(shè)備機房公司內(nèi)部人員一律在門衛(wèi)處登記姓名�����、所屬部門、工作內(nèi)容����、進(jìn)入時間等;
????????? (k)進(jìn)入設(shè)備機房的廠家或工程隊等人員�����,在沒有本公司隨工人員陪同的情況下一律不允許進(jìn)入設(shè)備機房進(jìn)行工作���。如遇緊急故障�,當(dāng)三方人員在沒有隨工人員陪同的情況下到達(dá)現(xiàn)場時���,保安人員可讓其立即進(jìn)場�����,但必須全程尾隨����。在三方人員進(jìn)入現(xiàn)場的同時問明相關(guān)部門領(lǐng)導(dǎo)或設(shè)備責(zé)任人����,并立即致電核實�����。
??????? 參見附表2�?!稒C房出入登記表》
???????
??????? 2.文檔安全管理:系統(tǒng)文檔可能包含一系列敏感信息,比如應(yīng)用流程����、程序、數(shù)據(jù)結(jié)構(gòu)���、授權(quán)流程的說明。應(yīng)當(dāng)考慮下列控制程序��,避免系統(tǒng)非法訪問��。
??????? (a)工作人員應(yīng)當(dāng)安全保存系統(tǒng)文檔����;
??????? (b)系統(tǒng)文檔的訪問列表應(yīng)控制在最小范圍,并由應(yīng)用責(zé)任人授權(quán)�;
??????? (c)保存在公共網(wǎng)絡(luò)的系統(tǒng)文檔或者通過公共網(wǎng)絡(luò)提供的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Wo��;
??????? (d)維護和管理人員�,均應(yīng)熟悉并嚴(yán)格執(zhí)行安全保密規(guī)定���,部門領(lǐng)導(dǎo)或室經(jīng)理定期對維護人員進(jìn)行安全保密教育�����,并定期檢查保密規(guī)定的執(zhí)行情況�����;
??????? (e)安全文檔包含:
??????? (01)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)框圖����,網(wǎng)絡(luò)拓?fù)鋱D����,網(wǎng)絡(luò)組織技術(shù)說明,各類應(yīng)用接入技術(shù)說明���,業(yè)務(wù)流程圖�,局資料����;
??????? (02)現(xiàn)網(wǎng)的設(shè)備配置�;
??????? (03)各類設(shè)備��,儀器說明書�����,原理圖及布線圖��;
??????? (04)各類設(shè)備安裝���、測試�、檢修�����、返修記錄�;
??????? (05)維護測試規(guī)定���;
??????? (06)維護作業(yè)計劃����;
??????? (07)各種維護規(guī)章制度和維護手冊;
??????? (08)交接班記錄���;
??????? (09)系統(tǒng)運行記錄(含系統(tǒng)故障和重啟動記錄)�;
??????? (10)故障及處理記錄���;
??????? (11)用戶申告故障記錄��;
??????? (12)巡回檢查記錄��;
??????? (13)其它問題記錄��;
??????? (14)資料修改記錄����;
??????? (15)硬件更換記錄����;
??????? (16)系統(tǒng)中繼方式及中繼框圖;
??????? (17)開通資料(包括工程設(shè)計文件�����,驗收文件)�����;
??????? (18)備份更換及相關(guān)信息匯總記錄;
??????? (19)各類聯(lián)系電話�����,技術(shù)培訓(xùn)資料�����;
??????? (20)質(zhì)量統(tǒng)計表���,話務(wù)量統(tǒng)計表����,維護作業(yè)表����;
??????? (21)公司內(nèi)部管理、學(xué)習(xí)����、傳閱類文檔��;
???????
??????? 3.存儲媒介使用規(guī)范
??????? 3.1存儲保護:在不使用信息資產(chǎn)時,做好屏幕和桌面的清理工作����,可以有效防止信息的未授權(quán)訪問,是保護信息資產(chǎn)��,防止其泄露��、丟失����、破壞的一種重要措施。公司應(yīng)制定有效管理可移動存儲媒介的規(guī)定�,如移動硬盤、磁帶���、磁盤����、卡帶以及紙質(zhì)文件等等�����。以下是基本的控制措施:
??????? (a)包含重要、敏感或關(guān)鍵信息的移動式存儲設(shè)備不得無人值守�����,以免被盜�;
??????? (b)刪除可重復(fù)使用的存儲媒介中不再需要的信息;
??????? (c)任何存儲媒介帶入和帶出公司都需經(jīng)過授權(quán)���,并保留相應(yīng)記錄���,方便審計跟蹤;
??????? (d)無論設(shè)備所有權(quán)歸屬���,任何在工作區(qū)域外使用信息處理設(shè)備的行為���,都應(yīng)經(jīng)過管理層授權(quán)許可;
??????? (e)在公共場所使用的公司設(shè)備和存儲媒介均不得無人看管����;
??????? (f)始終嚴(yán)格遵守設(shè)備制造商有關(guān)設(shè)備保護的要求;
??????? (g)紙質(zhì)文件和計算機設(shè)備在不使用時��,特別是在工作時間以外�,應(yīng)保存在鎖閉柜子內(nèi)或其他形式的保險裝置內(nèi)�;
??????? (h)機密和絕密信息在不使用時�,特別是辦公室無人時,必須予以鎖閉(最好是防火的保險柜或文件柜)�;
??????? (i)個人電腦��、計算機終端在無人看管時�,不得處于登錄狀態(tài);在不使用時��,必須通過鍵盤鎖定�、密碼或其他控制措施予以保護;
??????? (j)復(fù)印機����、掃描儀在工作時間以外,應(yīng)被鎖閉或采用其他方式保護���,以防非授權(quán)使用���;
??????? 在打印、復(fù)印����、掃描機密或絕密信息時,必須有人值守,并應(yīng)在完成后立即從設(shè)備中清除��;
??????? (k)在對信息處理設(shè)備處置或重用時���,公司應(yīng)在風(fēng)險評估的基礎(chǔ)上���,實施審批手續(xù),決定信息處理設(shè)備的處置方法--銷毀�、報廢或利舊,并采取適當(dāng)?shù)姆椒▽⑵鋬?nèi)存儲的敏感信息與授權(quán)軟件清除�����,而不能僅采用標(biāo)準(zhǔn)刪除功能���;
??????? 3.2信息處置:確立信息處置和存儲程序���,以便有效保護此類信息,避免非法泄露或者誤用���。根據(jù)信息在文檔�����、計算系統(tǒng)��、網(wǎng)絡(luò)����、移動計算、移動通信�、郵件���、語音郵件�、語音通信�、多媒體中的級別制定相應(yīng)的處置程序。應(yīng)當(dāng)考慮下列控制程序:
??????? (a)處置和標(biāo)記所有媒介�;
??????? (b)設(shè)置非授權(quán)人員的訪問限制;
??????? (c)保持授權(quán)訪問數(shù)據(jù)人員的正式記錄�����;
??????? (d)確保輸入數(shù)據(jù)的完整性�、確保正確的處理過程,以及確保輸出驗證���;
??????? (e)根據(jù)敏感程度相匹配的級別�����,保護準(zhǔn)備輸出的假脫機數(shù)據(jù)�;
??????? (f)在符合制造商規(guī)范的環(huán)境中保存媒介;
??????? (g)將數(shù)據(jù)的分發(fā)限制在最小范圍內(nèi)�����;
??????? (h)清楚標(biāo)記所有數(shù)據(jù)拷貝��,以便引起合法接收人的注意����;
??????? (i)定期檢查分發(fā)清單以及合法接收人名單;
??????? 3.3媒介處置:為最大限度地降低信息泄露的風(fēng)險�,網(wǎng)管中心應(yīng)制定存儲媒介的安全處置流程,規(guī)定不同類型媒介的處置方法����、審批程序和處置記錄等安全要求,其中處置方法應(yīng)與信息分級相一致�。以下是一些基本的控制措施:
??????? (a)包含敏感信息的媒介應(yīng)被安全地處置,如粉碎��、焚毀��,或清空其中的數(shù)據(jù),以便重用����;
??????? (b)以下給出了需要安全處置的媒介種類: 紙質(zhì)文檔; 語音或其錄音�����; 復(fù)寫紙�; 輸出報告; 一次性打印機色帶�; 磁帶�; 可以移動的磁盤或卡帶; 光存儲介質(zhì)(所有形式的媒介��,包括制造商的軟件發(fā)布媒介)�; 程序列表; 測試數(shù)據(jù)�����; 系統(tǒng)文檔�;
??????? (c)當(dāng)無法確認(rèn)媒介中的信息級別,或確認(rèn)信息級別的代價較高時�,統(tǒng)一按最嚴(yán)格的方式處理所有媒介�;
??????? (d)敏感媒介的處置過程應(yīng)當(dāng)記錄在案�����,以便審計跟蹤�����;
???????
???????
???????
