????????
??????? 二、?機房安全管理辦法
???????
??????? 1.人員進出安全管理:無論內部員工還是第三方人員,只有經過授權的人員才可以進入安全區(qū)域。網管中心應實施以下措施對安全區(qū)域的出入進行控制。
??????? (以下管理辦法同時適用于網管中心維護機房及設備機房)
??????? (a)重要的安全區(qū)域應僅限于授權人員訪問,并使用身份識別技術(例如門禁卡、個人識別碼等)對所有訪問活動進行授權和驗證。所有訪問活動的審計跟蹤記錄應被安全地保管;
??????? (b)所有內部員工都應佩戴明顯的、可視的身份識別證明,并應主動向那些無公司員工陪伴的陌生人和未佩戴可視標志的人員提出質疑;
??????? (c)安全區(qū)域的訪問者應辦理出入手續(xù)并接受監(jiān)督或檢查,應記錄其進入和離開的日期和時間;
??????? (d)訪問者的訪問目的必須經過室經理以上管理人員批準,并只允許訪問經授權的目標;
??????? (e)訪問者應被告知該區(qū)域的安全要求及有關應急程序;
??????? (f)安全區(qū)域的訪問權應被定期審查和更新;
??????? (g)不得隨意允許未經授權許可的人員進入機房。原則上只有在獲得網管中心室經理以上管理人員授權證明的情況下才可進入機房,進入時應做好登記工作;
??????? (h)對于需臨時進入機房的人員(包括公司內部及外部人員),必須經過室經理以上授權批準后,在有權限進入機房的工作人員陪同下進入機房,并填寫機房進出登記表;
??????? (i)安全管理人員(非機房管理人員)應定期(如每月)對機房進出日志/登記記錄進行審核,發(fā)現異常情況應及時上報;
????????? (j)進出設備機房公司內部人員一律在門衛(wèi)處登記姓名、所屬部門、工作內容、進入時間等;
????????? (k)進入設備機房的廠家或工程隊等人員,在沒有本公司隨工人員陪同的情況下一律不允許進入設備機房進行工作。如遇緊急故障,當三方人員在沒有隨工人員陪同的情況下到達現場時,保安人員可讓其立即進場,但必須全程尾隨。在三方人員進入現場的同時問明相關部門領導或設備責任人,并立即致電核實。
??????? 參見附表2。《機房出入登記表》
???????
??????? 2.文檔安全管理:系統文檔可能包含一系列敏感信息,比如應用流程、程序、數據結構、授權流程的說明。應當考慮下列控制程序,避免系統非法訪問。
??????? (a)工作人員應當安全保存系統文檔;
??????? (b)系統文檔的訪問列表應控制在最小范圍,并由應用責任人授權;
??????? (c)保存在公共網絡的系統文檔或者通過公共網絡提供的系統文檔應當得到有效的保護;
??????? (d)維護和管理人員,均應熟悉并嚴格執(zhí)行安全保密規(guī)定,部門領導或室經理定期對維護人員進行安全保密教育,并定期檢查保密規(guī)定的執(zhí)行情況;
??????? (e)安全文檔包含:
??????? (01)系統網絡結構框圖,網絡拓撲圖,網絡組織技術說明,各類應用接入技術說明,業(yè)務流程圖,局資料;
??????? (02)現網的設備配置;
??????? (03)各類設備,儀器說明書,原理圖及布線圖;
??????? (04)各類設備安裝、測試、檢修、返修記錄;
??????? (05)維護測試規(guī)定;
??????? (06)維護作業(yè)計劃;
??????? (07)各種維護規(guī)章制度和維護手冊;
??????? (08)交接班記錄;
??????? (09)系統運行記錄(含系統故障和重啟動記錄);
??????? (10)故障及處理記錄;
??????? (11)用戶申告故障記錄;
??????? (12)巡回檢查記錄;
??????? (13)其它問題記錄;
??????? (14)資料修改記錄;
??????? (15)硬件更換記錄;
??????? (16)系統中繼方式及中繼框圖;
??????? (17)開通資料(包括工程設計文件,驗收文件);
??????? (18)備份更換及相關信息匯總記錄;
??????? (19)各類聯系電話,技術培訓資料;
??????? (20)質量統計表,話務量統計表,維護作業(yè)表;
??????? (21)公司內部管理、學習、傳閱類文檔;
???????
??????? 3.存儲媒介使用規(guī)范
??????? 3.1存儲保護:在不使用信息資產時,做好屏幕和桌面的清理工作,可以有效防止信息的未授權訪問,是保護信息資產,防止其泄露、丟失、破壞的一種重要措施。公司應制定有效管理可移動存儲媒介的規(guī)定,如移動硬盤、磁帶、磁盤、卡帶以及紙質文件等等。以下是基本的控制措施:
??????? (a)包含重要、敏感或關鍵信息的移動式存儲設備不得無人值守,以免被盜;
??????? (b)刪除可重復使用的存儲媒介中不再需要的信息;
??????? (c)任何存儲媒介帶入和帶出公司都需經過授權,并保留相應記錄,方便審計跟蹤;
??????? (d)無論設備所有權歸屬,任何在工作區(qū)域外使用信息處理設備的行為,都應經過管理層授權許可;
??????? (e)在公共場所使用的公司設備和存儲媒介均不得無人看管;
??????? (f)始終嚴格遵守設備制造商有關設備保護的要求;
??????? (g)紙質文件和計算機設備在不使用時,特別是在工作時間以外,應保存在鎖閉柜子內或其他形式的保險裝置內;
??????? (h)機密和絕密信息在不使用時,特別是辦公室無人時,必須予以鎖閉(最好是防火的保險柜或文件柜);
??????? (i)個人電腦、計算機終端在無人看管時,不得處于登錄狀態(tài);在不使用時,必須通過鍵盤鎖定、密碼或其他控制措施予以保護;
??????? (j)復印機、掃描儀在工作時間以外,應被鎖閉或采用其他方式保護,以防非授權使用;
??????? 在打印、復印、掃描機密或絕密信息時,必須有人值守,并應在完成后立即從設備中清除;
??????? (k)在對信息處理設備處置或重用時,公司應在風險評估的基礎上,實施審批手續(xù),決定信息處理設備的處置方法--銷毀、報廢或利舊,并采取適當的方法將其內存儲的敏感信息與授權軟件清除,而不能僅采用標準刪除功能;
??????? 3.2信息處置:確立信息處置和存儲程序,以便有效保護此類信息,避免非法泄露或者誤用。根據信息在文檔、計算系統、網絡、移動計算、移動通信、郵件、語音郵件、語音通信、多媒體中的級別制定相應的處置程序。應當考慮下列控制程序:
??????? (a)處置和標記所有媒介;
??????? (b)設置非授權人員的訪問限制;
??????? (c)保持授權訪問數據人員的正式記錄;
??????? (d)確保輸入數據的完整性、確保正確的處理過程,以及確保輸出驗證;
??????? (e)根據敏感程度相匹配的級別,保護準備輸出的假脫機數據;
??????? (f)在符合制造商規(guī)范的環(huán)境中保存媒介;
??????? (g)將數據的分發(fā)限制在最小范圍內;
??????? (h)清楚標記所有數據拷貝,以便引起合法接收人的注意;
??????? (i)定期檢查分發(fā)清單以及合法接收人名單;
??????? 3.3媒介處置:為最大限度地降低信息泄露的風險,網管中心應制定存儲媒介的安全處置流程,規(guī)定不同類型媒介的處置方法、審批程序和處置記錄等安全要求,其中處置方法應與信息分級相一致。以下是一些基本的控制措施:
??????? (a)包含敏感信息的媒介應被安全地處置,如粉碎、焚毀,或清空其中的數據,以便重用;
??????? (b)以下給出了需要安全處置的媒介種類: 紙質文檔; 語音或其錄音; 復寫紙; 輸出報告; 一次性打印機色帶; 磁帶; 可以移動的磁盤或卡帶; 光存儲介質(所有形式的媒介,包括制造商的軟件發(fā)布媒介); 程序列表; 測試數據; 系統文檔;
??????? (c)當無法確認媒介中的信息級別,或確認信息級別的代價較高時,統一按最嚴格的方式處理所有媒介;
??????? (d)敏感媒介的處置過程應當記錄在案,以便審計跟蹤;
???????
???????
???????