《信息技术设备物理环境安全管理规定.docx》由会员分享,可在线阅读,更多相关《信息技术设备物理环境安全管理规定.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、本文为Word版本,下载可编辑操作信息技术设备物理环境安全管理规定 信息技术设备物理环境平安管理规定之相关制度和职责,第一章总则第一条目的:为了适应公司物理与环境平安管理的需要,保障公司生产和办公系统的正常运行,特制定本管理方法。其次条依据:本管理方法依据信息平安管理策略制订。第三条范围:本. 第一章 总则 第一条 目的:为了适应公司物理与环境平安管理的需要,保障公司生产和办公系统的正常运行,特制定本管理方法。其次条 依据:本管理方法依据信息平安管理策略制订。第三条 范围:本管理方法适用于公司。其次章 基本要求第四条 公司员工应依据公司运营需要对资产进行爱护。公司的资产爱护要求通过完成以下目标
2、来实现:(一)确保全部资产的物理和环境爱护能得到公司的有效掌握。(二)削减擅自访问或损坏或影响公司掌握的资产的风险。(三)防止公司掌握的资产被人擅自删除或移动。第五条 平安掌握措施包括以下各项:(一)公司的场地(机房、办公室)的信息处理设施四周设置实际平安隔离措施,如门禁系统等。(二)公司的大楼入口平安防范措施。(三)防护设备避开发生火、水、极端温度/湿度、灰尘和电产生的危害。(四)设备维护。(五)清理资产。第三章 平安区域第六条 公司的平安区域包括中心机房和敏感部门办公区域。第七条 平安区域的划分与管理参见物理平安区域管理细则。第八条 物理平安边界全部进入公司平安区域的人员都需经过授权,公司
3、员工之外的人员进入公司平安区域必需登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。第九条 平安区域出入掌握措施(一)物理掌握措施1、机房的门禁系统必需启用,任何人都必需刷卡后才可进入机房;2、出入机房必需登记机房出入登记表,记录姓名、出入时间、事由等;3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;4、机房应安装闭路电视监控。在全部平安区域的工作均应接受监督或监控。(二)合同方及第三方1、要在主要出入口处填写来访人员登记表;2、在惹眼处佩戴公司发出的临时出入卡或访客证。(三)公司工作人员的掌握措施1、公司工作人员都必需在惹眼处佩带
4、胸卡;2、公司工作人员调离公司时,其实际进入权也同时相应取消;(四)审查访问信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。(五)外部和环境威逼的平安防护1、机房建设应符合GB 9361中A类平安机房的要求;2、危急或易燃材料应在离平安区域平安距离以外的地方存放。大批供应品(例如文具等)不应存放于平安区域内;3、恢复设备和备份介质的存放地点应与主场地有一段平安的距离,以避开影响主场地的灾难产生的破坏;4、应供应适当的灭火设备,并应放在合适的地点。第十条 交接区平安(一)公司应设立交接区,同时:1、向公司发送货物必需预先通知货物资产所属部门的资产管理
5、员和信息平安管理员;2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息平安管理员确认;3、送货公司在进入平安区域之前要经过物理环境主管部门有关人员的鉴别确认;4、货物资产所属部门的资产管理员和信息平安管理员应检验货物,以保证没有潜在的危害。第四章 设备平安第十一条 设备安置与爱护(一)公司中应考虑以下掌握措施:1、设备应进行适当安置,以尽量削减不必要的对工作区域的访问;2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以削减在其使用期间信息被窥视的风险,还应爱护储存设施以防止未授权访问;3、要求特地爱护的部件要予以隔离,以降低所要求的总体爱护等级;4、应
6、实行掌握措施以减小潜在的物理威逼的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和有意破坏;5、应建立在信息处理设施四周进食、喝饮料和抽烟的指南;6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;7、全部建筑物都应采纳避雷爱护,全部进入的电源和通信线路都应装配雷电爱护过滤器;8、对于工业环境中的设备,要考虑使用特地的爱护方法,例如键盘爱护膜;9、应爱护处理敏感信息的设备,以削减由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。第十二条 支持性设施(一)应有足够的支持性设施(例如电、供水、排污、
7、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,削减由于他们的故障或失效带来的风险。应根据设备制造商的说明供应合适的供电。(二)对支持关键业务操作的设备,推举使用支持有序关机或连续运行的不间断电源(UPS)。电源应急方案要包括UPS 故障时要实行的措施。假如电源故障延长,而处理要连续进行,则要考虑备份发电机。应供应足够的燃料供应,以确保在延长的时间内发电机可以进行工作。UPS 设备和发电机要定期地检查,以确保它们拥有足够力量,并根据制造商的建议予以测试。另外,假如办公场所很大,则应考虑使用多来源电源或一个单独变电站。(三)另外,应急电源开关应位于设备房间应急出口
8、四周,以便紧急状况时快速切断电源。万一主电源消失故障时要供应应急照明。(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻挡有效的灭火。假如需要还应有告警系统来指示水压的降低。(五)连接到公共供应商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满意地方法规对于应急通信的要求。(六)实现连续供电的选项包括多路供电,以避开供电的单一故障点。第十三条 电缆平安(一)敷设到公司内各个区域的电缆线的爱护方式如下:1、进入信息处理设施的电源和通信线路宜在地下,若可能,应供应足够的可替换的爱护;2、网络布缆要免受未
9、授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;3、为了防止干扰,电源电缆要与通信电缆分开;4、使用清楚的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;5、使用文件化配线列表削减失误的可能性;6、对于敏感的或关键的系统,更进一步的掌握考虑应包括:(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;(2)使用可替换的路由选择和/或传输介质,以供应适当的平安措施;(3)使用纤维光缆;(4)使用电磁防辐射装置爱护电缆;(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;(6)掌握对配线盘和电缆室的访问;第十四条 设备维护(一)应根据供应商推举的服务
10、时间间隔和规范对设备进行维护。(二)由供货商维护的设备。各种维护活动要根据合同协议或设备购买时的维护方案进行。(三)只有已授权的维护人员才可对设备进行修理和服务(四)原则上应保存全部维护记录(五)要保证全部可疑的或实际的故障以及全部预防和订正维护的记录;(六)设备资产的管理部门和人事部应当向外包维护单位索取维护方案和记录。(七)设备资产的管理部门和人事部定期审核维护记录和方案。(八)当对设备支配维护时,应实施适当的掌握,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应当是足够牢靠的;(九)应遵守由保险策略所施加的全部要求。第十五条 场外设备的平安(
11、一)离开办公场所的设备的爱护应考虑下列措施:1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;2、制造商的设备爱护说明要始终加以遵守,例如,防止暴露于强电磁场内;3、家庭工作的掌握措施应依据风险评估确定,当适合时,要施加合适的掌握措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问掌握以及与办公室的平安通信;4、足够的平安保障掩蔽物宜到位,以爱护离开办公场所的设备。平安风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的掌握措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括全部形式的个人计算机
12、、管理设备、移动电话、智能卡、纸张及其他形式的设备。第十六条 设备的平安处置与重新使用(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用平安方式对信息加以掩盖,而不能采纳常用的标准删除功能来删除。(二)全部带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或掩盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以打算是否对其销毁、修理或遗弃。(三)为保证信息平安,必需在处理介质前擦除有关的敏感信息:1、用碎纸机销毁全部的敏感纸质记录。废纸可在碎纸后马上处置掉。2、公司内部不应积累过量纸质记录。全部的纸质记录都必需在处置前销毁。3
13、、磁带和磁盘必需在处置前实际销毁和核对。4、数据存储光盘应在处置前实际销毁。(四)凡敏感性介质的处置都必需填写信息介质处置申请表,经部门负责人同意后,方可进行处置。并记录在信息介质处置记录表,留待审计时备查。第十七条 设备的移动(一)应考虑如下措施:1、在未经事先授权的状况下,不应让设备、信息或软件离开办公场所;2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;3、应设置设备移动的时间限制,并在返还时执行符合性检查;4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应根据相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。第五章 附则第十八条 本管理方法由信息部负责解释和修订。第十九条 本管理方法自发布之日起施行。 组织委员职责 专卖店职责 qiQ专员职责第 7 页 共 7 页