????????
??????? 二、?機(jī)房安全管理辦法
???????
??????? 1.人員進(jìn)出安全管理：無論內(nèi)部員工還是第三方人員，只有經(jīng)過授權(quán)的人員才可以進(jìn)入安全區(qū)域。網(wǎng)管中心應(yīng)實(shí)施以下措施對(duì)安全區(qū)域的出入進(jìn)行控制。
??????? （以下管理辦法同時(shí)適用于網(wǎng)管中心維護(hù)機(jī)房及設(shè)備機(jī)房）
??????? （a）重要的安全區(qū)域應(yīng)僅限于授權(quán)人員訪問，并使用身份識(shí)別技術(shù)（例如門禁卡、個(gè)人識(shí)別碼等）對(duì)所有訪問活動(dòng)進(jìn)行授權(quán)和驗(yàn)證。所有訪問活動(dòng)的審計(jì)跟蹤記錄應(yīng)被安全地保管；
??????? （b）所有內(nèi)部員工都應(yīng)佩戴明顯的、可視的身份識(shí)別證明，并應(yīng)主動(dòng)向那些無公司員工陪伴的陌生人和未佩戴可視標(biāo)志的人員提出質(zhì)疑；
??????? （c）安全區(qū)域的訪問者應(yīng)辦理出入手續(xù)并接受監(jiān)督或檢查，應(yīng)記錄其進(jìn)入和離開的日期和時(shí)間；
??????? （d）訪問者的訪問目的必須經(jīng)過室經(jīng)理以上管理人員批準(zhǔn)，并只允許訪問經(jīng)授權(quán)的目標(biāo)；
??????? （e）訪問者應(yīng)被告知該區(qū)域的安全要求及有關(guān)應(yīng)急程序；
??????? （f）安全區(qū)域的訪問權(quán)應(yīng)被定期審查和更新；
??????? （g）不得隨意允許未經(jīng)授權(quán)許可的人員進(jìn)入機(jī)房。原則上只有在獲得網(wǎng)管中心室經(jīng)理以上管理人員授權(quán)證明的情況下才可進(jìn)入機(jī)房，進(jìn)入時(shí)應(yīng)做好登記工作；
??????? （h）對(duì)于需臨時(shí)進(jìn)入機(jī)房的人員（包括公司內(nèi)部及外部人員），必須經(jīng)過室經(jīng)理以上授權(quán)批準(zhǔn)后，在有權(quán)限進(jìn)入機(jī)房的工作人員陪同下進(jìn)入機(jī)房，并填寫機(jī)房進(jìn)出登記表；
??????? （i）安全管理人員(非機(jī)房管理人員)應(yīng)定期（如每月）對(duì)機(jī)房進(jìn)出日志/登記記錄進(jìn)行審核，發(fā)現(xiàn)異常情況應(yīng)及時(shí)上報(bào)；
????????? （j）進(jìn)出設(shè)備機(jī)房公司內(nèi)部人員一律在門衛(wèi)處登記姓名、所屬部門、工作內(nèi)容、進(jìn)入時(shí)間等；
????????? （k）進(jìn)入設(shè)備機(jī)房的廠家或工程隊(duì)等人員，在沒有本公司隨工人員陪同的情況下一律不允許進(jìn)入設(shè)備機(jī)房進(jìn)行工作。如遇緊急故障，當(dāng)三方人員在沒有隨工人員陪同的情況下到達(dá)現(xiàn)場(chǎng)時(shí)，保安人員可讓其立即進(jìn)場(chǎng)，但必須全程尾隨。在三方人員進(jìn)入現(xiàn)場(chǎng)的同時(shí)問明相關(guān)部門領(lǐng)導(dǎo)或設(shè)備責(zé)任人，并立即致電核實(shí)。
??????? 參見附表2?！稒C(jī)房出入登記表》
???????
??????? 2．文檔安全管理：系統(tǒng)文檔可能包含一系列敏感信息，比如應(yīng)用流程、程序、數(shù)據(jù)結(jié)構(gòu)、授權(quán)流程的說明。應(yīng)當(dāng)考慮下列控制程序，避免系統(tǒng)非法訪問。
??????? （a）工作人員應(yīng)當(dāng)安全保存系統(tǒng)文檔；
??????? （b）系統(tǒng)文檔的訪問列表應(yīng)控制在最小范圍，并由應(yīng)用責(zé)任人授權(quán)；
??????? （c）保存在公共網(wǎng)絡(luò)的系統(tǒng)文檔或者通過公共網(wǎng)絡(luò)提供的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Ｗo(hù)；
??????? （d）維護(hù)和管理人員，均應(yīng)熟悉并嚴(yán)格執(zhí)行安全保密規(guī)定，部門領(lǐng)導(dǎo)或室經(jīng)理定期對(duì)維護(hù)人員進(jìn)行安全保密教育，并定期檢查保密規(guī)定的執(zhí)行情況；
??????? （e）安全文檔包含：
??????? （01）系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)框圖，網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)組織技術(shù)說明，各類應(yīng)用接入技術(shù)說明，業(yè)務(wù)流程圖，局資料；
??????? （02）現(xiàn)網(wǎng)的設(shè)備配置；
??????? （03）各類設(shè)備，儀器說明書，原理圖及布線圖；
??????? （04）各類設(shè)備安裝、測(cè)試、檢修、返修記錄；
??????? （05）維護(hù)測(cè)試規(guī)定；
??????? （06）維護(hù)作業(yè)計(jì)劃；
??????? （07）各種維護(hù)規(guī)章制度和維護(hù)手冊(cè)；
??????? （08）交接班記錄；
??????? （09）系統(tǒng)運(yùn)行記錄（含系統(tǒng)故障和重啟動(dòng)記錄）；
??????? （10）故障及處理記錄；
??????? （11）用戶申告故障記錄；
??????? （12）巡回檢查記錄；
??????? （13）其它問題記錄；
??????? （14）資料修改記錄；
??????? （15）硬件更換記錄；
??????? （16）系統(tǒng)中繼方式及中繼框圖；
??????? （17）開通資料（包括工程設(shè)計(jì)文件，驗(yàn)收文件）；
??????? （18）備份更換及相關(guān)信息匯總記錄；
??????? （19）各類聯(lián)系電話，技術(shù)培訓(xùn)資料；
??????? （20）質(zhì)量統(tǒng)計(jì)表，話務(wù)量統(tǒng)計(jì)表，維護(hù)作業(yè)表；
??????? （21）公司內(nèi)部管理、學(xué)習(xí)、傳閱類文檔；
???????
??????? 3.存儲(chǔ)媒介使用規(guī)范
??????? 3.1存儲(chǔ)保護(hù)：在不使用信息資產(chǎn)時(shí)，做好屏幕和桌面的清理工作，可以有效防止信息的未授權(quán)訪問，是保護(hù)信息資產(chǎn)，防止其泄露、丟失、破壞的一種重要措施。公司應(yīng)制定有效管理可移動(dòng)存儲(chǔ)媒介的規(guī)定，如移動(dòng)硬盤、磁帶、磁盤、卡帶以及紙質(zhì)文件等等。以下是基本的控制措施：
??????? （a）包含重要、敏感或關(guān)鍵信息的移動(dòng)式存儲(chǔ)設(shè)備不得無人值守，以免被盜；
??????? （b）刪除可重復(fù)使用的存儲(chǔ)媒介中不再需要的信息；
??????? （c）任何存儲(chǔ)媒介帶入和帶出公司都需經(jīng)過授權(quán)，并保留相應(yīng)記錄，方便審計(jì)跟蹤；
??????? （d）無論設(shè)備所有權(quán)歸屬，任何在工作區(qū)域外使用信息處理設(shè)備的行為，都應(yīng)經(jīng)過管理層授權(quán)許可；
??????? （e）在公共場(chǎng)所使用的公司設(shè)備和存儲(chǔ)媒介均不得無人看管；
??????? （f）始終嚴(yán)格遵守設(shè)備制造商有關(guān)設(shè)備保護(hù)的要求；
??????? （g）紙質(zhì)文件和計(jì)算機(jī)設(shè)備在不使用時(shí)，特別是在工作時(shí)間以外，應(yīng)保存在鎖閉柜子內(nèi)或其他形式的保險(xiǎn)裝置內(nèi)；
??????? （h）機(jī)密和絕密信息在不使用時(shí)，特別是辦公室無人時(shí)，必須予以鎖閉（最好是防火的保險(xiǎn)柜或文件柜）；
??????? （i）個(gè)人電腦、計(jì)算機(jī)終端在無人看管時(shí)，不得處于登錄狀態(tài)；在不使用時(shí)，必須通過鍵盤鎖定、密碼或其他控制措施予以保護(hù)；
??????? （j）復(fù)印機(jī)、掃描儀在工作時(shí)間以外，應(yīng)被鎖閉或采用其他方式保護(hù)，以防非授權(quán)使用；
??????? 在打印、復(fù)印、掃描機(jī)密或絕密信息時(shí)，必須有人值守，并應(yīng)在完成后立即從設(shè)備中清除；
??????? （k）在對(duì)信息處理設(shè)備處置或重用時(shí)，公司應(yīng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，實(shí)施審批手續(xù)，決定信息處理設(shè)備的處置方法--銷毀、報(bào)廢或利舊，并采取適當(dāng)?shù)姆椒▽⑵鋬?nèi)存儲(chǔ)的敏感信息與授權(quán)軟件清除，而不能僅采用標(biāo)準(zhǔn)刪除功能；
??????? 3.2信息處置：確立信息處置和存儲(chǔ)程序，以便有效保護(hù)此類信息，避免非法泄露或者誤用。根據(jù)信息在文檔、計(jì)算系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)計(jì)算、移動(dòng)通信、郵件、語音郵件、語音通信、多媒體中的級(jí)別制定相應(yīng)的處置程序。應(yīng)當(dāng)考慮下列控制程序：
??????? （a）處置和標(biāo)記所有媒介；
??????? （b）設(shè)置非授權(quán)人員的訪問限制；
??????? （c）保持授權(quán)訪問數(shù)據(jù)人員的正式記錄；
??????? （d）確保輸入數(shù)據(jù)的完整性、確保正確的處理過程，以及確保輸出驗(yàn)證；
??????? （e）根據(jù)敏感程度相匹配的級(jí)別，保護(hù)準(zhǔn)備輸出的假脫機(jī)數(shù)據(jù)；
??????? （f）在符合制造商規(guī)范的環(huán)境中保存媒介；
??????? （g）將數(shù)據(jù)的分發(fā)限制在最小范圍內(nèi)；
??????? （h）清楚標(biāo)記所有數(shù)據(jù)拷貝，以便引起合法接收人的注意；
??????? （i）定期檢查分發(fā)清單以及合法接收人名單；
??????? 3.3媒介處置：為最大限度地降低信息泄露的風(fēng)險(xiǎn)，網(wǎng)管中心應(yīng)制定存儲(chǔ)媒介的安全處置流程，規(guī)定不同類型媒介的處置方法、審批程序和處置記錄等安全要求，其中處置方法應(yīng)與信息分級(jí)相一致。以下是一些基本的控制措施：
??????? （a）包含敏感信息的媒介應(yīng)被安全地處置，如粉碎、焚毀，或清空其中的數(shù)據(jù)，以便重用；
??????? （b）以下給出了需要安全處置的媒介種類： 紙質(zhì)文檔； 語音或其錄音； 復(fù)寫紙； 輸出報(bào)告； 一次性打印機(jī)色帶； 磁帶； 可以移動(dòng)的磁盤或卡帶； 光存儲(chǔ)介質(zhì)（所有形式的媒介，包括制造商的軟件發(fā)布媒介）； 程序列表； 測(cè)試數(shù)據(jù)； 系統(tǒng)文檔；
??????? （c）當(dāng)無法確認(rèn)媒介中的信息級(jí)別，或確認(rèn)信息級(jí)別的代價(jià)較高時(shí)，統(tǒng)一按最嚴(yán)格的方式處理所有媒介；
??????? （d）敏感媒介的處置過程應(yīng)當(dāng)記錄在案，以便審計(jì)跟蹤；
???????
???????
???????