第1篇 信息技术设备物理与环境安全管理办法
第一章 总则
第一条 目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条 依据:本管理办法根据《公司信息安全管理策略》制订。
第三条 范围:本管理办法适用于公司。
第二章 基本要求
第四条 公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条 安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条 公司的安全区域包括中心机房和敏感部门办公区域。
第七条 安全区域的划分与管理参见《物理安全区域管理细则》。
第八条 物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条 安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
科技信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条 交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条 设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条 支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条 电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条 设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和行政服务公司应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和行政服务公司定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条 场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条 设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条 设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条 本管理办法由科技信息部负责解释和修订。
第十九条 本管理办法自发布之日起施行。
第2篇 信息技术设备物理环境安全管理办法
第一章 总则
第一条目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条依据:本管理办法根据《公司信息安全管理策略》制订。
第三条范围:本管理办法适用于公司。
第二章基本要求
第四条公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条公司的安全区域包括中心机房和敏感部门办公区域。
第七条安全区域的划分与管理参见《物理安全区域管理细则》。
第八条物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
科技信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和行政服务公司应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和行政服务公司定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条本管理办法由科技信息部负责解释和修订。
第十九条本管理办法自发布之日起施行。
第3篇 应用信息技术 提升企业安全管理水平
信息技术在电力企业安全生产管理中的应用空间广泛,对企业规范管理行为、改善管理方式、夯实管理基础、提高工作效率,有着极其重要的作用。电力企业应以安全生产为己任,积极推行信息技术的应用,探索电力安全生产的新思路,持续改进,不断提高。
1以信息化规范员工作业行为
人的不安全行为是导致事故发生的主要因素,电力企业在注重员工的安全教育与培训的同时,必须依靠技术进步,借助信息化手段,规范员工作业行为,以期逐步培养良好的工作习惯。
(1)实行变电倒闸操作全程录音。变电运行人员在倒闸操作过程中,使用录音笔进行全过程录音,工区、监督部门定期检查录音文件并予以通报,从而规范倒闸操作的全过程监督和管理,促进“六要”、“八步”在现场的落实。
(2)推行
变电巡检系统。该系统通过在每个设备单元间隔安装的信息钮记录值班员的到位信息,确保巡视人员的到位,做到路径最优,项目齐全,痕迹保全,提高设备巡视到位率。
(3)应用输电线路巡检系统,跟踪巡线全过程,同时辅以数码相机记录设备缺陷,保证了巡视到位和准确掌握缺陷信息。
(4)运用powerpoint工具软件,编辑系列违章现象专题图片,在职工中开展找错竞赛,以身边的违章现象教育身边人。
(5)开展网上培训。使用规程学习与考核软件,随时进行网上学习、练习和模拟测试,试题随机生成,逐步取代常规的安全知识考试形式,使培训和考试工作科学化、规范化。
2以信息化强化基础管理
强化安全生产基础管理,以信息技术为平台,减轻劳动强度,提高工作效率,保证基础管理工作的适宜性、完整性、有效性。
(1)利用全文检索系统,为工作提供方便。建立有效的技术标准体系,跟踪技术标准发布动态,及时进行补充与完善,使其覆盖率达到100%。
(2)利用网络平台加强制度管理,在健全和完善安全生产管理制度的基础上,实现网络化,方便查询与学习。
(3)建立违章类型管理库,利用信息技术实现违章的分类管理。在开展管理性违章、行为性违章、装置性违章的排查基础上,按违章分值、性质、等级进行编号,实现信息化数据积累,为逐步降低违章的重复率提供技术手段,促进反违章工作的深化。
(4)开发危险点和控制措施库管理信息系统,实行危险点预控措施卡的编制、审核、批准的网上流转,实现危险点的动态管理。
(5)研发安全用具管理系统,实现对安全工器具的全过程管理,该系统应涵盖工区和班组,包含安全用具在役、退役、报废等档案管理,试验报告管理,试验周期管理等功能,加强安全用具的管理工作。
(6)运用信息技术,规范会议管理。开发安全生产会议管理系统,提高会议质量和效率,做到会前准备充分,提前在网上发布会议材料;会中议题明确,主题突出;会后纪要分发迅速,实施情况分类标示,统计分析、考核有据,会议时间大大缩短。
3
以信息化提升安全管理水平
充分利用网络技术,为安全生产提供更为快捷、方便、安全的信息平台,达到过程控制、资源共享。
(1)应用微机两票管理系统,实现两票网上流转,提高工作效率和两票合格率,为两票的统计分析提供便利条件,规范两票管理。
(2)应用生产管理信息系统(mis),保证生产与检修计划可控、在控。按照“五结合”原则进行计划统筹,合理调配资源,提高工作的安全性,优化缺陷管理流程,加强闭环控制。mis系统提供完整的缺陷报告、等级核定、任务下达、消缺情况、投运结论等闭环控制流程,通过网络实现实时检查监督,提高设备消缺质量。
(3)开发调度mis、变电mis,使电网运行管理水平再上新台阶,运行工作实现网络化。调度指令票实现网上传递和过程监督,该系统中的危险点预控模块,实现拟票、审票、操作全过程监护控制与提示,初步实现调度危险点预控智能化,防止调度误操作事故的发生;变电mis系统涵盖运行日志、日常运行、安全管理等各项运行工作,实现运行工作透明化。
(4)应用scada/pas系统,实现电网运行数据分析和安全性静态评价;应用调度模拟操作,防止调度误操作的发生,解合环操作前利用潮流分析软件、模拟操作进行潮流分析,为电网的安全、优质、经济运行
提供有力的保障。
(5)应用继电保护在线信息管理系统,实现继电保护定值单、试验报告和保护动作月报的录入、继电保护图纸的电子化和上传工作;应用继电保护及安全自动装置核对软件,进行季度安全自动装置状态核对;应用继电保护整定计算软件进行继电保护整定计算,防止人为因素造成的误整定并提高工作效率。
(6)建立企业安全网页和安全文化网站,营造企业安全文化氛围。通过安全信息发布、通报事故分析报告、违章照片曝光和录相片播放等形式,借以形成安全教育的氛围,从培养“我要安全”理念、培训“我会安全”技能、强化“我懂安全”素质三方面入手,逐步实现从“要我安全”到“我要安全”、“我会安全”、“我懂安全”的转变,对保证安全生产具有潜意识的推动作用。
第4篇 信息技术设备物理环境安全管理规定
第一章 总则
第一条 目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条 依据:本管理办法根据《信息安全管理策略》制订。
第三条 范围:本管理办法适用于公司。
第二章 基本要求
第四条 公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条 安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条 公司的安全区域包括中心机房和敏感部门办公区域。
第七条 安全区域的划分与管理参见《物理安全区域管理细则》。
第八条 物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条 安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条 交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条 设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条 支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条 电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条 设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和人事部应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和人事部定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条 场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条 设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条 设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条 本管理办法由信息部负责解释和修订。
第十九条 本管理办法自发布之日起施行。
第5篇 信息技术有限公司人员信息安全管理规定
____信息技术有限公司人员信息安全管理规定
____信息技术有限公司
人员信息安全管理规定
第一章总则
第一条本规定旨在加强____信息技术有限公司的人员信息安全管理,要求公司员工知晓和理解公司信息安全管理相关规
定,承担并切实履行本岗位相应的信息安全职责。
本规定
中还明确了员工入职、转岗、离职各环节的信息安全具体
管理要求,确保公司人员信息安全策略目标的实现。
第二条本规定适用于____信息技术有限公司员工信息安全管理相关的活动。
第二章内外部人员管理
第三条本规定中所指“人员”不仅包括____信息技术有限公司人力资源管理部门编制内的正式员工,也包括借调、轮岗、派
遣的内部人员,其工作内容和性质与人力资源管理部门编
制内正式员工一致,包括研发人员、咨询人员、运维支持
人员、技术支持人员等。
所有人员的信息安全管理应严格
遵照本规定执行,并根据本规定的各项要求进行管理和考
核。
第四条为____信息技术有限公司提供服务的外部服务提供商及合作方的人员视为“第三方人员”,其人员信息安全管理的具
体要求见《____信息技术有限公司第三方信息安全管理规
定》。
2 / 5第三章人员招聘入职管理
第五条各部门应遵循____信息技术有限公司信息安全管理策略,按照安全管理各项制度的要求,根据本部门已规划和上报
的岗位设置情况,明确各岗位信息安全职责具体要求。
第六条对于重要岗位或敏感岗位需要进行人员的背景调查时,人力资源管理部门可以采用电话、电子邮件、纸质材料、公
函或其它方式,调查记录应妥善保存。
背景调查通常包含
以下内容:
(一)学历和工作经历
(二)犯罪记录
(三)竞业禁止
第七条在新员工的劳动合同中应明确规定员工需承担的包括保密要求在内的信息安全责任;也可根据实际情况签订单独
的保密协议。
第四章人员在职与转岗管理
第八条员工在职期间,必须遵守公司信息安全相关管理规定,履行合同、保密协议所规定的信息安全职责,发现信息安全
事件及时报告,并配合公司相关部门和人员进行事件的处
理。
第九条为保证员工能够充分履行信息安全职责,各部门应积极开展提高员工信息安全意识与技能的各项培训,并对培训效
果进行回顾。
3. / 5第十条各部门应对重要岗位或敏感岗位采取岗位轮换措施,也可采取强制休假等管理措施。
此外,重要岗位应设置a/b
角以实现人员备份和互相监督。
第十一条员工办理调动手续过程中,相关部门应及时处理该员工在各信息系统内的个人账号(包括帐号和权限的调整、变
更等),风险控制与信息安全部对帐号和权限处理情况进
行审核与检查。
第十二条对员工在职期间违反公司信息安全管理制度的行为,各部门应进行处理。
第五章人员离职安全管理
第十三条员工离职时,人员所在部门应依照该员工签署的保密协议,审核其脱密期,并明确告知其在离职后的信息安全保
密责任。
第十四条员工离职时应列出信息资产交接清单,及时交还公司相关信息资产和物品,并由归还资产的接收部门进行审核和
确认。
第十五条员工办理离职手续过程中,相关部门应及时处理该员工在各信息系统内的个人账号(包括帐号禁用、删除等),
信息技术中心对帐号和权限处理情况进行抽查。
审查内容
通常包括:
(一)公司资产(办公电脑等)已交回。
(二)e_mail邮箱功能已删除或禁用。
4 / 5
第6篇 运用信息技术提高煤炭企业安全管理水平
目前,我国煤炭企业存在的安全法规不完善,劳动者素质低,安全技措资金缺口大,安全管理的手段落后和安全管理信息体系不完善等问题,并从安全预警和灾害应急处理等方面进一步分析了信息技术提升煤炭企业安全管理水平的可行性。
一、我国煤炭企业安全管理的现状及存在问题
近几年来,我国煤炭企业的安全管理工作有了明显好转,全国煤矿百万吨死亡率有了明显下降,其中国有重点煤矿下降最快。但由于安全管理和安全科技水平等相对落后,煤矿事故多、伤亡大、职业病严重的状况仍未得到根本好转,与其他主要产煤国家相比仍有很大差距。
1.劳动者素质较低
煤炭企业通风安全管理的核心是人的管理。目前,煤矿生产已经逐步发展到采掘机械化、生产集中化、生产环节互相依赖化、管理进入系统化、信息化的崭新阶段,对人的素质要求很高。然而,煤炭企业的工人素质与其他行业相比明显较差。一是文化水平低,小学文化程度占大多数,不易掌握操作技术和安全规程,在实际操作过程中,有的冒险蛮干,严重违章;二是心理素质差,有的人对井下作业恐慌畏惧、情绪波动反常,有的人又麻痹松懈,存在消极劳动情绪,甚至个别人偷工减料埋下安全隐患。
2.安全技术资金缺口大
煤炭开采受地质条件的影响很大。过去由国家投入的大量设备如今已严重老化,维修量大。随着矿井延深,矿压不断增加,巷道维修的任务也在不断加重,矿井的提升和排水能力很难适应生产需要。
3.安全管理的手段落后
与西方发达产煤国相比,我国煤矿应用技术研究起步较晚。人力、财力不足,一些重大的安全技术问题,如冲击地压、煤与瓦斯突出、地热、突水等灾害控制仍不彻底。加之受传统经营思想的影响和企业经济实力的制约,我国煤矿生产装备及安全监控设备还比较落后。井巷断面设计、支护强度确定、支护材料选型较小。生产设备功率、矿井供风量等富余系数偏低,易发生事故。
4.安全信息管理体系不完善
安全信息是安全管理工作的主要依据,它包括事故及职业伤害的记录、分析、统计;职业安全卫生设备的研究、设计、生产及检验技术;法律、规章、技术标准及其变化动态;教育、培训、宣传及社会活动,国内新技术动态、隐患评价及技术经济分析、咨询、决策系统等。在这一点上多数矿井仍处于起步和探索阶段,信息传递周期长,没有形成完整的体系,实际应用尚有较大欠缺。
二、信息技术可提升煤炭企业安全管理水平
以计算机和通讯技术为代表的信息技术的发展给各行各业的管理带来了一场变革,计算机和通讯技术结合安全原理、系统分析方法将从本质上提升煤炭企业的安全管理水平,主要体现在以下几点。
1.提升煤炭企业的安全预警能力 煤炭企业属于传统的资源开采型企业。煤矿通风安全对煤炭企业影响巨大,通风安全工作在煤矿生产中占有重要地位,其管理好坏直接关系到煤矿的安全生产和经济效益。煤炭企业的通风安全管理是一项系统工程,涉及从煤炭开采、生产加工到煤炭产品销售的全过程。从影响煤炭企业安全管理的因素划分,通风安全管理包括通风管理、瓦斯管理、矿压与顶板管理、煤尘管理、防治水管理、防灭火管理和其他有毒有害气体管理等。
煤炭企业矿井通风与安全涉及的灾害因素多,面对生产过程中出现的许多表面的、分散的事故隐患和问题,如瓦斯超限、煤尘积聚、引爆热源、煤层自燃等等,如果单凭决策指挥人员的个体知识经验去分析、处理和解决问题,已很难准确地确定事故隐患的严重程度。目前,运用安全系统工程原理和事故树的逻辑推理方法,对作业场所、区域进行危险性分析,对重点不安全状态、不安全隐患问题进行超前预测,建立各类事故的逻辑推理模型已研究的较为成熟,但由于缺乏工作面、安全生产设备运行数据的实时采集、传输、运算推理和预警控制的技术、设备和软件系统,使得大多数煤炭企业目前的安全预警管理较为粗放,预警精度不高。因此,只要合理应用信息技术,将现代信息技术和安全预警原理和方法结合起来,通过对作业现场灾害因素的进行实时监控和事故隐患逻辑推理,必将从根本上提升煤炭企业的安全预警能力,降低事故发生率。
第7篇 信息技术设备物理与环境安全管理规定
第一章 总则
第一条 目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条 依据:本管理办法根据《信息安全管理策略》制订。
第三条 范围:本管理办法适用于公司。
第二章 基本要求
第四条 公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条 安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条 公司的安全区域包括中心机房和敏感部门办公区域。
第七条 安全区域的划分与管理参见《物理安全区域管理细则》。
第八条 物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条 安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条 交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条 设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条 支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条 电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条 设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和人事部应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和人事部定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条 场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条 设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条 设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条 本管理办法由信息部负责解释和修订。
第十九条 本管理办法自发布之日起施行。
98位用户关注