信息科技物理環(huán)境安全管理辦法

本文格式為Word版，下載可任意編輯——信息科技物理環(huán)境安全管理辦法信息科技物理環(huán)境安好管理手段之相關(guān)制度和職責(zé)，第一章?總那么第一條目的:為了適應(yīng)XX農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱(chēng)我行)物理與環(huán)境安好管理的需要,保障我行生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理手段。其次條依據(jù):本管理手段依據(jù)《XX農(nóng)村商業(yè)...

第一章?總那么

第一條目的:為了適應(yīng)XX農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱(chēng)我行)物理與環(huán)境安好管理的需要,保障我行生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理手段。

其次條依據(jù):本管理手段依據(jù)《XX農(nóng)村商業(yè)銀行信息安好管理策略》制定。

第三條范圍:本管理手段適用于我行及所轄分支行。

其次章?根本要求

第四條?我行員工應(yīng)根據(jù)我行運(yùn)營(yíng)需要對(duì)資產(chǎn)舉行養(yǎng)護(hù)。我行的資產(chǎn)養(yǎng)護(hù)要求通過(guò)以下目標(biāo)來(lái)實(shí)現(xiàn):

(一)?確保全體資產(chǎn)的物理和環(huán)境養(yǎng)護(hù)能得到我行的有效操縱。

(二)?裁減擅自訪問(wèn)或損壞影響我行操縱的資產(chǎn)的風(fēng)險(xiǎn)。

(三)?防止我行操縱的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條?安好操縱措施包括以下各項(xiàng):

(一)?我行的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周邊設(shè)置實(shí)際安好隔離措施,如門(mén)禁系統(tǒng)等。

(二)?我行的大樓入口安好防范措施。

(三)?防護(hù)設(shè)備制止發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)?設(shè)備維護(hù)。

(五)?清理資產(chǎn)。

第三章?安好區(qū)域

第六條?我行的安好區(qū)域包括中心機(jī)房、檔案室、終端設(shè)備存放室、網(wǎng)絡(luò)設(shè)備存放室、領(lǐng)導(dǎo)辦公室、公共辦公區(qū)、來(lái)訪接待區(qū)。

第七條?物理安好邊界?全體進(jìn)入我行安好區(qū)域的人員都需經(jīng)過(guò)授權(quán),我行員工之外的人員進(jìn)入我行安好區(qū)域務(wù)必登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第八條?安好區(qū)域出入操縱措施:

(一)物理操縱措施?

1、機(jī)房的門(mén)禁系統(tǒng)務(wù)必啟用,任何人都務(wù)必刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房務(wù)必登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、?一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作,并確保辦公完成后鎖好;?

4、?機(jī)房應(yīng)安裝閉路電視監(jiān)控。在全體安好區(qū)域的工作均應(yīng)采納監(jiān)視或監(jiān)控。

(二)?合同方及第三方?

1、?要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》;

2、?在醒目處佩戴我行發(fā)出的臨時(shí)出入卡或訪客證。

(三)?我行工作人員的操縱措施?

1、我行工作人員都務(wù)必在醒目處佩帶胸卡;

2、我行工作人員調(diào)離我行時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問(wèn)

科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)我行中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

(五)?外部和環(huán)境要挾的安好防護(hù)?

1、?機(jī)房創(chuàng)辦應(yīng)符合GB9361中A類(lèi)安好機(jī)房的要求;?

2、?危害或易燃材料應(yīng)在離安好區(qū)域安好距離以外的地方存放大批供給品(例如文具等)不應(yīng)存放于安好區(qū)域內(nèi);

3、?恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安好的距離,以制止影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;?

4、?應(yīng)供給適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在適合的地點(diǎn)。

第九條交接區(qū)安好?

(一)?我行應(yīng)設(shè)立交接區(qū),同時(shí):?

1、?向我行發(fā)送貨物務(wù)必預(yù)先通知貨物資產(chǎn)所屬部門(mén)的資產(chǎn)管理員和信息安好管理員;

2、?送貨公司名稱(chēng)和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門(mén)的資產(chǎn)管理員和信息安好管理員確認(rèn);?

3、?送貨公司在進(jìn)入安好區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門(mén)有關(guān)人員的鑒別確認(rèn);

4、?貨物資產(chǎn)所屬部門(mén)的資產(chǎn)管理員和信息安好管理員應(yīng)檢驗(yàn)貨物,以保證沒(méi)有潛在危害。

第四章設(shè)備安好

第十條?設(shè)備安置與養(yǎng)護(hù)

(一)?我行中應(yīng)考慮以下操縱措施:

1、?設(shè)備應(yīng)舉行適當(dāng)安置,以盡量裁減不必要的對(duì)工作區(qū)域的訪問(wèn);?

2、?應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以裁減在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)養(yǎng)護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn);

3、?要求特意養(yǎng)護(hù)的部件要予以隔離,以降低所要求的總體養(yǎng)護(hù)等級(jí);

4、?應(yīng)采取操縱措施以減小潛在的物理要挾的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和有意破壞;

5、?應(yīng)建立在信息處理設(shè)施鄰近進(jìn)食、喝飲料和抽煙的指南;

6、?對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、?全體建筑物都應(yīng)采用避雷養(yǎng)護(hù),全體進(jìn)入的電源和通信線路都應(yīng)裝配雷電養(yǎng)護(hù)過(guò)濾器;

8、?對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用特意的養(yǎng)護(hù)方法,例如鍵盤(pán)養(yǎng)護(hù)膜;

9、?應(yīng)養(yǎng)護(hù)處理敏感信息的設(shè)備,以裁減由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。?

第十一條支持性設(shè)施?

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,裁減由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明供給適合的供電。?

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推舉使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不休止電源(UPS)。電源應(yīng)急籌劃要包括UPS故障時(shí)要采取的措施。假設(shè)電源故障延長(zhǎng),而處理要持續(xù)舉行,那么要考慮備份發(fā)電機(jī)。應(yīng)供給足夠的燃料供應(yīng),以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以舉行工作。UPS設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠才能,并按照制造商的建議予以測(cè)試。另外,假設(shè)辦公場(chǎng)所很大,那么應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。?(三)另外,應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口鄰近,以便緊急處境時(shí)快速切斷電源。萬(wàn)一主電源展現(xiàn)故障時(shí)要供給應(yīng)急照明。?

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻攔有效的滅火。假設(shè)需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

(五)連接到公共供給商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以得志地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以制止供電的單一故障點(diǎn)。

第十二條電纜安好?

(一)敷設(shè)到我行內(nèi)各個(gè)區(qū)域的電纜線的養(yǎng)護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)供給足夠的可替換的養(yǎng)護(hù);?

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞,例如,利用電纜管道或使路由避開(kāi)公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開(kāi);?

4、使用明顯的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;?

5、使用文件化配線列表裁減失誤的可能性;?

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的操縱考慮應(yīng)包括:(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子;(2)使用可替換的路由選擇和/或傳輸介質(zhì),以供給適當(dāng)?shù)陌埠么胧?(3)使用纖維光纜;?(4)使用電磁防輻射裝置養(yǎng)護(hù)電纜;?(5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)除掉、物理檢查;(6)操縱對(duì)配線盤(pán)和電纜室的訪問(wèn);

第十三條設(shè)備維護(hù)?

(一)應(yīng)按照供給商推舉的服務(wù)時(shí)間間隔和模范對(duì)設(shè)備舉行維護(hù)。?

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備添置時(shí)的維護(hù)籌劃舉行。?(三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備舉行修理和服務(wù)

(四)原那么上應(yīng)保存全體維護(hù)記錄?

(五)要保證全體可疑的或?qū)嶋H的故障以及全體預(yù)防和校正維護(hù)的記錄;?

(六)設(shè)備資產(chǎn)的管理部門(mén)和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)籌劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門(mén)和行政服務(wù)公司定期審核維護(hù)記錄和籌劃。

(八)當(dāng)對(duì)設(shè)備安置維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)牟倏v,要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員理應(yīng)是足夠穩(wěn)當(dāng)?shù)?

(九)應(yīng)遵守由保險(xiǎn)策略所施加的全體要求。

第十四條場(chǎng)外設(shè)備的安好?

(一)離開(kāi)辦公場(chǎng)所的設(shè)備的養(yǎng)護(hù)應(yīng)考慮以下措施:?

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來(lái);?

2、制造商的設(shè)備養(yǎng)護(hù)說(shuō)明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的操縱措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加適合的操縱措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)操縱以及與辦公室的安好通信;

4、足夠的安好保障掩蔽物宜到位,以養(yǎng)護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安好風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最適合的操縱措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括全體形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。?

第十五條設(shè)備的安好處置與重新使用?

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷(xiāo)毀,或用安好方式對(duì)信息加以籠罩,而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。?

(二)全體帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專(zhuān)用軟件已被除掉或籠罩。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其舉行風(fēng)險(xiǎn)評(píng)估,以抉擇是否對(duì)其銷(xiāo)毀、修理或遺棄。?

(三)為保證信息安好,務(wù)必在處理介質(zhì)前擦除有關(guān)的敏感信息:?1、用碎紙機(jī)銷(xiāo)毀全體的敏感紙質(zhì)記錄。廢紙可在碎紙后立刻處置掉。?2、我行內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。全體的紙質(zhì)記錄都務(wù)必在處置前銷(xiāo)毀。3、磁帶和磁盤(pán)務(wù)必在處置前實(shí)際銷(xiāo)毀和核對(duì)。4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷(xiāo)毀。

(四)凡敏感性介質(zhì)的處置都務(wù)必填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門(mén)負(fù)責(zé)人同意后,方可舉行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。?

第十六條設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施:?1、在未經(jīng)事先授權(quán)的處境下,不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所;?2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員;3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;?4、若需要并適合,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí)