信息技術(shù)安全管理7篇

第1篇 信息技術(shù)設(shè)備物理與環(huán)境安全管理辦法

第一章 總則

第一條?目的：為了適應(yīng)公司物理與環(huán)境安全管理的需要，保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行，特制定本管理辦法。

第二條?依據(jù)：本管理辦法根據(jù)《公司信息安全管理策略》制訂。

第三條?范圍：本管理辦法適用于公司。

第二章?基本要求

第四條?公司員工應(yīng)根據(jù)公司運(yùn)營需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實(shí)現(xiàn)：

（一）確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

（二）減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

（三）防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條?安全控制措施包括以下各項(xiàng)：

（一）公司的場(chǎng)地（機(jī)房、辦公室）的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施，如門禁系統(tǒng)等。

（二）公司的大樓入口安全防范措施。

（三）防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

（四）設(shè)備維護(hù)。

（五）清理資產(chǎn)。

第三章 安全區(qū)域

第六條?公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條?安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。

第八條?物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過授權(quán)，公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入（持有效證件，得到被訪者允許）。

第九條?安全區(qū)域出入控制措施

（一）物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用，任何人都必須刷卡后才可進(jìn)入機(jī)房；

2、出入機(jī)房必須登記《機(jī)房出入登記表》，記錄姓名、出入時(shí)間、事由等；

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖，需要時(shí)由運(yùn)維人員開啟進(jìn)入工作，并確保辦公完成后鎖好；

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

（二）合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》；

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

（三）公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡；

2、公司工作人員調(diào)離公司時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消；

（四）審查訪問

科技信息部應(yīng)定期(每三個(gè)月)審查訪問公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。

（五）外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求；

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞；

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。

第十條?交接區(qū)安全

（一）公司應(yīng)設(shè)立交接區(qū)，同時(shí)：

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn)；

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物，以保證沒有潛在的危害。

第四章 設(shè)備安全

第十一條?設(shè)備安置與保護(hù)

（一）公司中應(yīng)考慮以下控制措施：

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問；

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問；

3、要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；

7、所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；

8、對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤保護(hù)膜；

9、應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；極其重要設(shè)備應(yīng)部署在不同位置。

第十二條?支持性設(shè)施

（一）應(yīng)有足夠的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。

（二）對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（ups）。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給，以確保在延長的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測(cè)試。另外，如果辦公場(chǎng)所很大，則應(yīng)考慮使用多來源電源或一個(gè)單獨(dú)變電站。

（三）另外，應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

（四）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時(shí)），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。

（五）連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

（六）實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電，以避免供電的單一故障點(diǎn)。

第十三條?電纜安全

（一）敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下：

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，應(yīng)提供足夠的可替換的保護(hù)；

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；

3、為了防止干擾，電源電纜要與通信電纜分開；

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；

5、使用文件化配線列表減少失誤的可能性；

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：

（1）在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；

（2）使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?/p>

（3）使用纖維光纜；

（4）使用電磁防輻射裝置保護(hù)電纜；

（5）對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；

（6）控制對(duì)配線盤和電纜室的訪問；

第十四條?設(shè)備維護(hù)

（一）應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

（二）由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購買時(shí)的維護(hù)計(jì)劃進(jìn)行。

（三）只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

（四）原則上應(yīng)保存所有維護(hù)記錄

（五）要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；

（六）設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

（七）設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計(jì)劃。

（八）當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂?，要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；

（九）應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條?場(chǎng)外設(shè)備的安全

（一）離開辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施：

1、離開建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來；

2、制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問控制以及與辦公室的安全通信；

4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條?設(shè)備的安全處置與重新使用

（一）設(shè)備報(bào)廢處置時(shí)，存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀，或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。

（二）所有帶有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。

（三）為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤應(yīng)在處置前實(shí)際銷毀。

（四）凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請(qǐng)表》，經(jīng)部門負(fù)責(zé)人同意后，方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》，留待審計(jì)時(shí)備查。

第十七條?設(shè)備的移動(dòng)

（一）應(yīng)考慮如下措施：

1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場(chǎng)所；

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開辦公場(chǎng)所的雇員、承包方人員和第三方人員；

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；

4、若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄。

（二）應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查，以檢測(cè)未授權(quán)的記錄裝置、武器等等，防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條?本管理辦法由科技信息部負(fù)責(zé)解釋和修訂。

第十九條?本管理辦法自發(fā)布之日起施行。

第2篇 信息技術(shù)設(shè)備物理環(huán)境安全管理辦法

第一章 總則

第一條目的:為了適應(yīng)公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。

第二條依據(jù):本管理辦法根據(jù)《公司信息安全管理策略》制訂。

第三條范圍:本管理辦法適用于公司。

第二章基本要求

第四條公司員工應(yīng)根據(jù)公司運(yùn)營需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實(shí)現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

(二)減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條安全控制措施包括以下各項(xiàng):

(一)公司的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。

第八條物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過授權(quán),公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第九條安全區(qū)域出入控制措施

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問

科技信息部應(yīng)定期(每三個(gè)月)審查訪問公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求;

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第十條交接區(qū)安全

(一)公司應(yīng)設(shè)立交接區(qū),同時(shí):

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn);

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒有潛在的危害。

第四章 設(shè)備安全

第十一條設(shè)備安置與保護(hù)

(一)公司中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問;

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問;

3、要求專門保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器;

8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護(hù)方法,例如鍵盤保護(hù)膜;

9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。

第十二條支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源(ups)。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長,而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來源電源或一個(gè)單獨(dú)變電站。

(三)另外,應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以避免供電的單一故障點(diǎn)。

第十三條電纜安全

(一)敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開;

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括:

(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當(dāng)?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護(hù)電纜;

(5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查;

(6)控制對(duì)配線盤和電纜室的訪問;

第十四條設(shè)備維護(hù)

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購買時(shí)的維護(hù)計(jì)劃進(jìn)行。

(三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

(四)原則上應(yīng)保存所有維護(hù)記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計(jì)劃。

(八)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條場(chǎng)外設(shè)備的安全

(一)離開辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施:

1、離開建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來;

2、制造商的設(shè)備保護(hù)說明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護(hù)離開辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條設(shè)備的安全處置與重新使用

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀,或用安全方式對(duì)信息加以覆蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。

(二)所有帶有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以決定是否對(duì)其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。

第十七條設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開辦公場(chǎng)所;

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開辦公場(chǎng)所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;

4、若需要并合適,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí),要作出送回記錄。

(二)應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查,以檢測(cè)未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查,并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條本管理辦法由科技信息部負(fù)責(zé)解釋和修訂。

第十九條本管理辦法自發(fā)布之日起施行。

第3篇 應(yīng)用信息技術(shù) 提升企業(yè)安全管理水平

信息技術(shù)在電力企業(yè)安全生產(chǎn)管理中的應(yīng)用空間廣泛，對(duì)企業(yè)規(guī)范管理行為、改善管理方式、夯實(shí)管理基礎(chǔ)、提高工作效率，有著極其重要的作用。電力企業(yè)應(yīng)以安全生產(chǎn)為己任，積極推行信息技術(shù)的應(yīng)用，探索電力安全生產(chǎn)的新思路，持續(xù)改進(jìn)，不斷提高。

1以信息化規(guī)范員工作業(yè)行為

人的不安全行為是導(dǎo)致事故發(fā)生的主要因素，電力企業(yè)在注重員工的安全教育與培訓(xùn)的同時(shí)，必須依靠技術(shù)進(jìn)步，借助信息化手段，規(guī)范員工作業(yè)行為，以期逐步培養(yǎng)良好的工作習(xí)慣。

(1)實(shí)行變電倒閘操作全程錄音。變電運(yùn)行人員在倒閘操作過程中，使用錄音筆進(jìn)行全過程錄音，工區(qū)、監(jiān)督部門定期檢查錄音文件并予以通報(bào)，從而規(guī)范倒閘操作的全過程監(jiān)督和管理，促進(jìn)“六要”、“八步”在現(xiàn)場(chǎng)的落實(shí)。

(2)推行

變電巡檢系統(tǒng)。該系統(tǒng)通過在每個(gè)設(shè)備單元間隔安裝的信息鈕記錄值班員的到位信息，確保巡視人員的到位，做到路徑最優(yōu)，項(xiàng)目齊全，痕跡保全，提高設(shè)備巡視到位率。

(3)應(yīng)用輸電線路巡檢系統(tǒng)，跟蹤巡線全過程，同時(shí)輔以數(shù)碼相機(jī)記錄設(shè)備缺陷，保證了巡視到位和準(zhǔn)確掌握缺陷信息。

(4)運(yùn)用powerpoint工具軟件，編輯系列違章現(xiàn)象專題圖片，在職工中開展找錯(cuò)競(jìng)賽，以身邊的違章現(xiàn)象教育身邊人。

(5)開展網(wǎng)上培訓(xùn)。使用規(guī)程學(xué)習(xí)與考核軟件，隨時(shí)進(jìn)行網(wǎng)上學(xué)習(xí)、練習(xí)和模擬測(cè)試，試題隨機(jī)生成，逐步取代常規(guī)的安全知識(shí)考試形式，使培訓(xùn)和考試工作科學(xué)化、規(guī)范化。

2以信息化強(qiáng)化基礎(chǔ)管理

強(qiáng)化安全生產(chǎn)基礎(chǔ)管理，以信息技術(shù)為平臺(tái)，減輕勞動(dòng)強(qiáng)度，提高工作效率，保證基礎(chǔ)管理工作的適宜性、完整性、有效性。

(1)利用全文檢索系統(tǒng)，為工作提供方便。建立有效的技術(shù)標(biāo)準(zhǔn)體系，跟蹤技術(shù)標(biāo)準(zhǔn)發(fā)布動(dòng)態(tài)，及時(shí)進(jìn)行補(bǔ)充與完善，使其覆蓋率達(dá)到100%。

(2)利用網(wǎng)絡(luò)平臺(tái)加強(qiáng)制度管理，在健全和完善安全生產(chǎn)管理制度的基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)化，方便查詢與學(xué)習(xí)。

(3)建立違章類型管理庫，利用信息技術(shù)實(shí)現(xiàn)違章的分類管理。在開展管理性違章、行為性違章、裝置性違章的排查基礎(chǔ)上，按違章分值、性質(zhì)、等級(jí)進(jìn)行編號(hào)，實(shí)現(xiàn)信息化數(shù)據(jù)積累，為逐步降低違章的重復(fù)率提供技術(shù)手段，促進(jìn)反違章工作的深化。

(4)開發(fā)危險(xiǎn)點(diǎn)和控制措施庫管理信息系統(tǒng)，實(shí)行危險(xiǎn)點(diǎn)預(yù)控措施卡的編制、審核、批準(zhǔn)的網(wǎng)上流轉(zhuǎn)，實(shí)現(xiàn)危險(xiǎn)點(diǎn)的動(dòng)態(tài)管理。

(5)研發(fā)安全用具管理系統(tǒng)，實(shí)現(xiàn)對(duì)安全工器具的全過程管理，該系統(tǒng)應(yīng)涵蓋工區(qū)和班組，包含安全用具在役、退役、報(bào)廢等檔案管理，試驗(yàn)報(bào)告管理，試驗(yàn)周期管理等功能，加強(qiáng)安全用具的管理工作。

(6)運(yùn)用信息技術(shù)，規(guī)范會(huì)議管理。開發(fā)安全生產(chǎn)會(huì)議管理系統(tǒng)，提高會(huì)議質(zhì)量和效率，做到會(huì)前準(zhǔn)備充分，提前在網(wǎng)上發(fā)布會(huì)議材料；會(huì)中議題明確，主題突出；會(huì)后紀(jì)要分發(fā)迅速，實(shí)施情況分類標(biāo)示，統(tǒng)計(jì)分析、考核有據(jù)，會(huì)議時(shí)間大大縮短。

3

以信息化提升安全管理水平

充分利用網(wǎng)絡(luò)技術(shù)，為安全生產(chǎn)提供更為快捷、方便、安全的信息平臺(tái)，達(dá)到過程控制、資源共享。

(1)應(yīng)用微機(jī)兩票管理系統(tǒng)，實(shí)現(xiàn)兩票網(wǎng)上流轉(zhuǎn)，提高工作效率和兩票合格率，為兩票的統(tǒng)計(jì)分析提供便利條件，規(guī)范兩票管理。

(2)應(yīng)用生產(chǎn)管理信息系統(tǒng)(mis)，保證生產(chǎn)與檢修計(jì)劃可控、在控。按照“五結(jié)合”原則進(jìn)行計(jì)劃統(tǒng)籌，合理調(diào)配資源，提高工作的安全性，優(yōu)化缺陷管理流程，加強(qiáng)閉環(huán)控制。mis系統(tǒng)提供完整的缺陷報(bào)告、等級(jí)核定、任務(wù)下達(dá)、消缺情況、投運(yùn)結(jié)論等閉環(huán)控制流程，通過網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)檢查監(jiān)督，提高設(shè)備消缺質(zhì)量。

(3)開發(fā)調(diào)度mis、變電mis，使電網(wǎng)運(yùn)行管理水平再上新臺(tái)階，運(yùn)行工作實(shí)現(xiàn)網(wǎng)絡(luò)化。調(diào)度指令票實(shí)現(xiàn)網(wǎng)上傳遞和過程監(jiān)督，該系統(tǒng)中的危險(xiǎn)點(diǎn)預(yù)控模塊，實(shí)現(xiàn)擬票、審票、操作全過程監(jiān)護(hù)控制與提示，初步實(shí)現(xiàn)調(diào)度危險(xiǎn)點(diǎn)預(yù)控智能化，防止調(diào)度誤操作事故的發(fā)生；變電mis系統(tǒng)涵蓋運(yùn)行日志、日常運(yùn)行、安全管理等各項(xiàng)運(yùn)行工作，實(shí)現(xiàn)運(yùn)行工作透明化。

(4)應(yīng)用scada/pas系統(tǒng)，實(shí)現(xiàn)電網(wǎng)運(yùn)行數(shù)據(jù)分析和安全性靜態(tài)評(píng)價(jià)；應(yīng)用調(diào)度模擬操作，防止調(diào)度誤操作的發(fā)生，解合環(huán)操作前利用潮流分析軟件、模擬操作進(jìn)行潮流分析，為電網(wǎng)的安全、優(yōu)質(zhì)、經(jīng)濟(jì)運(yùn)行

提供有力的保障。

(5)應(yīng)用繼電保護(hù)在線信息管理系統(tǒng)，實(shí)現(xiàn)繼電保護(hù)定值單、試驗(yàn)報(bào)告和保護(hù)動(dòng)作月報(bào)的錄入、繼電保護(hù)圖紙的電子化和上傳工作；應(yīng)用繼電保護(hù)及安全自動(dòng)裝置核對(duì)軟件，進(jìn)行季度安全自動(dòng)裝置狀態(tài)核對(duì)；應(yīng)用繼電保護(hù)整定計(jì)算軟件進(jìn)行繼電保護(hù)整定計(jì)算，防止人為因素造成的誤整定并提高工作效率。

(6)建立企業(yè)安全網(wǎng)頁和安全文化網(wǎng)站，營造企業(yè)安全文化氛圍。通過安全信息發(fā)布、通報(bào)事故分析報(bào)告、違章照片曝光和錄相片播放等形式，借以形成安全教育的氛圍，從培養(yǎng)“我要安全”理念、培訓(xùn)“我會(huì)安全”技能、強(qiáng)化“我懂安全”素質(zhì)三方面入手，逐步實(shí)現(xiàn)從“要我安全”到“我要安全”、“我會(huì)安全”、“我懂安全”的轉(zhuǎn)變，對(duì)保證安全生產(chǎn)具有潛意識(shí)的推動(dòng)作用。

第4篇 信息技術(shù)設(shè)備物理環(huán)境安全管理規(guī)定

第一章 總則

第一條 目的:為了適應(yīng)公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。

第二條 依據(jù):本管理辦法根據(jù)《信息安全管理策略》制訂。

第三條 范圍:本管理辦法適用于公司。

第二章 基本要求

第四條 公司員工應(yīng)根據(jù)公司運(yùn)營需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實(shí)現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

(二)減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條 安全控制措施包括以下各項(xiàng):

(一)公司的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條 公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條 安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。

第八條 物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過授權(quán),公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第九條 安全區(qū)域出入控制措施

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問

信息部應(yīng)定期(每三個(gè)月)審查訪問公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求;

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第十條 交接區(qū)安全

(一)公司應(yīng)設(shè)立交接區(qū),同時(shí):

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn);

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒有潛在的危害。

第四章 設(shè)備安全

第十一條 設(shè)備安置與保護(hù)

(一)公司中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問;

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問;

3、要求專門保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器;

8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護(hù)方法,例如鍵盤保護(hù)膜;

9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。

第十二條 支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源(ups)。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長,而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來源電源或一個(gè)單獨(dú)變電站。

(三)另外,應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以避免供電的單一故障點(diǎn)。

第十三條 電纜安全

(一)敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開;

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括:

(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當(dāng)?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護(hù)電纜;

(5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查;

(6)控制對(duì)配線盤和電纜室的訪問;

第十四條 設(shè)備維護(hù)

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購買時(shí)的維護(hù)計(jì)劃進(jìn)行。

(三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

(四)原則上應(yīng)保存所有維護(hù)記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和人事部應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和人事部定期審核維護(hù)記錄和計(jì)劃。

(八)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條 場(chǎng)外設(shè)備的安全

(一)離開辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施:

1、離開建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來;

2、制造商的設(shè)備保護(hù)說明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護(hù)離開辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條 設(shè)備的安全處置與重新使用

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀,或用安全方式對(duì)信息加以覆蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。

(二)所有帶有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以決定是否對(duì)其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。

第十七條 設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開辦公場(chǎng)所;

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開辦公場(chǎng)所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;

4、若需要并合適,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí),要作出送回記錄。

(二)應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查,以檢測(cè)未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查,并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條 本管理辦法由信息部負(fù)責(zé)解釋和修訂。

第十九條 本管理辦法自發(fā)布之日起施行。

第5篇 信息技術(shù)有限公司人員信息安全管理規(guī)定

____信息技術(shù)有限公司人員信息安全管理規(guī)定

____信息技術(shù)有限公司

人員信息安全管理規(guī)定

第一章總則

第一條本規(guī)定旨在加強(qiáng)____信息技術(shù)有限公司的人員信息安全管理，要求公司員工知曉和理解公司信息安全管理相關(guān)規(guī)

定，承擔(dān)并切實(shí)履行本崗位相應(yīng)的信息安全職責(zé)。

本規(guī)定

中還明確了員工入職、轉(zhuǎn)崗、離職各環(huán)節(jié)的信息安全具體

管理要求，確保公司人員信息安全策略目標(biāo)的實(shí)現(xiàn)。

第二條本規(guī)定適用于____信息技術(shù)有限公司員工信息安全管理相關(guān)的活動(dòng)。

第二章內(nèi)外部人員管理

第三條本規(guī)定中所指“人員”不僅包括____信息技術(shù)有限公司人力資源管理部門編制內(nèi)的正式員工，也包括借調(diào)、輪崗、派

遣的內(nèi)部人員，其工作內(nèi)容和性質(zhì)與人力資源管理部門編

制內(nèi)正式員工一致，包括研發(fā)人員、咨詢?nèi)藛T、運(yùn)維支持

人員、技術(shù)支持人員等。

所有人員的信息安全管理應(yīng)嚴(yán)格

遵照本規(guī)定執(zhí)行，并根據(jù)本規(guī)定的各項(xiàng)要求進(jìn)行管理和考

核。

第四條為____信息技術(shù)有限公司提供服務(wù)的外部服務(wù)提供商及合作方的人員視為“第三方人員”，其人員信息安全管理的具

體要求見《____信息技術(shù)有限公司第三方信息安全管理規(guī)

定》。

2 / 5第三章人員招聘入職管理

第五條各部門應(yīng)遵循____信息技術(shù)有限公司信息安全管理策略，按照安全管理各項(xiàng)制度的要求，根據(jù)本部門已規(guī)劃和上報(bào)

的崗位設(shè)置情況，明確各崗位信息安全職責(zé)具體要求。

第六條對(duì)于重要崗位或敏感崗位需要進(jìn)行人員的背景調(diào)查時(shí)，人力資源管理部門可以采用電話、電子郵件、紙質(zhì)材料、公

函或其它方式，調(diào)查記錄應(yīng)妥善保存。

背景調(diào)查通常包含

以下內(nèi)容：

（一）學(xué)歷和工作經(jīng)歷

（二）犯罪記錄

（三）競(jìng)業(yè)禁止

第七條在新員工的勞動(dòng)合同中應(yīng)明確規(guī)定員工需承擔(dān)的包括保密要求在內(nèi)的信息安全責(zé)任；也可根據(jù)實(shí)際情況簽訂單獨(dú)

的保密協(xié)議。

第四章人員在職與轉(zhuǎn)崗管理

第八條員工在職期間，必須遵守公司信息安全相關(guān)管理規(guī)定，履行合同、保密協(xié)議所規(guī)定的信息安全職責(zé)，發(fā)現(xiàn)信息安全

事件及時(shí)報(bào)告，并配合公司相關(guān)部門和人員進(jìn)行事件的處

理。

第九條為保證員工能夠充分履行信息安全職責(zé)，各部門應(yīng)積極開展提高員工信息安全意識(shí)與技能的各項(xiàng)培訓(xùn)，并對(duì)培訓(xùn)效

果進(jìn)行回顧。

3. / 5第十條各部門應(yīng)對(duì)重要崗位或敏感崗位采取崗位輪換措施，也可采取強(qiáng)制休假等管理措施。

此外，重要崗位應(yīng)設(shè)置a/b

角以實(shí)現(xiàn)人員備份和互相監(jiān)督。

第十一條員工辦理調(diào)動(dòng)手續(xù)過程中，相關(guān)部門應(yīng)及時(shí)處理該員工在各信息系統(tǒng)內(nèi)的個(gè)人賬號(hào)（包括帳號(hào)和權(quán)限的調(diào)整、變

更等），風(fēng)險(xiǎn)控制與信息安全部對(duì)帳號(hào)和權(quán)限處理情況進(jìn)

行審核與檢查。

第十二條對(duì)員工在職期間違反公司信息安全管理制度的行為，各部門應(yīng)進(jìn)行處理。

第五章人員離職安全管理

第十三條員工離職時(shí)，人員所在部門應(yīng)依照該員工簽署的保密協(xié)議，審核其脫密期，并明確告知其在離職后的信息安全保

密責(zé)任。

第十四條員工離職時(shí)應(yīng)列出信息資產(chǎn)交接清單，及時(shí)交還公司相關(guān)信息資產(chǎn)和物品，并由歸還資產(chǎn)的接收部門進(jìn)行審核和

確認(rèn)。

第十五條員工辦理離職手續(xù)過程中，相關(guān)部門應(yīng)及時(shí)處理該員工在各信息系統(tǒng)內(nèi)的個(gè)人賬號(hào)（包括帳號(hào)禁用、刪除等），

信息技術(shù)中心對(duì)帳號(hào)和權(quán)限處理情況進(jìn)行抽查。

審查內(nèi)容

通常包括：

（一）公司資產(chǎn)（辦公電腦等）已交回。

（二）e_mail郵箱功能已刪除或禁用。

4 / 5

第6篇 運(yùn)用信息技術(shù)提高煤炭企業(yè)安全管理水平

目前，我國煤炭企業(yè)存在的安全法規(guī)不完善，勞動(dòng)者素質(zhì)低，安全技措資金缺口大，安全管理的手段落后和安全管理信息體系不完善等問題，并從安全預(yù)警和災(zāi)害應(yīng)急處理等方面進(jìn)一步分析了信息技術(shù)提升煤炭企業(yè)安全管理水平的可行性。

一、我國煤炭企業(yè)安全管理的現(xiàn)狀及存在問題

近幾年來，我國煤炭企業(yè)的安全管理工作有了明顯好轉(zhuǎn)，全國煤礦百萬噸死亡率有了明顯下降，其中國有重點(diǎn)煤礦下降最快。但由于安全管理和安全科技水平等相對(duì)落后，煤礦事故多、傷亡大、職業(yè)病嚴(yán)重的狀況仍未得到根本好轉(zhuǎn)，與其他主要產(chǎn)煤國家相比仍有很大差距。

1．勞動(dòng)者素質(zhì)較低

煤炭企業(yè)通風(fēng)安全管理的核心是人的管理。目前，煤礦生產(chǎn)已經(jīng)逐步發(fā)展到采掘機(jī)械化、生產(chǎn)集中化、生產(chǎn)環(huán)節(jié)互相依賴化、管理進(jìn)入系統(tǒng)化、信息化的嶄新階段，對(duì)人的素質(zhì)要求很高。然而，煤炭企業(yè)的工人素質(zhì)與其他行業(yè)相比明顯較差。一是文化水平低，小學(xué)文化程度占大多數(shù)，不易掌握操作技術(shù)和安全規(guī)程，在實(shí)際操作過程中，有的冒險(xiǎn)蠻干，嚴(yán)重違章；二是心理素質(zhì)差，有的人對(duì)井下作業(yè)恐慌畏懼、情緒波動(dòng)反常，有的人又麻痹松懈，存在消極勞動(dòng)情緒，甚至個(gè)別人偷工減料埋下安全隱患。

2．安全技術(shù)資金缺口大

煤炭開采受地質(zhì)條件的影響很大。過去由國家投入的大量設(shè)備如今已嚴(yán)重老化，維修量大。隨著礦井延深，礦壓不斷增加，巷道維修的任務(wù)也在不斷加重，礦井的提升和排水能力很難適應(yīng)生產(chǎn)需要。

3．安全管理的手段落后

與西方發(fā)達(dá)產(chǎn)煤國相比，我國煤礦應(yīng)用技術(shù)研究起步較晚。人力、財(cái)力不足，一些重大的安全技術(shù)問題，如沖擊地壓、煤與瓦斯突出、地?zé)?、突水等?zāi)害控制仍不徹底。加之受傳統(tǒng)經(jīng)營思想的影響和企業(yè)經(jīng)濟(jì)實(shí)力的制約，我國煤礦生產(chǎn)裝備及安全監(jiān)控設(shè)備還比較落后。井巷斷面設(shè)計(jì)、支護(hù)強(qiáng)度確定、支護(hù)材料選型較小。生產(chǎn)設(shè)備功率、礦井供風(fēng)量等富余系數(shù)偏低，易發(fā)生事故。

4．安全信息管理體系不完善

安全信息是安全管理工作的主要依據(jù)，它包括事故及職業(yè)傷害的記錄、分析、統(tǒng)計(jì)；職業(yè)安全衛(wèi)生設(shè)備的研究、設(shè)計(jì)、生產(chǎn)及檢驗(yàn)技術(shù)；法律、規(guī)章、技術(shù)標(biāo)準(zhǔn)及其變化動(dòng)態(tài)；教育、培訓(xùn)、宣傳及社會(huì)活動(dòng)，國內(nèi)新技術(shù)動(dòng)態(tài)、隱患評(píng)價(jià)及技術(shù)經(jīng)濟(jì)分析、咨詢、決策系統(tǒng)等。在這一點(diǎn)上多數(shù)礦井仍處于起步和探索階段，信息傳遞周期長，沒有形成完整的體系，實(shí)際應(yīng)用尚有較大欠缺。

二、信息技術(shù)可提升煤炭企業(yè)安全管理水平

以計(jì)算機(jī)和通訊技術(shù)為代表的信息技術(shù)的發(fā)展給各行各業(yè)的管理帶來了一場(chǎng)變革，計(jì)算機(jī)和通訊技術(shù)結(jié)合安全原理、系統(tǒng)分析方法將從本質(zhì)上提升煤炭企業(yè)的安全管理水平，主要體現(xiàn)在以下幾點(diǎn)。

1．提升煤炭企業(yè)的安全預(yù)警能力??? 煤炭企業(yè)屬于傳統(tǒng)的資源開采型企業(yè)。煤礦通風(fēng)安全對(duì)煤炭企業(yè)影響巨大，通風(fēng)安全工作在煤礦生產(chǎn)中占有重要地位，其管理好壞直接關(guān)系到煤礦的安全生產(chǎn)和經(jīng)濟(jì)效益。煤炭企業(yè)的通風(fēng)安全管理是一項(xiàng)系統(tǒng)工程，涉及從煤炭開采、生產(chǎn)加工到煤炭產(chǎn)品銷售的全過程。從影響煤炭企業(yè)安全管理的因素劃分，通風(fēng)安全管理包括通風(fēng)管理、瓦斯管理、礦壓與頂板管理、煤塵管理、防治水管理、防滅火管理和其他有毒有害氣體管理等。

煤炭企業(yè)礦井通風(fēng)與安全涉及的災(zāi)害因素多，面對(duì)生產(chǎn)過程中出現(xiàn)的許多表面的、分散的事故隱患和問題，如瓦斯超限、煤塵積聚、引爆熱源、煤層自燃等等，如果單憑決策指揮人員的個(gè)體知識(shí)經(jīng)驗(yàn)去分析、處理和解決問題，已很難準(zhǔn)確地確定事故隱患的嚴(yán)重程度。目前，運(yùn)用安全系統(tǒng)工程原理和事故樹的邏輯推理方法，對(duì)作業(yè)場(chǎng)所、區(qū)域進(jìn)行危險(xiǎn)性分析，對(duì)重點(diǎn)不安全狀態(tài)、不安全隱患問題進(jìn)行超前預(yù)測(cè)，建立各類事故的邏輯推理模型已研究的較為成熟，但由于缺乏工作面、安全生產(chǎn)設(shè)備運(yùn)行數(shù)據(jù)的實(shí)時(shí)采集、傳輸、運(yùn)算推理和預(yù)警控制的技術(shù)、設(shè)備和軟件系統(tǒng)，使得大多數(shù)煤炭企業(yè)目前的安全預(yù)警管理較為粗放，預(yù)警精度不高。因此，只要合理應(yīng)用信息技術(shù)，將現(xiàn)代信息技術(shù)和安全預(yù)警原理和方法結(jié)合起來，通過對(duì)作業(yè)現(xiàn)場(chǎng)災(zāi)害因素的進(jìn)行實(shí)時(shí)監(jiān)控和事故隱患邏輯推理，必將從根本上提升煤炭企業(yè)的安全預(yù)警能力，降低事故發(fā)生率。

第7篇 信息技術(shù)設(shè)備物理與環(huán)境安全管理規(guī)定

第一章 總則

第一條 目的：為了適應(yīng)公司物理與環(huán)境安全管理的需要，保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行，特制定本管理辦法。

第二條 依據(jù)：本管理辦法根據(jù)《信息安全管理策略》制訂。

第三條 范圍：本管理辦法適用于公司。

第二章 基本要求

第四條 公司員工應(yīng)根據(jù)公司運(yùn)營需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實(shí)現(xiàn)：

（一）確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

（二）減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

（三）防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條 安全控制措施包括以下各項(xiàng)：

（一）公司的場(chǎng)地（機(jī)房、辦公室）的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施，如門禁系統(tǒng)等。

（二）公司的大樓入口安全防范措施。

（三）防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

（四）設(shè)備維護(hù)。

（五）清理資產(chǎn)。

第三章 安全區(qū)域

第六條 公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條 安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。

第八條 物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過授權(quán)，公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入（持有效證件，得到被訪者允許）。

第九條 安全區(qū)域出入控制措施

（一）物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用，任何人都必須刷卡后才可進(jìn)入機(jī)房；

2、出入機(jī)房必須登記《機(jī)房出入登記表》，記錄姓名、出入時(shí)間、事由等；

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖，需要時(shí)由運(yùn)維人員開啟進(jìn)入工作，并確保辦公完成后鎖好；

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

（二）合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》；

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

（三）公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡；

2、公司工作人員調(diào)離公司時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消；

（四）審查訪問

信息部應(yīng)定期(每三個(gè)月)審查訪問公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。

（五）外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求；

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞；

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。

第十條 交接區(qū)安全

（一）公司應(yīng)設(shè)立交接區(qū)，同時(shí)：

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn)；

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物，以保證沒有潛在的危害。

第四章 設(shè)備安全

第十一條 設(shè)備安置與保護(hù)

（一）公司中應(yīng)考慮以下控制措施：

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問；

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問；

3、要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；

7、所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；

8、對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤保護(hù)膜；

9、應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；極其重要設(shè)備應(yīng)部署在不同位置。

第十二條 支持性設(shè)施

（一）應(yīng)有足夠的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。

（二）對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（ups）。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給，以確保在延長的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測(cè)試。另外，如果辦公場(chǎng)所很大，則應(yīng)考慮使用多來源電源或一個(gè)單獨(dú)變電站。

（三）另外，應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

（四）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時(shí)），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。

（五）連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

（六）實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電，以避免供電的單一故障點(diǎn)。

第十三條 電纜安全

（一）敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下：

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，應(yīng)提供足夠的可替換的保護(hù)；

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；

3、為了防止干擾，電源電纜要與通信電纜分開；

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；

5、使用文件化配線列表減少失誤的可能性；

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：

（1）在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；

（2）使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?/p>

（3）使用纖維光纜；

（4）使用電磁防輻射裝置保護(hù)電纜；

（5）對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；

（6）控制對(duì)配線盤和電纜室的訪問；

第十四條 設(shè)備維護(hù)

（一）應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

（二）由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購買時(shí)的維護(hù)計(jì)劃進(jìn)行。

（三）只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

（四）原則上應(yīng)保存所有維護(hù)記錄

（五）要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；

（六）設(shè)備資產(chǎn)的管理部門和人事部應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

（七）設(shè)備資產(chǎn)的管理部門和人事部定期審核維護(hù)記錄和計(jì)劃。

（八）當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂疲紤]維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；

（九）應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條 場(chǎng)外設(shè)備的安全

（一）離開辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施：

1、離開建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來；

2、制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問控制以及與辦公室的安全通信；

4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條 設(shè)備的安全處置與重新使用

（一）設(shè)備報(bào)廢處置時(shí)，存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀，或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。

（二）所有帶有諸如硬盤等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。

（三）為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤應(yīng)在處置前實(shí)際銷毀。

（四）凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請(qǐng)表》，經(jīng)部門負(fù)責(zé)人同意后，方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》，留待審計(jì)時(shí)備查。

第十七條 設(shè)備的移動(dòng)

（一）應(yīng)考慮如下措施：

1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場(chǎng)所；

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開辦公場(chǎng)所的雇員、承包方人員和第三方人員；

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；

4、若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄。

（二）應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查，以檢測(cè)未授權(quán)的記錄裝置、武器等等，防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條 本管理辦法由信息部負(fù)責(zé)解釋和修訂。

第十九條 本管理辦法自發(fā)布之日起施行。