1、信息系统设备管理规定1.目的和范围本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。2.引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。(2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC27002:200
2、5 信息技术-安全技术-信息安全管理实施细则(4)介质管理规定(5)笔记本电脑管理规定(6)机房管理规定3.职责1)技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。4.设备管理流程(1)设备入网1)需按设备本身提供的“设备安全操作说明书”进行正确操作和使用,设备在日常使用过程中应注意安全;2)系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已做过风险评估。3)如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要求,通知信息安全管理小组进行。4)如果做过风险分析和处置计划
3、,则应按照相关的处置计划和实施要求,制定设备入网计划。5)系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通过后提交综合部审批。6)技术部批准入网申请后,由系统工程师组织设备入网。7)设备入网应按照处置计划和入网计划对设备进行安全加固。8)对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。(2)设备安置与保护(3)信息设备安装管理1)技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测和日常的巡检等,详见机房管理规定。2)信息安全设备的安
4、置应按照设备制造商的说明,安置工作由专业人员进行。3)信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。4)重要系统使用的信息设备安置在专用的机房内。5)安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。6)确保消防设备充足并随时可用,定期进行消防演练。(4)支持性设施安置管理1)技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、维修等。2)对支持关键业务操作的信息设备,使用不间断电源(UPS)。UPS 设备要定期地检查,详见机房管理规定。3)应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现
5、故障时要提供应急照明。4)技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期检查。(5)线缆安全1)公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路,以保障线路的可用性。2)电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。3)要采取切实有效的措施防范鼠患,防止电缆被鼠噬。4)电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化,详见机房管理规定。(6)设备移动1)在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。2)公司原则上禁止机房设备
6、移出公司物理环境。如确因工作需要,如展会、维修等,需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用,需经研发主管批准后才能移出公司的物理环境。3)如需要供应商将设备移出公司物理环境进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。4)离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管,不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止损坏、盗窃等事件发生。5)笔记本在公司办公场所以外使用,依笔记本电脑管理规定。(7)维护、保养1)机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。2)定期维护由技术部专业工程师或供应商进行,定期维护根据不同设备决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬件更换、性能检查、性能调优等。3)定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护结果等内容详细记录在设备维护记录中。(8)设备处置1)设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处理;2)信息设备在处置