1. 目的和范围
本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。
2. 引用文件
(1)?? 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求
(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则
(4) 介质管理规定
(5) 笔记本电脑管理规定
(6) 机房管理规定
3. 职责
1) 技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。
4. 设备管理流程
(1)设备入网
1) 需按设备本身提供的“设备安全操作说明书”进行正确操作和使用,设备在日常使用过程中应注意安全;
2) 系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已做过风险评估。
3) 如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要求,通知信息安全管理小组进行。
4) 如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求,制定设备入网计划。
5) 系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通过后提交综合部审批。
6) 技术部批准入网申请后,由系统工程师组织设备入网。
7) 设备入网应按照处置计划和入网计划对设备进行安全加固。
8) 对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。
(2)设备安置与保护
(3)信息设备安装管理
1) 技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测和日常的巡检等,详见《机房管理规定》。
2) 信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员进行。
3) 信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。
4) 重要系统使用的信息设备安置在专用的机房内。
5) 安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。
6) 确保消防设备充足并随时可用,定期进行消防演练。
(4)支持性设施安置管理
1) 技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、维修等。
2) 对支持关键业务操作的信息设备,使用不间断电源(UPS)。UPS设备要定期地检查,,详见《机房管理规定》。
3) 应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
4) 技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期检查。
(5)线缆安全
1) 公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路,以保障线路的可用性。
2) 电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。
3) 要采取切实有效的措施防范鼠患,防止电缆被鼠噬。
4) 电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化,详见《机房管理规定》。
(6)设备移动
1) 在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。
2) 公司原则上禁止机房设备移出公司物理环境。如确因工作需要,如展会、维修等,需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用,需经研发主管批准后才能移出公司的物理环境。
3) 如需要供应商将设备移出公司物理环境进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。
4) 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管,不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止损坏、盗窃等事件发生。
5) 笔记本在公司办公场所以外使用,依《笔记本电脑管理规定》。
(7)维护、保养
1) 机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。
2) 定期维护由技术部专业工程师或供应商进行,定期维护根据不同设备决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬件更换、性能检查、性能调优等。
3) 定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护结果等内容详细记录在《设备维护记录》中。
(8)设备处置
1) 设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处理;
2) 信息设备在处置过程中须考虑信息安全。
3) 设备报废前设备管理责任人要负责删除所有信息,对包含敏感信息的设备要对其信息载体在物理上应予以销毁,或者采用使原始信息不可获取的技术将其安全地重写,如消磁。
4) 信息设备的报废工作由综合部负责,需要填写《废弃介质处置记录》,经总经理批准后,才能进行报废。
5) 对于因闲置、人员离辞或设备换代等原因不再使用的信息设备,特别是个人电脑,在设备归仓前,要采用信息不可获取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时,重用者不会获得与其工作无关的内容。
6) 对试用设备和测试设备(无论是自有的还是供应商的)中的信息在试用和测试后,由试用或测试人员立即清除,防止重要信息泄露。
7) 废弃介质处理方法参见《介质管理规定》
5. 实施策略
(1) 设备管理规定涉及到包括《设备维护记录》共1个表单。
(2) 对设备的定期维护等内容详细填写《设备维护记录》。
6. 相关记录
本程序发生的记录汇总表
表1-1 ????????????????? ISMS文件日常应用表格
表号 | 记录编号 | 记录名称 | 保管
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?场所 | 保存期限 | 保存形式 | 备注 |
表A.1 | ISMS-3009-01 | 设备维护记录表 | 技术部 | 1年 | 电子 |
|
|
|
|
|
|
|
|