机房环境安全管理规范标准
太极计算机股份
ISO20000体系文件
机房环境安全管理规
(版次:0/A)
编制人(部门):电子政务日期:2010-3-1
审核人:日期:
批准人:日期:
2010年3月1日发布 2010年3月1日实施
手册修订履历
目录
1概述 (4)
1.1 目的 (4)
1.2 适用围 (4)
2术语定义 (4)
3角色及职责 (4)
4工作要求 (4)
4.1 一般要求 (4)
4.2 人员进出机房管理 (5)
4.3 物品进出机房管理 (5)
4.4 消防安全 (5)
4.5 电源使用安全 (5)
4.6 空调使用安全规 (6)
4.7 门禁系统故障或断电时的处置 (6)
4.8 记录检查 (6)
4.9 其它相关规定 (6)
5相关文件及记录 (6)
5.1 相关文件 (6)
5.2 表单和记录 (7)
1概述
1.1目的
本程序的目的是就安全与管理层面,对整个运行环境日常安全管理工作进行指导。
1.2适用围
本文档适用于IT服务过程中与机房环境相关的访问。
2术语定义
机房环境:泛指放置运行硬件设备的环境。包括为保证环境条件达成所设置的UPS,空调,新风机,消防设备等设施。
3角色及职责
4工作要求
4.1一般要求
●禁止在非授权下和无机房管理人员参与的情况下接触任何机房设备;
●禁止在非授权下擅自处理重大故障;
●禁止非电气人员接触动力设备和线路;
●禁止用手触及动力设备的带电部分和用短路方法进行试验;
●禁止允许或默许未登记、非授权人员进入机房;
●禁止携带易燃易爆品进入机房;
●禁止堆放备件、仪表、杂物等于非指定位置;
●禁止在机房及公共通道堆放任何废旧杂物;
●禁止在机房进行任何无关工作的行为;
●禁止擅自将放置在机房的有关图纸、资料、仪表等带出机房
4.2人员进出机房管理
●机房作业人员须进出机房时,必须在《人员出入登记表》上登记后才能进出机房。
●非机房的人员或系统维护厂商进入机房需详细填写《机房进入审批表》,并经IS核准
后由机房值班人员全程陪同下方可进入机房,进出机房均须于《人员出入登记表》上
登记。
4.3物品进出机房管理
●机房物品包含当前正在运行设备和备件设备、线缆、测试仪器等一切跟机房运行维护
相关设备、资料、仪器、工具。对这些物品的进出流向必须做好登记备案。
●对正在运行的设备需要更换拆除并运离机房时,需要填写《物品出入登记表》后,方
可关闭设备搬离机房。
●机房运行工程师负责机房各类记录、介质的保管、收集,信息载体必须安全存放、保
管,防止丢失或损坏;
●设备(物品)进入机房安装前必须提前至少2天通知,分配好相关资源(IP,网络端
口,具体安装位置,电源插座等)并填写《机房进入审批表》,经IS审批后方可进入;
4.4消防安全
●机房及周边地区严禁烟火,禁止明火作业以及使用电热器具。
●火警铃响时在机房作业的所有人员必须在30秒撤离现场,保证个人人身安全后立即报
警并向机房管理人员汇报情况;
●在发生零星火灾的时候,使用二氧化碳灭火器进行扑救;
●定期对消防设备进行检查,并记录于《机房运行巡检记录表》;
●对设备的操作按照机房管理规进行操作;
●发生故障,按照故障升级流程进行处理。
4.5电源使用安全
●禁止非电气人员接触动力设备和线路;
●禁止用手触及动力设备的带电部分和用短路方法进行试验;
●机房停电时须立即联系相关部分或人员启用备用电源(或发电设备)进行供电;具体
操作严格按照《机房停电紧急预案》的操作手顺执行;
●对设备的操作按照机房管理规进行操作;
●发生故障,按照故障升级流程进行处理。
4.6空调使用安全规
●应定期清洗空调过滤网并产生相关记录;
●对设备的操作按照机房管理规进行操作;
●发生故障,按照故障升级流程进行处理。
4.7门禁系统故障或断电时的处置
●机房门禁系统若因故障或断电无法使用时,机房值班人员应于remedy系统上纪录无法
使用的开始与结束时间,并协调门禁管制单位将门禁系统改由人工管制。
●发生故障,按照故障升级流程进行处理。
4.8记录检查
●应定期检查《机房巡检记录表》《人员出入登记表》,并于检视完成后于表上签章,
若发现有异常应立即向相关单位领导通报并作后续处理。
4.9其它相关规定
●机房门禁卡为机房门禁管制,故应妥善保管。
●门禁卡若不慎遗失应依照相关规定重新申请。
5相关文件及记录
5.1相关文件
信息安全事故管理办法
信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。
第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应
机房安全管理制度
机房安全管理规章制度 一、机房安全管理 1、机房安全管理实行总校长领导下的主管副总校长负责制,日常安全工作由安全设备部直接管理。成立机房安全保护领导小组,总校长为组
长、主管副总校长为副组长、各部门经理为成员,并设专职计算机安全管理员若干名。安全管理小组全面负责机房安全管理工作。机房安全保护领导小组要服从西外学校信息安全保护领导小组的领导。 2、要定期对职工进行法制教育,安全意识教育和防范技能训练。要定期或不定期地组织有关人员对机房进行全面的安全检查。 3、要经常组织学习掌握最新的安全管理法律、法规和技术防范技能,更好地做好本部门的安全管理工作。 4、要建立安全管理岗位责任制,并与其他工作同时进行检查考核。 二、机房环境设施与实体设备管理制度 1、环境设施:指机房内保证主机系统及外设安全可靠运行的技术防护设施,包括供电系统、电气系统、空调系统、消防系统、安防及场地监控系统、消防系统等。 2、实体设备:指用来处理数据信息的计算机设备及其外设,包括主机、存储、网络设备、服务器、PC机、打印机等。 3、环境设施是保障实体设备安全可靠运行的重要基础设施,要指定若干名专职人员专职负责,重要复杂的岗位要有两名以上管理员。 4、各种设施要建立完善的技术档案,以便管理人员、检查人员能方便地对有关设施进行管理、维护、检修。 5、设施或设备管理人员要负责对有关机房工作人员进行机房设施或设备常规培训,防止误操作造成的事故。 6、设施或设备要实行定人定岗管理,不得随意乱动不属于自己职责范围的设备操作。 7、设施与设备要按统一规划、定置安放(即各种设备或设施必须按
统一规定的位置要求设置,不得任意移动位置,或随意增减),损坏的设备报告信息技术管理部领导后,由维修人员统一维修,并做好维修记录。 8、机房内需要添置设备或设施时,其配备型号、规格、数量须报请部领导批准后办理。 9、设备的进出和消耗品的领用由管理人员统一登记,造册管理。 三、机房值班制度 1、机房值班分安全值班和运行值班。 2、安全值班实行24小时不断人值班,其主要工作职责是安全保卫、出入机房登记、机房环境设施安全监控、主机设备运行情况监控等。 3、运行值班是指确保全行整个计算机系统正常运行的有关岗位值班,各岗位根据工作特点,每个工作日都指定值班人员负责处理相关业务。 4、值班人员要认真履行职责、坚守岗位、做好值班记录、严格交接班制度,不得中间脱岗,遇到重大问题,要及时向上汇报。交接班时,交接双方必须当面交接并签字。 四、出入机房与门禁管理制度 1、机房是我行生产经营、安全保卫和保密的要害部门,进入机房的人员要求着装整洁、举止文明、自觉遵守信息技术管理部机房管理制度。 2、机房工作人员要通过机房门禁系统进入机房,在规定的工作时间、工作岗位上工作,未经许可,不得随意进入其他工作区域。 3、因工作需要,需在机房开展工作的非信息技术管理部工作人员,须填写《省农行信息技术管理部机房出入审批单》,并经有权审批人批准后,由机房内部保安开门进入,在值班台登记后方可到相关区域进行工作。 4、参观人员必须经信息技术管理部领导批准,在值班台登记后,由
中心机房安全管理操作规程
中心机房安全管理操作规程 一、机房安保规程 1.出入机房应注意关闭机房门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定门禁系统,拒绝陌生人进出机房。 2.工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态(如检查并锁上自己工作柜、锁定工作电脑、并将桌面重要资料和数据妥善保存等等)。 3.工作人员和到访人员需填写《机房出入管理登记表》,外来人员进入必须有专门的工作人员全面负责其行为安全,禁止带领与机房工作无关的人员进出机房。 4.未经主管领导批准,禁止将机房相关的钥匙、密码透露给其它人员,同时有责任对信息保密;对于遗失物品的情况要即时上报,并积极主动采取措施保证机房安全。 5.机房人员对机房安全制度上的漏洞和不完善的地方应及时提出改善建议,绝不允许与机房工作无关的人员直接
或间接操纵机房任何设备。 6.出现机房盗窃、破门、水浸等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。 二、机房用电安全操作规程 1.机房人员应学习常规的用电安全操作和知识,掌握机房用电应急处理步骤、措施和要领,了解机房内部的供电、用电设施的操作规程。 2.机房应安排专业人员定期检查供电、用电设备,如发现用电安全隐患,应采取措施解决,不能解决的必须及时联系相关负责人解决;严禁随意对设备断电、更改设备线路。 3.外来人员需要用电,必须得到机房管理人员允许,并使用安全和不对机房设备影响的供电方式。 4.在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路安全的基础上使用。 5.在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。 6.在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全事件报告和处置管理制度.doc
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。
信息机房安全管理制度(新版)
信息机房安全管理制度(新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0935
信息机房安全管理制度(新版) 第一章总则 第一条为加强信息机房(计算机房)及其设备安全管理,预防信息设备事故发生,根据国家法律、法规及行业安全管理要求,制定本规定。 第二条信息机房是指市级局(公司)和各直属单位为保证信息化管理工作需要,专门用于存放提供电子信息服务、信息储存设备、服务器、电脑、交换机、备用电源等信息设备的场所。 第三条信息机房安全工作坚持“安全第一、预防为主”的方针,贯彻执行“谁主管,谁负责”的原则。 第四条本规定适用于市级局(公司)信息中心机房及各直属单位信息室(计算机房)的安全管理。
第二章职责 第五条信息数据中心主要负责人是市级局(公司)信息中心机房安全管理第一责任人,并对市局(公司)机关各部门及各直属单位信息设备安全工作进行指导和监督。 第六条市级局(公司)信息数据中心、各直属单位综合办应落实安全管理责任,指定专人负责机房安全管理工作,并对机房管理人员进行必要的安全知识培训,使其具备机房安全管理的能力。 第七条信息机房管理人员定期检查机房设备及线路,安全管理人员定期检查消防器材、火灾自动报警、火灾自动灭火系统等消防设施,保证其状态良好。 第八条市级局(公司)信息数据中心和各直属单位信息机房要针对潜在事故制订应急预案,定期演练,提高突发事故应急处置能力。 第九条信息机房钥匙应由机房管理人员保管,非信息中心工作人员未经许可不得擅自入内。 第三章安全管理 第十条机房安全管理
企业信息安全管理办法
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
机房安全管理规范
管理制度参考范本 机房安全管理规范 a I时'间H 卜/ / 1 / 7
、目的 为加强xx 机房的安全管理,杜绝人为因素对机房造成影响,为通信设备提供安全的运行环境,保证机房内设备处于最佳运行状态,特制定本规范。 二、适用范围 xx 负责对本管理规范进行解释。 本管理规范适用于xx 内机房安全管理人员使用。 三、机房日常管理 1、管理目标是保证机房设备与信息的安全,保障机房具有良好的 运行环境和工作环境。 2、机房日常管理指定专人负责。 3、机房钥匙要严格保管,不得随意转借,一旦丢失要及时报告并 积极寻找,并采取有效措施予以补救。 4、无关人员未经批准不得进入机房,更不得动用机房设备、物品和资料,确因工作需要,相关人员需要进入机房操作必须经过批准方可在管理人员的指导或协同下进行。 5、机房应保持清洁、卫生,温度、湿度适可,机房内严禁吸烟, 严禁携带无关物品尤其是液体、易燃、易爆物品及其他危险品进入机房。 6、消防物品要放在指定位置,任何人不得随意挪动;机房工作人
员要掌握防火技能,定期检查消防设施是否正常。出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理。 7、硬件设备要注意维护和保养,做到设备物卡相符、设备使用状 态记录完整。 8、建立机房登记制度,对本地局域网、广域网的运行情况建立档 案。未发生故障或故障隐患时,网管人员不可对交换机、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等要做好详细记录。 9、网管人员应做好网络安全工作,严格保密服务器的各种帐号和 密码,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。 10、网管人员要对数据实施严格的安全与保密管理,防止系统数 据的非法生成、变更、泄露、丢失及破坏。网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。 四、机房设备管理 11、网管人员对各种网络设备的使用需按操作程序或使用说明书 进行,必须熟知机房内设备的基本安全操作和规则。 12、经常对硬件设备进行检查、测试和修理,确保其运行完好。 13、所有贵重设备均由专人保管,专人使用,不得外借或由非专业人员单独操作。 14、机房的所有设备未经许可一律不得挪用和外借,特殊情况
信息安全监控规范---含表格及流程
信息安全监控规范 1.0目的 为了预防和遏制公司内各业务系统由于用户权限滥用或管理不善所导致网络信息安全事件的发生,保证及时处理由此引起的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保公司网络通畅、各生产和业务系统正常运行,特制定本管规范。 2.0适用范围 本规范适用于东风通信维护东风裕隆机房、办公厂区网络及办公运行。 2.1安全监控范围 2.1.1设备安全日志 其中包括网络中防火干墙、入侵检测系统(IDS)、DDOS检测系统、鉴权系统、主机系统日志、路由器、交换机等 2.1.2应用系统操作日志 包括数据库操作、应用系统操作日志、设备操作日志 2.1.3网站内容安全监控 监控人员需要进行发布的网站内容监控和审计,实时监控网站出现非法、敏感类信息以及网站可访问性。 3.0安全监控和监控事件总体要求 3.1 监控要求 安全监控包括了解系统面临的威胁以及这些威胁出现的方式,有些事件可能在发生安全事故时要求进行进一步调查。 系统日志通常包括大量的信息,多数与安全监控无关。为了识别用于安全监控目的的重要事件,应该考虑对日志进行过滤,重点关注安全性事件。 应定期将日志进行备份以保证事后分析和监控时使用。 分配安全监控责任时,应该考虑把监控人员和被监控者的角
色分离开来。 要注意日志记录工具的安全。因为该工具如果随意使用,就可能在安全问题上产生错觉,应制定控制措施防止日志工具的非法更改和操作问题。 3.2 监控职责 3.2.1、网络运行管理部门 1)、统管整个网络运行情况,以保障网络的正常运行为第一重任。 2)、指挥调度各专业维护人员及时处理全网故障,同时调集各专业维护人员确认故障原因,尤其对安全事件重点关注。 3)、要对相关事件进行认真分析并及时上报信息安全管理小组,涉及到重大安全事件的并要上报到公安机关等。 3.2.2、监控值班人员 值班人员负责7X24小时实时监控本专业网络运行情况,对异常事件进行分析及时上报,并协助相关人员派发故障工单,协助维护部门处理故障,并做好配合工作。 及时跟踪工单完成情况,对处理完安全事件后进行安全事件记录并上报相关部门。 3.2.3、维护部门 监控人员所发现的安全事件以工单为据进行第一时间的处理,并返回处理情况。 4.0 故障处理流程 安全事故发现及处理流程:
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
机房环境安全管理规范
太极计算机股份有限公司 ISO20000体系文件 机房环境安全管理规范 (版次:0/A) 编制人(部门):电子政务日期:2010-3-1 审核人:日期: 批准人:日期: 2010年3月1日发布2010年3月1日实施
手册修订履历
目录 1概述 (4) 1.1目的 (4) 1.2适用范围 (4) 2术语定义 (4) 3角色及职责 (4) 4工作要求 (4) 4.1一般要求 (4) 4.2人员进出机房管理 (5) 4.3物品进出机房管理 (5) 4.4消防安全 (5) 4.5电源使用安全 (5) 4.6空调使用安全规范 (6) 4.7门禁系统故障或断电时的处置 (6) 4.8记录检查 (6) 4.9其它相关规定 (6) 5相关文件及记录 (6) 5.1相关文件 (6) 5.2表单和记录 (7)
1概述 1.1 目的 本程序的目的是就安全与管理层面,对整个运行环境日常安全管理工作进行指导。 1.2 适用范围 本文档适用于IT服务过程中与机房环境相关的访问。 2术语定义 机房环境:泛指放置运行硬件设备的环境。包括为保证环境条件达成所设置的UPS,空调,新风机,消防设备等设施。 3角色及职责 4工作要求 4.1 一般要求 ●禁止在非授权下和无机房管理人员参与的情况下接触任何机房设备; ●禁止在非授权下擅自处理重大故障; ●禁止非电气人员接触动力设备和线路; ●禁止用手触及动力设备的带电部分和用短路方法进行试验;
●禁止允许或默许未登记、非授权人员进入机房; ●禁止携带易燃易爆品进入机房; ●禁止堆放备件、仪表、杂物等于非指定位置; ●禁止在机房及公共通道堆放任何废旧杂物; ●禁止在机房进行任何无关工作的行为; ●禁止擅自将放置在机房的有关图纸、资料、仪表等带出机房 4.2 人员进出机房管理 ●机房作业人员须进出机房时,必须在《人员出入登记表》上登记后才能进出机房。 ●非机房的人员或系统维护厂商进入机房需详细填写《机房进入审批表》,并经IS核准 后由机房值班人员全程陪同下方可进入机房,进出机房均须于《人员出入登记表》上 登记。 4.3 物品进出机房管理 ●机房物品包含当前正在运行设备和备件设备、线缆、测试仪器等一切跟机房运行维护 相关设备、资料、仪器、工具。对这些物品的进出流向必须做好登记备案。 ●对正在运行的设备需要更换拆除并运离机房时,需要填写《物品出入登记表》后,方 可关闭设备搬离机房。 ●机房运行工程师负责机房内各类记录、介质的保管、收集,信息载体必须安全存放、 保管,防止丢失或损坏; ●设备(物品)进入机房安装前必须提前至少2天通知,分配好相关资源(IP,网络端 口,具体安装位置,电源插座等)并填写《机房进入审批表》,经IS审批后方可进入; 4.4 消防安全 ●机房及周边地区严禁烟火,禁止明火作业以及使用电热器具。 ●火警铃响时在机房作业的所有人员必须在30秒内撤离现场,保证个人人身安全后立即 报警并向机房管理人员汇报情况; ●在发生零星火灾的时候,使用二氧化碳灭火器进行扑救; ●定期对消防设备进行检查,并记录于《机房运行巡检记录表》; ●对设备的操作按照机房管理规范进行操作; ●发生故障,按照故障升级流程进行处理。 4.5 电源使用安全 ●禁止非电气人员接触动力设备和线路;
信息安全管理办法
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
机房安全管理制度
机房安全管理制度 一、机房人员日常行为准则 1、必须注意环境卫生。禁止在机房内吃食物、抽烟、随地吐痰;对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。 2、必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。 3、机房用品要各归其位,不能随意乱放。 4、机房应安排人员值日,负责机房的日常整理和行为督导。 5、进出机房按要求必须换鞋,雨具、鞋具等物品要按位摆放整齐。 6、注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,下雨天时应及时主动检查和关闭窗户、检查去水通风等设施。 7、机房内部不应大声喧哗、注意噪音/音响音量控制、保持安静的工作环境。 二、机房保安制度 1、出入机房应注意锁好防盗门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。应主动拒绝陌生人进出机房。
2、工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。如检查并锁上自己工作柜枱、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。 3、工作人员、到访人员出入应登记。 4、外来人员进入必须有专门的工作人员全面负责其行为安全。 5、未经主管领导批准,禁止将机房相关的钥匙、密码透露给其它人员,同时有责任对信息保密。对于遗失物品的情况要即时上报,并积极主动采取措施保证机房安全。 6、机房人员对机房安全制度上的漏洞和不完善的地方有责任及时提出改善建议。 7、禁止带领与机房工作无关的人员进出机房。 8、绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。 9、出现机房盗窃、破门、火警、水浸、110报警等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。 三、机房用电安全制度 1、机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。 2、机房人员应经常实习、掌握机房用电应急处理步骤、措施和要领。
机房人员安全管理制度
信息机房安全管理制度 第一章总则 第一条为加强信息机房(计算机房)及其设备安全管理,预防信息设备事故发生,根据国家法律、法规及行业安全管理要求,制定本规定。 第二条信息机房是指市级局(公司)和各直属单位为保证信息化管理工作需要,专门用于存放提供电子信息服务、信息储存设备、服务器、电脑、交换机、备用电源等信息设备的场所。 第三条信息机房安全工作坚持“安全第一、预防为主”的方针,贯彻执行“谁主管,谁负责”的原则。 第四条本规定适用于市级局(公司)信息中心机房及各直属单位信息室(计算机房)的安全管理。 第二章职责 第五条信息数据中心主要负责人是市级局(公司)信息中心机房安全管理第一责任人,并对市局(公司)机关各部门及各直属单位信息设备安全工作进行指导和监督。 第六条市级局(公司)信息数据中心、各直属单位综合办应落实安全管理责任,指定专人负责机房安全管理工 作,并对机房管理人员进行必要的安全知识培训,使其具备机房安全管理的能力。 第八条市级局(公司)信息数据中心和各直属单位信息机房要针对潜在事故制订应急预案,定期演练,提高突发事故应急处臵能力。 第九条信息机房钥匙应由机房管理人员保管,非信息中心工作人员未经许可不得擅自入内。 第三章安全管理 第十条机房安全管理 信息机房建设应符合《计算机场地安全要求》,满足以下消防要求: (一)机房环境应避开易发生火灾危险程度高的区域,机房建筑物应符合二级耐火等级; (二)机房的工作间与设备间应作分隔,具有良好的人机工作环境,保障工作人员的安全与健康; (三)机房应安装独立空调设备; (四)机房禁止使用水、干粉或泡沫等易产生二次破坏的灭火剂; (五)机房应有防火、防潮、防尘、防磁、防静电、防鼠等措施; (六)机房应配臵应急照明装臵和安全出口指示灯; (七)机房应配备实时监视摄像设备,并与所在区域的视频控制系统对接; (八)其他安全法规要求。 ——机房内温度应控制在20℃~25℃之间,湿度应控制在40%~60%之间。 ——信息机房内应配臵足够的二氧化碳灭火器,市级局(公司)信息机房除配臵灭火器外,还应安装火灾自动报警系统和气体自动灭火系统。 ——信息机房应有可靠的供电系统,应有单独的配电柜。 ——信息机房应配备不间断电源设备,其容量应保证机房设备和关键作业设备在断电情况下,能够持续供电4小时以上。 ——电源变压器一类的用电设备(如充电器、调制解调器电源、录音机电源、录音电话电源等),在通电状态下不得直接放臵在地毯或其它易燃物品上,以免发生火灾事故。——
企业信息安全管理规定
精心整理 信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理
第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 员。 包括:在本单位宣传和贯彻执行信息安全政策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
第十一条技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。 第十二条各级信息管理部门设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位 制度 技 完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。 第十六条信息安全体系建设必须坚持以下原则: 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一
投资、统一建设、统一管理。 保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。 符合法规。信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技 第十八条建立全面的信息安全管理体系: 制定并实施统一的信息安全策略、管理制度和技术标准。 实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。
中心机房安全管理规范正式版
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.中心机房安全管理规范正 式版
中心机房安全管理规范正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用,也可根据实际需要修订后使用。 1. 网络管理员职责 (1) 网络设备管理。为机房网络设备编号、配置、调试及故障维护。 (2) 网络服务器运行管理。为主机房服务器编号、安装系统、检查网络服务器运行日志,做好故障维护记录、更新服务器安全补丁,升级计算机杀毒软件,并进行杀毒,安装服务器应用软件,做好网络中心机房的安全工作。 (3) 网站开发及维护。负责XX网的主页建设、运行维护及版面更新,组织网上信息资源的开发等。
(4) 负责网络安全和保密工作。检查网络服务器安全日志,定时检查机房服务器、交换机、路由器、光纤收发器、管理机等设备运行情况和存在问题,保持网络畅通、提高网络的可用性和可靠性水平。 (5) 完成领导交办的其它工作。 2. 机房操作规定 网络管理员对机房、网络进行操作时必须经过XX处主管领导批准,严禁随意操作、更改机房和网络配置。重大网络操作(如系统升级、系统更换、数据转储等)应事先书面提出报告,采取妥善措施系统和数据保护性备份后,经XX处领导批准,方可实施操作,并填写操作记录。 3. 网络检修制度
中心机房安全管理规范
中心机房安全管理制度 1. 网络管理员职责 (1) 网络设备管理。为机房网络设备编号、配置、调试及故障维护。 (2) 网络服务器运行管理。为主机房服务器编号、安装系统、检查网络服务器运行日志,做好故障维护记录、更新服务器安全补丁,升级计算机杀毒软件,并进行杀毒,安装服务器应用软件,做好网络中心机房的安全工作。 (3) 网站开发及维护。负责校园网的主页建设、运行维护及版面更新,组织网上信息资源的开发等。 (4) 负责网络安全和保密工作。检查网络服务器安全日志,定时检查机房服务器、交换机、路由器、光纤收发器、管理机等设备运行情况和存在问题,保持网络畅通、提高网络的可用性和可靠性水平。 (5) 完成领导交办的其它工作。 2. 机房操作规定 网络管理员对机房、网络进行操作时必须经过领导批准,严禁随意操作、更改机房和网络配置。重大网络操作(如系统升级、系统更换、数据转储等)应事先书面提出报告,采取妥善措施系统和数据保护性备份后,方可实施操作,并填写操作记录。
3. 网络检修制度 网络检修由网络管理员进行。网络检修分为定期检修和临时检修两种。检修的项目涉及服务器、交换机、路由器、防火墙、网线、UPS电源等公用网络实体。在网络出现异常征兆或故障情况下可进行网络的临时检修。网络的临时检修包括检查、分析、确定故障设备或故障部位,并进行应急维修。 4. 账号管理制度 网络账号采用分组管理。并详细登记:用户姓名、处室、账号名及口令、存取权限等信息。用户账号下的数据属各个用户的私人数据,网络管理员具有管理及备份权限,其他人员均无权访问(账号当事人授权访问情况除外)。网络管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息、个人隐私等资料泄露出去。 5. 服务器管理制度 在安装服务器(或修改服务器配置)时,网管员应提出申请,并对新安装的或修改的服务器硬件、软件情况进行登记,填写“服务器配置登记(更新)表”。“服务器配置登记表”的内容包括:服务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP地址、支撑软件的配置、应用软件的配置、硬件及软件配置的变更情况等。