全球技术服务部服务交付安全手册V3.0复习过程
信息技术服务 运行维护2:交付规范
第五次意见征求
2.5 标准修正
交付组组织8次修正
时间 2009年7月8-10日 2009年8月12-14日 2009年8月27日 2009年9月4日 2009年12月17日 2010年10月22日 2010年12月2-3日 地点 昆明 泰安 北京 北京 北京 北京 厦门 主要工作 根据封闭集中认论意见建议修订 标准 根据封闭集中认论意见建议修订 标准 意见修订 25条 33条
第三步:2010年6月宋成了标准的验证评估,该项任务主要由信息 技术服务提供方(企业或各类信息中心)按照标准条款要求,检查自 身的信息技术服务质量、运行维护服务能力以及服务交付等是否能够 达到标准要求,或标准本身是否需要改进宋善;
第四步:2010年8-9月针对甲方宠户的走访座谈,了解甲方对标准 的关注度和内容的适用性。
统筹觃划、整合资源
以培育并形成规范信息技术服务市场为长远目标,统筹规划,统一部 署,整合资源,把标准验证与运行维护工具评估相统一,防止标准验 证无目标、无方向、无成效。
部省市指导协调、产学研用联合推进
建立以指导协调组成员单位主导并充分发挥地方政府的积极性,营造 验证与应用试点环境,产学研用联合推进,并做到思路明确、目标清 晰、技术可行、结果可见。
2.3 标准起草
时间 6月15-6月19日 地点 北京亦庄 主要工作 参与单位 组内征求 意见 25条 整体运维标准体系 ; 7家 交付标准的框架确立; 各标准之间逻辑梳理, 12家 边界的界定 ; 交付标准征求意见稿 基本宋成; 交付标准草案宋善; 20家 运维工作组内実核同 意向社会征集意见 ; 推广落地方案征集和 认论;增加交付报告;
1.1 目的和意义
85%的IT故障源于交付行为不规范;
产品售后服务标准操作手册
产品售后服务标准操作手册第1章售后服务总则 (4)1.1 售后服务承诺 (4)1.2 服务流程与规范 (4)1.3 客户权益保障 (4)第2章售后服务渠道 (5)2.1 客服 (5)2.1.1 服务时间 (5)2.1.2 服务流程 (5)2.1.3 服务要求 (5)2.2 在线客服 (5)2.2.1 服务时间 (5)2.2.2 服务流程 (5)2.2.3 服务要求 (6)2.3 现场服务网点 (6)2.3.1 服务时间 (6)2.3.2 服务流程 (6)2.3.3 服务要求 (6)第3章产品退换货服务 (6)3.1 退换货政策 (6)3.1.1 适用范围 (6)3.1.2 退换货条件 (6)3.1.3 退换货时效 (7)3.1.4 退换货方式 (7)3.2 退换货流程 (7)3.2.1 退换货申请 (7)3.2.2 审核退换货申请 (7)3.2.3 退换货操作 (7)3.3 退换货所需材料 (7)3.3.1 退货所需材料 (7)3.3.2 换货所需材料 (7)第4章维修服务 (8)4.1 维修政策与范围 (8)4.1.1 维修政策 (8)4.1.2 维修范围 (8)4.2 维修流程 (8)4.2.1 报修 (8)4.2.2 预约 (8)4.2.3 维修 (8)4.2.4 验收 (9)4.3 维修费用 (9)4.3.1 保修期内 (9)第5章配件与服务 (9)5.1 配件购买渠道 (9)5.1.1 官方渠道:客户可前往我司官方网站或授权的专卖店购买正品配件。
(9)5.1.2 合作经销商:客户也可在指定的合作经销商处购买配件,保证正品质量。
(9)5.1.3 在线电商平台:我司在各大主流电商平台设有官方旗舰店,客户可在线购买所需配件。
(9)5.2 配件价格与质保 (9)5.2.1 价格:配件价格根据市场行情及成本进行调整,我司承诺价格公开透明。
(9)5.2.2 质保:我司提供的配件均享有质保服务,质保期限以产品说明书或官方公告为准。
华为流程规范安全生产复习资料
9) 工程督导需同客户确认《数据规划报告》的内容(勘测工程师在勘测时 2.3.1、若客户不提供货物存放场所时,工程督导需自行寻找符合存放
第八条 工程施工问题及时通报公司相关人员,必要时与客户协商。
4.2.1.5 未经许可,私自以明文方式记录、传播本人持有的客户设备帐 已经递交给客户,并向客户讲解了《数据规划报告》中所有内容,使客户 环境要求的场所。
华为技术有限公司工 程 施 工 行 为 规 范 V1.0
名、登录密码,登录地址,拨入号码等)。
光缆、地线、机房土建、电源等必需的安装环境的准备情况。要求通过传 1.4 验货完毕,若货物没有问题则局我双方须在“装箱单”上签字确认,货
总则
3.2.5 在客户批准远程服务申请后,我司使用的远程维护软件应得到客户 真或现场确认的方式,二次安装环境检备忘录必须有客户签字。
确保客户满意度;
3.2.4 远程服务前必须提交远程服务申请,在申请获得客户批准后,服务 景、工程概况等信息。
1.3.8 已检验的货物应按类摆好。
针对违反上述管理要求,按办事处合作管理规定处罚,记录相应关键事件; 工程师应要求客户以电话或加密邮件的方式提供接入设备的信息(如登录 5.2、安装环境准备情况:与客户联系,进行二次安装环境检备忘录了解 1.3.9开箱后的包装箱至少保留到客户在装箱单上签字后。
从即日起禁止合作方接收货物;
用客户给予的临时帐号和密码,禁止使用系统超级密码和口令。不能超过 5.1、了解客户档案:在办事处查询客户档案或通过公司客户档案系统查 有关电缆的安装要求。
接货时如果遇到问题,态度不能生硬回绝客户,可以向项目经理求助解决, 用户预先审批过的操作范围,如有额外操作,需经客户同意才能实施。 询;向服务经理、客户经理咨询,了解客户人员信息、组网方式、工程背 1.3.7对于电气特性易受影响的设备和器件,应由工程督导为主进行检查。
系统规划与管理师-辅助记忆口诀-V3.0-阿辉-精简
辅助记忆精简版1、ITSS(Information Technology Service Standards信息技术服务标准)的核心四要素机智过人(资源,技术,过程,人员)PPTR(另外一个口诀:机智牛人技术、资源、流程、人员(干IT服务的不要傻帽,要机智聪明的大牛人))2、IT服务生命周期:规划设计、部署实施、服务运营、持续改进、监督管理龟步赴池涧另外一个辅助记忆口诀:龟屎运吃肚(规划设计、部署实施、服务运营、持续改进、监督管理)第四章IT服务规划设计1、规划设计流程中的主要活动(这个是大框架必须掌握):序幕放成绩(在规划设计学校期末汇报演出的流程时,最后的设计是在演出开始,拉开序幕的时候公布发放学生的成绩,够狠啊,你让那些成绩不好的学生还咋看演出啊)1)服务需求识别、服务目录设计、服务方案设计、服务成本评估、服务级别协议设计2)其中服务方案设计又包括:服务模式设计、服务级别设计、技术要素设计、资源要素设计、过程要素设计、人员要素设计摸鸡机智牛人2、规划设计的主要目的:IS机智牛人成疯子(规划设计的目的就是把机智牛人逼成疯子)1)设计满足业务需求的I T服务2)设计S LA、测量方法和指标3)识别和规划支持服务所需的技术及资源4)设计服务过程(流程)及其控制方法5)规划服务组织架构、人员编制、岗位及任职要求6)评估IT服务成本、制定服务预算,控制服务成本7)识别风险,并定义风险控制措施和机制8)制定服务质量管理计划,以全面提高IT服务质量(记忆要点:分成三块记忆1、规划设计要从机智牛人(或机智过人)技术、资源、过程、人员考虑,2、规划设计要考虑成本,风险,质量 3、规划设计针对的是IT服务,要设计SLA)3、规划设计关键成功4因素:综合全面沟通PDCA (规划设计,运筹帷幄,决胜千里,规划的时候,当然要全面综合,不断沟通PDCA持续改进)1)(综合)当服务变更或补充规划设计任一独立元素,都要综合考虑有关职能、管理和运营等层面问题。
数据中心运维作业安全操作手册
数据中心运维作业安全操作手册一、前言数据中心作为信息存储、处理和传输的核心设施,其稳定运行对于企业和组织的业务连续性至关重要。
在数据中心的运维作业中,确保安全操作是保障设备正常运行、保护数据安全和维护人员生命健康的关键。
本操作手册旨在为数据中心运维人员提供全面、详细且实用的安全操作指南,以降低运维作业中的风险。
二、数据中心概述(一)数据中心的组成部分数据中心通常包括服务器、存储设备、网络设备、空调系统、电力系统等关键设施。
(二)运维作业的重要性运维作业涵盖设备的安装、调试、维护、升级以及故障处理等,直接影响数据中心的性能和可靠性。
三、安全操作原则(一)人员安全第一任何操作都不应危及运维人员的生命和健康。
(二)预防为主通过规范操作流程和采取预防措施,减少事故发生的可能性。
(三)遵守法规和标准严格遵循国家和行业相关的安全法规、标准和规范。
(四)持续培训与教育确保运维人员具备必要的安全知识和技能。
四、运维人员的安全要求(一)资质与培训运维人员应具备相关的专业知识和技能,通过定期的安全培训和考核。
(二)个人防护装备根据作业环境和任务,正确佩戴安全帽、安全鞋、防护手套、护目镜等防护装备。
(三)健康状况确保身体状况良好,能够适应运维作业的强度和环境。
五、电力系统运维安全操作(一)停电操作严格按照操作流程进行停电,先断开负载,再断开电源开关,并挂上警示标识。
(二)带电作业在必须进行带电作业时,应采取绝缘防护措施,并由经验丰富的人员操作。
(三)电池维护注意电池的充放电状态,防止过充和过放,操作时避免短路。
(四)电力设备巡检定期检查电力设备的运行状态,包括温度、电压、电流等参数。
六、空调系统运维安全操作(一)制冷剂处理在处理制冷剂时,遵循相关的环保和安全规定,防止泄漏。
(二)风扇和风道维护在维护风扇和风道时,确保设备已断电,并防止异物掉入。
(三)温度和湿度控制合理设置空调系统的参数,确保数据中心的温湿度在规定范围内。
2022年第一期CCAA注册审核员复习题—ISMS信息安全管理体系含解析
2022年第一期CCAA注册审核员复习题—ISMS信息安全管理体系一、单项选择题1、不属于WEB服务器的安全措施的是()A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码2、以下哪项不属于脆弱性范畴?()A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯3、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、许可制度D、备案制度4、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年5、当发现不符合项时,组织应对不符合做出反应,适用时()。
A、采取措施,以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生6、《信息安全管理体系认证机构要求》中規定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対7、设置防火墙策略是为了()A、进行访问控制B、进行病毒防范C、进行邮件内容过滤D、进行流量控制8、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统9、组织应()。
A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级10、主动式射频识别卡(RFID)存在哪一种弱点?()A、会话被劫持B、被窃听C、存在恶意代码D、被网络钓鱼攻击DR11、加密技术可以保护信息的()A、机密性B、完整性C、可用性D、A+B12、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷13、关于信息安全管理中的“脆弱性”,以下正确的是:()A、脆弱性是威胁的一种,可以导致信息安全风险B、网络中“钓鱼”软件的存在,是网络的脆弱性C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性D、以上全部14、依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的()严格保密,不得泄露、出售或非法向他人提供。
数据中心作业安全操作手册
数据中心作业安全操作手册数据中心是企业信息化建设的核心基础设施,承载着大量的关键业务和数据。
为了确保数据中心的稳定运行,保障人员和设备的安全,特制定本安全操作手册。
一、人员安全1、进入数据中心前,所有人员必须接受安全培训,了解数据中心的布局、设备分布、紧急出口位置以及安全注意事项。
2、佩戴个人防护装备,如安全帽、安全鞋、防护眼镜等。
进入静电敏感区域时,还需穿戴防静电服和防静电手环。
3、严禁在数据中心内奔跑、嬉戏、打闹,保持安静和有序。
4、遵守数据中心的工作时间安排,非工作时间未经授权不得擅自进入。
二、设备操作安全1、操作人员必须熟悉所操作设备的性能、操作方法和安全注意事项。
2、在操作设备前,检查设备的外观是否完好,电源线、数据线是否连接正常。
3、按照设备的操作规程进行操作,严禁违规操作。
例如,在关闭服务器时,应按照正确的顺序依次关闭相关服务和系统。
4、对于新设备或不熟悉的设备,应先阅读操作手册和相关文档,在专业人员的指导下进行操作。
三、电气安全1、数据中心内的电气设备必须符合国家安全标准,并定期进行维护和检测。
2、严禁私自拆卸、改装电气设备,如需维修应由专业电工进行。
3、避免过载使用电源插座,不得使用损坏的电源线和插头。
4、在进行电气操作时,必须先切断电源,并悬挂“禁止合闸”的标识牌。
四、消防安全1、数据中心内应配备充足的消防器材,如灭火器、消火栓等,并定期进行检查和维护,确保其处于良好状态。
2、严禁在数据中心内吸烟、使用明火或乱扔易燃物品。
3、定期进行消防演练,使工作人员熟悉火灾报警、灭火和疏散的程序和方法。
4、保持消防通道畅通,不得堆放杂物或堵塞通道。
五、环境安全1、数据中心的温度、湿度应控制在规定范围内,定期检查空调系统的运行情况,确保环境条件符合设备要求。
2、保持数据中心内的清洁卫生,定期清理灰尘和杂物,防止灰尘进入设备影响运行。
3、对数据中心的门禁系统进行严格管理,非授权人员不得进入。
售后技术服务规范手册
售后技术服务规范手册目录- 介绍- 责任和义务- 工作流程- 技术支持- 售后服务- 反馈和改进- 结论介绍本手册旨在规范售后技术服务的执行,确保高质量的技术支持和满意的售后服务。
售后技术服务是我们公司为客户提供的重要服务,因此需要按照一定的规范和流程进行操作。
责任和义务- 我们的售后团队有责任提供准确、及时的技术支持。
- 我们的技术支持人员应保持专业和友善的态度,以满足客户的需求。
- 我们的客户有权获得符合合同约定的技术支持和售后服务。
工作流程1. 客户提交技术支持请求。
2. 技术支持团队收到请求后,尽快进行初步评估。
3. 技术支持团队根据评估结果,确定解决方案和所需资源。
4. 技术支持团队与客户联系,共享解决方案和资源需求。
5. 执行解决方案,并跟进解决过程,确保技术问题得到解决。
6. 技术支持团队记录解决方案和执行过程,以备后续参考。
技术支持- 技术支持团队应提供客户所需的技术信息和咨询。
- 技术支持团队应及时响应客户的问题和请求。
- 技术支持团队应保持与客户的有效沟通,以便更好地理解和解决技术问题。
售后服务- 售后服务团队应跟踪解决方案的执行情况,并确认问题是否被完全解决。
- 售后服务团队应了解客户的满意度,并及时解决客户的意见、反馈和投诉。
- 售后服务团队应定期与客户联系,了解他们的需求,并提供适当的支持和建议。
反馈和改进- 技术支持和售后团队应定期进行反馈和改进的会议,总结经验和教训。
- 根据客户的反馈和建议,技术支持和售后团队应及时进行改进和优化。
- 技术支持和售后团队应关注市场变化和行业趋势,不断提升服务质量和效率。
结论本手册旨在确保我们的售后技术服务规范,并为客户提供卓越的技术支持和售后服务。
只有通过规范的流程和持续的改进,我们才能够满足客户的需求并保持市场竞争力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
学习资料全球技术服务部服务交付安全手册文档版本V3.0发布日期2020-06-07学习资料修订记录目录1 目的与范围 (4)1.1目的 (4)1.2范围 (4)2 服务交付安全规范 (5)2.1物理与环境的安全 (5)2.2通信和操作安全 (6)2.3访问控制 (7)2.4信息系统开发与维护 (8)2.5其它 (9)3 责任与处罚 (10)3.1处罚原则 (10)3.2违规等级 (10)4 管理者责任 (12)1 目的与范围1.1 目的1.1.1 落实全球网络安全委员会(GNSC)确保客户网络运营安全的要求。
1.1.2 规范员工服务行为,提高员工服务交付安全意识,确保服务过程中客户信息和资产的安全。
1.2 范围本手册旨在说明具体的安全控制规定,有关规定适用于华为技术有限公司及其子公司、分公司、其他关联公司以及分包商和代理商在服务交付活动中的客户信息和资产的安全管理。
2 服务交付安全规范本手册以ISO27001为参考标准,结合GTS交付与服务相关业务场景,在《全球技术服务部安全生产手册V2.0》基础上优化而成。
ISO27001标准包括以下主要模块:2.1 物理与环境的安全2.1.1 进出客户机房、网管中心、办公区域、敏感区域(如政府机关、军队等)必须遵从客户或机构的管理规定;华为自建的NOC和RNOC,应制定满足客户要求的管理规定,并严格遵守。
2.1.2 严禁泄漏站点门禁系统密码,或自配机房钥匙,如有遗失应及时上报客户并备案;对于管理服务项目,非管理服务项目从业人员进入站点要求出示客户批复的书面许可。
2.1.3 在服务过程中,严禁工程师操作客户机房中其他厂家的设备(设备搬迁项目、我司提供的配套设备、管理服务项目等其它厂家设备操作责任界面属于华为除外)。
2.1.4 对于搬迁项目,旧设备的销毁和退回需遵照客户的要求,特别应检查所有含存储介质的设备,以确保在销毁前所有敏感数据或授权软件已经被移除或安全重写。
2.1.5 从客户接收的资产,要有完整的资产信息记录,保证资产的完整性,并根据客户的要求进行历史数据的保留或维护。
2.2 通信和操作安全2.2.1 未经客户许可,不得对客户设备程序、配置文件、数据以及日志进行查询、复制、修改等操作,不得改动网络设备连接;管理服务项目按与客户达成的流程进行执行。
2.2.2 未经客户许可,不得在客户设备上安装和使用临时软件和工具,并要向客户讲解安装软件和工具可能给设备带来的危害;现场服务结束后,删除因服务需要而客户允许安装的临时软件和工具,恢复设备运行环境。
2.2.3 站点获取、射频勘测、微波勘测等过程中,对敏感区域的拍照需得到政府或军队等部门的许可。
2.2.4 未经客户事前授权,不得在客户场所内使用数码或普通相机,包括任何形式的摄像机或手机自带的相机;并确保公司区域所拍摄的照片或捕捉的的活动图像不得包含任何客户信息。
2.2.5 设备调测前,需检查设备上是否存在不相关的软件和文件。
2.2.6 调测阶段,未经客户允许不得随意增设测试账户信息和账户业务功能。
2.2.7 调测阶段建立的测试账户信息、余额修改信息等,仅在客户要求并签字确认后方可保留。
2.2.8 对于第三方设备应根据责任矩阵履行,不得随意操作或更改第三方设备,如有需要按业务流程上报。
2.2.9 不得利用客户网络做与工作无关的事,如玩网络游戏、登录与工作无关的网站。
2.2.10 对客户设备进行有风险的操作时(例如软件升级、重要硬件更换、网络结构变更等),应事先书面向客户说明,征得客户同意后,方能执行;操作内容应该基于实验室或者网络模拟数据。
2.2.11 未经客户许可,禁止随意使用个人便携设备、存储介质(例如可擦写光盘、U盘、移动硬盘等)接入客户网络,如果必须使用,接入设备和介质必须经过最新病毒库的检测,确保没有携带病毒、木马等程序。
2.2.12 提醒客户定期检查设备日志是否记录正常,并定期对设备进行系统和数据备份,备份数据需进行妥善保存;对于管理服务项目,我司工程师按维护要求进行数据备份和保存。
2.2.13 在敏感的通信保障期间(默认为重大节日、重要会议期间以及客户特殊要求时段)应避免操作客户网络设备。
2.2.14 对于存储有客户信息的设备和系统,在变更或升级过程中,确保客户的相关信息得以继承,不被删除或损坏。
2.2.15 第三方安全软件在使用时不得作出修改,如果的确有必要进行修改,须获得客户安全部门的批准。
2.3 访问控制2.3.1 设备调测过程中,应及时在已安装的服务器和终端设备上设置管理员密码,并保证密码的复杂度。
2.3.2 工程移交前,须统一修改调试用密码后再提交给客户,移交清单中包括密码的移交内容,并要求客户自行修改密码后签字确认。
2.3.3 提醒客户对操作和访问权限进行必要的限制,分权分域,最小权限原则设置;并确保每个人员有唯一的用户身份证明和密码,仅供本人使用。
2.3.4 提醒客户定期对设备所有密码进行更新,并保证密码的复杂度;定期对设备账号进行清理,清除不用的账号。
2.3.5 管理服务项目账户和密码的维护责任主体我司,应遵照2.3.3和2.3.4的设置要求。
2.3.6 接入客户维护网络时,必须设置指定的IP地址,避免IP地址冲突造成对其它设备的影响。
2.3.7 进行现场服务时,必须经过客户同意并要求客户陪同,应使用客户给予的临时账号和密码,不与他人共用账户和密码;不能超过客户预先审批过的操作范围,如有额外操作,需经客户同意才能实施。
2.3.8 现场服务结束后,应清理本次服务过程中所有增加的临时性工作内容(如删除过程数据,取消登录账号等),如果由于后续工作需要,某些临时性工作内容需要保留,必须获得客户的书面批准。
2.3.9 远程服务前必须提交远程服务申请,在申请获得客户批准后,服务工程师应要求客户以电话或加密邮件的方式提供接入设备的信息(如登录名,登录密码,登录地址,拨入号码等);如有需要,必须使用客户授权过的终端或远程维护软件接入网络。
2.3.10 远程调测或维护结束后,所创建的远程服务环境和登陆信息应及时修改或删除,并通知客户及时关闭设备侧的远程服务环境。
2.3.11 现场或远程服务结束后,需要客户在服务报告中签字确认是否已经更改登录口令。
2.3.12 在2.3.7-2.3.11的规范要求中不包括管理服务项目,管理服务项目组代表客户进行设备厂家的现场服务和远程接入的管理工作,要提前进行操作或服务方案的审核和操作过程的监督(对于重大操作要报送客户审批),不得将超级用户提供给厂家人员,在操作完成后及时清理设备账户和切断远程登录环境。
2.3.13 用于维护客户网络的设备不能登陆外网;在接入客户网络前,维护终端需要进行全面杀毒,避免病毒的引入影响网络运行。
2.3.14 在操作客户设备过程中,禁止使用服务器和维护终端连接互联网;如果必须连接,应做好安全防护措施(例如安装防火墙、VLAN隔离、安装防病毒软件、更新系统补丁、系统加固等);一旦操作过程中设备感染病毒,应当立即把被感染设备隔离,进行杀毒处理后再连接到相应网络。
2.3.15 在无线网络优化过程中,对于电子地图的应用,敏感区域的标识需进行必要的控制。
2.3.16 NOC和RNOC中心必须与公司办公网络和公网进行隔离,防止员工对维护网络未经授权的访问。
2.4 信息系统开发与维护2.4.1 网络集成项目中,站点勘测环节获取的物业信息,不得扩散和泄漏。
2.4.2 服务交付过程中涉及到站点位置、站点设备配置、组网方案、IP地址、设备口令、技术规格、KPI指标、频率资源、对接参数、业务特性、计费信息、管线信息、终端用户信息等,不得扩散和泄漏。
2.4.3 基站工程参数表、网络参数设计报告、网络规划报告、网络优化报告、监控报告、网络评估报告、验收报告和网络性能提升报告等涉及到客户的网络信息,不得扩散和泄漏。
2.4.4 在设备调测和软件升级过程中,需从合法的渠道获取软件版本。
2.4.5 不得在非客户设备上安装使用客户购买的操作系统、数据库等软件,不得将客户购买设备序列号、相关软件license信息用于非本项目用途。
2.4.6 严禁泄漏客户模拟升级数据,如需发送给相关人员,必须加密;升级过程中,需指定数据的管理责任人,升级结束后应及时删除。
2.4.7 在IT系统中创建问题单或处理问题单时,禁止填写客户业务账号和密码信息。
2.4.8 维护过程中,系统密码等重要信息应通过电话或加密邮件方式通知对方,禁止采用传真方式。
2.4.9 网络优化交付过程中,VIP体验跟踪、VIP问题处理和VIP区域网络优化所涉及的客户个人信息和跟踪消息,必须在规定的范围内使用,不得扩散和泄漏。
2.4.10 处理数据中心业务层数据时,数据迁移和维护环节涉及的信息(邮件信息、公文信息、工资人事信息等),不要私自拷贝和保留,更不能散布其中的任何信息。
2.4.11 管理服务项目中,客户报表和网络信息等文档的发送范围必须严格控制,文档需分层分级授权。
2.4.12 管理服务项目人员转移过程中,涉及客户薪酬体系、人员结构、福利待遇等信息不得扩散和泄漏。
2.4.13 由我方获得的客户个人信息,包括姓名、职位、联系方式、培训经历等信息,进行有效管理,在最小范围内使用,不得扩散和泄漏。
2.4.14 在培训案例分享过程中,应保证案例信息与运营商网络信息的一致性,禁止该运营商的网络信息在其他客户群造成泄漏。
2.5 其它2.5.1 员工(含第三方)需经过安全培训后,才能从事相关客户群的交付工作;在交付过程中,主动学习相关管理规定和安全事故案例,提高服务交付安全意识。
2.5.2 服务交付过程中发现的安全漏洞和安全风险或任何员工、分包商、供应商违反本规定,应及时上报相应的安全组织,通过组织分析决策后通知客户。
注:客户许可必须是可追溯的记录(例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一)。
3 责任与处罚3.1 处罚原则3.1.1 根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级。
3.1.2 对于一次违反多条本手册人员,按最严重的违规等级处罚。
3.1.3 对于一年内两次或两次以上违反本手册人员,在该次违规等级基础上加重一级处罚。
3.1.4 对于举报人员,公司将负责保护其个人资料不对外公开。
3.2 违规等级3.2.1 三级违规:对于违反本手册,性质较轻,没有造成安全事故或客户投诉的。
违规行为举例(包括但不限于):1)设备正式移交客户前或完成技术服务后,未正式要求客户自行修改帐号、密码,或未与客户正式签字确认“修改帐号、密码”事宜。
2)设备正式移交客户时或完成技术服务后,未清除测试账户、测试数据、远程接入配置等。
3)未经客户正式许可,擅自建立远程接入环境;远程服务结束后,未及时取消远程接入环境。