F4-C-行政部-005-V1.0-設(shè)備管理規(guī)定

【設(shè)備管理規(guī)定】F4-C-行政部-005-V1.0第頁設(shè)備管理規(guī)定目錄TOC\o"1-3"\h\z1. 目的和范圍 42. 引用文件 43. 職責(zé)和權(quán)限 44. 設(shè)備管理流程 44.1. 設(shè)備資產(chǎn)統(tǒng)計(jì) 44.2. 設(shè)備入網(wǎng) 44.3. 設(shè)備安置與保護(hù) 54.3.1信息設(shè)備安裝管理 54.3.2支持性設(shè)施安置管理 54.3.3線纜安全 54.4. 設(shè)備移動(dòng) 54.5. 維護(hù)、保養(yǎng) 64.6. 設(shè)備處置 64.7.無人值守的用戶設(shè)備 64.8.清空桌面和屏幕 75. 筆記本電腦管理規(guī)定 76. 實(shí)施策略 77. 相關(guān)記錄 7

目的和范圍本制度是對(duì)信息資產(chǎn)分類中物理資產(chǎn)下的硬件設(shè)備的規(guī)劃、購(gòu)置、安裝、驗(yàn)收、使用、維護(hù)、處置等各階段進(jìn)行有效控制，在保證設(shè)備安全的前提下最大限度發(fā)揮設(shè)備的效能，同時(shí)減少由于設(shè)備入網(wǎng)造成的安全風(fēng)險(xiǎn)。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限服務(wù)部：負(fù)責(zé)信息設(shè)備的使用、維護(hù)、處置。信息設(shè)備指IT建設(shè)方面所需的硬件設(shè)備。設(shè)備管理流程設(shè)備資產(chǎn)統(tǒng)計(jì)服務(wù)部負(fù)責(zé)IT設(shè)備的統(tǒng)計(jì)，并更新完善《運(yùn)營(yíng)硬件固定資產(chǎn)清單庫》。運(yùn)營(yíng)設(shè)備入網(wǎng)需按設(shè)備本身提供的設(shè)備安全操作說明進(jìn)行正確操作和使用，設(shè)備在日常使用過程中應(yīng)注意安全。服務(wù)部負(fù)責(zé)對(duì)入網(wǎng)的設(shè)備在獨(dú)立的測(cè)試環(huán)境中進(jìn)行測(cè)試，通過后可以入網(wǎng)。設(shè)備入網(wǎng)前應(yīng)對(duì)設(shè)備進(jìn)行安全加固。對(duì)入網(wǎng)系統(tǒng)進(jìn)行一段時(shí)間的監(jiān)控，以觀察入網(wǎng)是否生效。如果發(fā)現(xiàn)問題,要及時(shí)進(jìn)行處理,必要時(shí)要尋求供應(yīng)商的協(xié)助。監(jiān)控一段時(shí)間后，設(shè)備擔(dān)當(dāng)組織人員進(jìn)行驗(yàn)收，并通知信息安全工作小組對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。設(shè)備安置與保護(hù)4.3.1信息設(shè)備安裝管理信息設(shè)備的安置應(yīng)按照設(shè)備制造商的說明，安置工作由專業(yè)人員進(jìn)行。信息設(shè)備安置要選擇能夠避免或減少未授權(quán)訪問的物理場(chǎng)所，應(yīng)采取措施以減小潛在的物理威脅的風(fēng)險(xiǎn)。安置在室外的信息設(shè)備要注意防盜、防雨、防雷、防塵、防腐蝕等工作。4.3.2支持性設(shè)施安置管理行政部負(fù)責(zé)信息設(shè)備支持性設(shè)施的管理工作，包括提供、維護(hù)、維修等。4.3.3線纜安全網(wǎng)絡(luò)系統(tǒng)進(jìn)入與業(yè)務(wù)相關(guān)的信息設(shè)備的電源和電信線路鋪設(shè)在線槽中。建有冗余線路或留有可替換線路，以保障線路的可用性。設(shè)備移動(dòng)辦公場(chǎng)所及受控環(huán)境以外嚴(yán)禁放置服務(wù)器、交換機(jī)、電腦等信息設(shè)備。一級(jí)設(shè)備（參見《硬件資產(chǎn)分級(jí)管理制度》）未經(jīng)主管審批及法務(wù)蓋章不得帶離公司。如需要供應(yīng)商將設(shè)備移出辦公區(qū)域物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不可訪問或獲取。離開建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專人看護(hù)和保管，不允許無人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防止損壞、盜竊等事件發(fā)生。維護(hù)、保養(yǎng)電腦設(shè)備的維修應(yīng)上報(bào)行政部，由行政部聯(lián)系廠商上門維護(hù)；打印機(jī)的定期維護(hù)工作由行政部直接聯(lián)系廠商上門維護(hù)。設(shè)備處置固定資產(chǎn)回收及報(bào)廢流程按照行政部的報(bào)廢流程流轉(zhuǎn)處理。信息設(shè)備在處置過程中須考慮信息安全。對(duì)于因閑置、人員離辭或設(shè)備換代等原因不再使用的信息設(shè)備，特別是個(gè)人電腦，在設(shè)備歸還前，工作信息和個(gè)人信息要?jiǎng)h除或做系統(tǒng)格式化處理，以確保在設(shè)備重用時(shí)，重用者不會(huì)獲得與其工作無關(guān)的內(nèi)容。無人值守的用戶設(shè)備對(duì)于無人值守的用戶設(shè)備必須設(shè)置自動(dòng)屏保程序，同時(shí)要求用戶在離開時(shí)將屏幕鎖定。當(dāng)?shù)卿浀揭粋€(gè)系統(tǒng)完成任務(wù)，或長(zhǎng)時(shí)間不使用時(shí)要從系統(tǒng)注銷。終端暫時(shí)不用時(shí)，應(yīng)使用密碼屏幕保護(hù)安全，長(zhǎng)時(shí)間不用時(shí)要關(guān)閉計(jì)算機(jī)。清空桌面和屏幕所有工作站和服務(wù)器，必須設(shè)置有口令的屏幕保護(hù)，時(shí)間小于5分鐘，口令長(zhǎng)度最少為8位。清空桌面和屏幕的目的是降低未經(jīng)授權(quán)存取信息、遺失或損壞信息的風(fēng)險(xiǎn)。如有可能，特別是下班后，將文件鎖在柜子里。電腦終端在無人使用時(shí)要求有口令、口令鎖或其它的保護(hù)措施。無人照看的傳真要加以保護(hù)；敏感或機(jī)密信息傳真過來時(shí)，應(yīng)提前守候。敏感或機(jī)密信息打印出來后要馬上從打印機(jī)上拿走。筆記本電腦管理規(guī)定參見《個(gè)人電腦和存儲(chǔ)設(shè)備分類分級(jí)管理規(guī)定》。實(shí)施策略設(shè)備管理規(guī)定涉及到《運(yùn)營(yíng)固定資產(chǎn)管理規(guī)定》、《辦公固定資產(chǎn)管理規(guī)定》。本制度相關(guān)修改及解釋權(quán)屬于總經(jīng)辦文檔編號(hào)（由總經(jīng)辦填寫）F4-C-總經(jīng)辦-005-V1.0密級(jí)內(nèi)部公開文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期2017/07/01文檔起草人簽字：日期：2017/07/01文檔修訂人：簽字：日期：修訂說明：備注：文檔負(fù)