文档介绍:全球技术服务部服务交付安全手册
文档版本
发布日期
2017-11-12
***有限公司
修订记录
日期
拟制/修订责任人
修订版本
修改描述
审核人
批准人
2007-09-04
GTS信管办
初次拟制
皮光焰
李杰
2008-10-15
GTS信管办
1)删除了客户设备安全管理准则中相关性较小的条款。
2)增加客户设备信息安全要求,将工程安全生产、技术支持安全生产纳入这一部分。
3)增加了责任与奖惩、管理者责任、奖惩部门三部分内容。
皮光焰
李杰
2010-11-30
张红华
1)结构变化:客户设备安全管理准则、客户设备信息安全要求两部分变更为物理与环境的安全、通信和操作的安全、访问控制、信息系统开发与维护、其它五部分。
2)根据业务场景,增加了管理服务、网规网优、网络集成和客户培训等安全活动。
3)根据一线客户的安全需求,增加相应的安全活动。
4)删除奖励部分和部分处罚内容。
5)更改手册名称:《全球技术服务部安全生产手册》更改为《全球技术服务部服务交付安全手册》。
陆宝强
姚福海
目录
1 目的与范围 4
目的 4
范围 4
2 服务交付安全规范 5
物理与环境的安全 5
通信和操作安全 6
访问控制 7
信息系统开发与维护 8
其它 10
3 责任与处罚 11
处罚原则 11
违规等级 11
4 管理者责任 13
目的与范围
目的
落实全球网络安全委员会(GNSC)确保客户网络运营安全的要求。
规范员工服务行为,提高员工服务交付安全意识,确保服务过程中客户信息和资产的安全。
范围
本手册旨在说明具体的安全控制规定,有关规定适用于***有限公司及其子公司、分公司、其他关联公司以及分包商和代理商在服务交付活动中的客户信息和资产的安全管理。
服务交付安全规范
本手册以ISO27001为参考标准,结合GTS交付与服务相关业务场景,在《》基础上优化而成。
ISO27001标准包括以下主要模块:
物理与环境的安全
进出客户机房、网管中心、办公区域、敏感区域(如政府机关、军队等)必须遵从客户或机构的管理规定;华为自建的NOC和RNOC,应制定满足客户要求的管理规定,并严格遵守。
严禁泄漏站点门禁系统密码,或自配机房钥匙,如有遗失应及时上报客户并备案;对于管理服务项目,非管理服务项目从业人员进入站点要求出示客户批复的书面许可。
在服务过程中,严禁工程师操作客户机房中其他厂家的设备(设备搬迁项目、我司提供的配套设备、管理服务项目等其它厂家设备操作责任界面属于华为除外)。
对于搬迁项目,旧设备的销毁和退回需遵照客户的要求,特别应检查所有含存储介质的设备,以确保在销毁前所有敏感数据或授权软件已经被移除或安全重写。
从客户接收的资产,要有完整的资产信息记录,保证资产的完整性,并根据客户的要求进行历史数据的保留或维护。
通信和操作安全
未经客户许可,不得对客户设备程序、配置文件、数据以及日志进行查询、复制、修改等操作,不得改动网络设备连接;管理服务项目按与客户达成的流程进行执行。
未经客户许可,不得在客户设备上安装和使用临时软件和工具,并要向客户讲解安装软件和工具可能给设备带来的危害;现场服务结束后,删除因服务需要而客户允许安装的临时软件和工具,恢复设备运行环境。
站点获取、射频勘测、微波勘测等过程中,对敏感区域的拍照需得到政府或军队等部门的许可。
未经客户事前授权,不得在客户场所内使用数码或普通相机,包括任何形式的摄像机或手机自带的相机;并确保公司区域所拍摄的照片或捕捉的的活动图像不得包含任何客户信息。
设备调测前,需检查设备上是否存在不相关的软件和文件。
调测阶段,未经客户允许不得随意增设测试账户信息和账户业务功能。
调测阶段建立的测试账户信息、余额修改信息等,仅在客户要求并签字确认后方可保留。
对于第三方设备应根据责任矩阵履行,不得随意操作或更改第三方设备,如有需要按业务流程上报。
不得利用客户网络做与工作无关的事,如玩网络游戏、登录与工作无关的网站。
对客户设备进行有风险的操作时(例如软件升级、重要硬件更换、网络结构变更等),应事先书面向客户说明,征得客户同意后,方能执行;操作内容应该基于实验室或者网络模拟数据。
未经客户许可,禁止随意使用个人便携设备、存储介质(例如可擦写光盘、U盘、移动硬盘等)接入客户网络,如果必须使用,接入设备和介质必须经过最新病毒库的检测,确保没有携带病毒、木马等程序。
提醒客户定期检查设备日志是否记录正常,并