- 目錄
第1篇 信息技術設備物理與環(huán)境安全管理規(guī)定
第一章 總則
第一條 目的:為了適應公司物理與環(huán)境安全管理的需要,保障公司生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條 依據:本管理辦法根據《信息安全管理策略》制訂。
第三條 范圍:本管理辦法適用于公司。
第二章 基本要求
第四條 公司員工應根據公司運營需要對資產進行保護。公司的資產保護要求通過完成以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到公司的有效控制。
(二)減少擅自訪問或損壞或影響公司控制的資產的風險。
(三)防止公司控制的資產被人擅自刪除或移動。
第五條 安全控制措施包括以下各項:
(一)公司的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)公司的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條 公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。
第七條 安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。
第八條 物理安全邊界
所有進入公司安全區(qū)域的人員都需經過授權,公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第九條 安全區(qū)域出入控制措施
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。
(三)公司工作人員的控制措施
1、公司工作人員都必須在顯眼處佩帶胸卡;
2、公司工作人員調離公司時,其實際進入權也同時相應取消;
(四)審查訪問
信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第十條 交接區(qū)安全
(一)公司應設立交接區(qū),同時:
1、向公司發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。
第四章 設備安全
第十一條 設備安置與保護
(一)公司中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;
9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。
第十二條 支持性設施
(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調)來支持系統(tǒng)。支持性設施應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。
(三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。
(四)要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。
(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。
(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。
第十三條 電纜安全
(一)敷設到公司內各個區(qū)域的電纜線的保護方式如下:
1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;
2、網絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;
3、為了防止干擾,電源電纜要與通信電纜分開;
4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網絡電纜的意外配線;
5、使用文件化配線列表減少失誤的可能性;
6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括:
(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
(2)使用可替換的路由選擇和/或傳輸介質,以提供適當的安全措施;
(3)使用纖維光纜;
(4)使用電磁防輻射裝置保護電纜;
(5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查;
(6)控制對配線盤和電纜室的訪問;
第十四條 設備維護
(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。
(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。
(三)只有已授權的維護人員才可對設備進行修理和服務
(四)原則上應保存所有維護記錄
(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;
(六)設備資產的管理部門和人事部應當向外包維護單位索取維護計劃和記錄。
(七)設備資產的管理部門和人事部定期審核維護記錄和計劃。
(八)當對設備安排維護時,應實施適當的控制,要考慮維護是由內部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;
(九)應遵守由保險策略所施加的所有要求。
第十五條 場外設備的安全
(一)離開辦公場所的設備的保護應考慮下列措施:
1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;
2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內;
3、家庭工作的控制措施應根據風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;
4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。
第十六條 設備的安全處置與重新使用
(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。
(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數據的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。
(三)為保證信息安全,必須在處理介質前擦除有關的敏感信息:
1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。
2、公司內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀。
3、磁帶和磁盤必須在處置前實際銷毀和核對。
4、數據存儲光盤應在處置前實際銷毀。
(四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》,經部門負責人同意后,方可進行處置。并記錄在《信息介質處置記錄表》,留待審計時備查。
第十七條 設備的移動
(一)應考慮如下措施:
1、在未經事先授權的情況下,不應讓設備、信息或軟件離開辦公場所;
2、明確識別有權允許資產移動,離開辦公場所的雇員、承包方人員和第三方人員;
3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;
4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。
(二)應執(zhí)行檢測未授權資產移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。
第五章 附則
第十八條 本管理辦法由信息部負責解釋和修訂。
第十九條 本管理辦法自發(fā)布之日起施行。
第2篇 物理與環(huán)境安全管理辦法
第一章 總則
第一條?目的:為了適應__銀行(以下簡稱我行)物理與環(huán)境安全管理的需要,保障我行生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條?依據:本管理辦法根據《__銀行信息安全管理策略》制訂。
第三條?范圍:本管理辦法適用于我行及所轄分、支行。
第二章?基本要求
第四條?我行員工應根據我行運營需要對資產進行保護。我行的資產保護要求通過完成以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到我行的有效控制。
(二)減少擅自訪問或損壞或影響我行控制的資產的風險。
(三)防止我行控制的資產被人擅自刪除或移動。
第五條?安全控制措施包括以下各項:
(一)我行的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)我行的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條?我行的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。
第七條?安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。
第八條?物理安全邊界
所有進入我行安全區(qū)域的人員都需經過授權,我行員工之外的人員進入我行安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第九條?安全區(qū)域出入控制措施
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴我行發(fā)出的臨時出入卡或訪客證。
(三)我行工作人員的控制措施
1、我行工作人員都必須在顯眼處佩帶胸卡;
2、我行工作人員調離我行時,其實際進入權也同時相應取消;
(四)審查訪問
科技信息部應定期(每三個月)審查訪問我行中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第十條?交接區(qū)安全
(一)我行應設立交接區(qū),同時:
1、向我行發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。
第四章 設備安全
第十一條?設備安置與保護
(一)我行中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
第3篇 物理與環(huán)境安全管理辦法范本
第一章 總則
第一條目的:為了適應__銀行(以下簡稱我行)物理與環(huán)境安全管理的需要,保障我行生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條依據:本管理辦法根據《__銀行信息安全管理策略》制訂。
第三條范圍:本管理辦法適用于我行及所轄分、支行。
第二章基本要求
第四條我行員工應根據我行運營需要對資產進行保護。我行的資產保護要求通過完成以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到我行的有效控制。
(二)減少擅自訪問或損壞或影響我行控制的資產的風險。
(三)防止我行控制的資產被人擅自刪除或移動。
第五條安全控制措施包括以下各項:
(一)我行的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)我行的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條我行的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。
第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。
第八條物理安全邊界
所有進入我行安全區(qū)域的人員都需經過授權,我行員工之外的人員進入我行安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第九條安全區(qū)域出入控制措施
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴我行發(fā)出的臨時出入卡或訪客證。
(三)我行工作人員的控制措施
1、我行工作人員都必須在顯眼處佩帶胸卡;
2、我行工作人員調離我行時,其實際進入權也同時相應取消;
(四)審查訪問
科技信息部應定期(每三個月)審查訪問我行中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第十條交接區(qū)安全
(一)我行應設立交接區(qū),同時:
1、向我行發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。
第四章 設備安全
第十一條設備安置與保護
(一)我行中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;
9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。
第十二條支持性設施
(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調)來支持系統(tǒng)。支持性設施應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。
(三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。
(四)要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。
(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。
(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。
第十三條電纜安全
(一)敷設到我行內各個區(qū)域的電纜線的保護方式如下:
1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;
2、網絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;
3、為了防止干擾,電源電纜要與通信電纜分開;
4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網絡電纜的意外配線;
5、使用文件化配線列表減少失誤的可能性;
6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括:
(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
(2)使用可替換的路由選擇和/或傳輸介質,以提供適當的安全措施;
(3)使用纖維光纜;
(4)使用電磁防輻射裝置保護電纜;
(5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查;
(6)控制對配線盤和電纜室的訪問;
第十四條設備維護
(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。
(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。
(三)只有已授權的維護人員才可對設備進行修理和服務
(四)原則上應保存所有維護記錄
(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;
(六)設備資產的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄。
(七)設備資產的管理部門和行政服務公司定期審核維護記錄和計劃。
(八)當對設備安排維護時,應實施適當的控制,要考慮維護是由內部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;
(九)應遵守由保險策略所施加的所有要求。
第十五條場外設備的安全
(一)離開辦公場所的設備的保護應考慮下列措施:
1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;
2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內;
3、家庭工作的控制措施應根據風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;
4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。
第十六條設備的安全處置與重新使用
(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。
(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數據的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。
(三)為保證信息安全,必須在處理介質前擦除有關的敏感信息:
1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。
2、我行內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀。
3、磁帶和磁盤必須在處置前實際銷毀和核對。
4、數據存儲光盤應在處置前實際銷毀。
(四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》,經部門負責人同意后,方可進行處置。并記錄在《信息介質處置記錄表》,留待審計時備查。
第十七條設備的移動
(一)應考慮如下措施:
1、在未經事先授權的情況下,不應讓設備、信息或軟件離開辦公場所;
2、明確識別有權允許資產移動,離開辦公場所的雇員、承包方人員和第三方人員;
3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;
4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。
(二)應執(zhí)行檢測未授權資產移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。
第五章 附則
第十八條本管理辦法由科技信息部負責解釋和修訂。
第十九條本管理辦法自發(fā)布之日起施行。
第4篇 信息技術設備物理與環(huán)境安全管理辦法
第一章 總則
第一條?目的:為了適應公司物理與環(huán)境安全管理的需要,保障公司生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條?依據:本管理辦法根據《公司信息安全管理策略》制訂。
第三條?范圍:本管理辦法適用于公司。
第二章?基本要求
第四條?公司員工應根據公司運營需要對資產進行保護。公司的資產保護要求通過完成以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到公司的有效控制。
(二)減少擅自訪問或損壞或影響公司控制的資產的風險。
(三)防止公司控制的資產被人擅自刪除或移動。
第五條?安全控制措施包括以下各項:
(一)公司的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)公司的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條?公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。
第七條?安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。
第八條?物理安全邊界
所有進入公司安全區(qū)域的人員都需經過授權,公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第九條?安全區(qū)域出入控制措施
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。
(三)公司工作人員的控制措施
1、公司工作人員都必須在顯眼處佩帶胸卡;
2、公司工作人員調離公司時,其實際進入權也同時相應取消;
(四)審查訪問
科技信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第十條?交接區(qū)安全
(一)公司應設立交接區(qū),同時:
1、向公司發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。
第四章 設備安全
第十一條?設備安置與保護
(一)公司中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;
9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。
第十二條?支持性設施
(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調)來支持系統(tǒng)。支持性設施應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。
(三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。
(四)要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。
(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。
(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。
第十三條?電纜安全
(一)敷設到公司內各個區(qū)域的電纜線的保護方式如下:
1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;
2、網絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;
3、為了防止干擾,電源電纜要與通信電纜分開;
4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網絡電纜的意外配線;
5、使用文件化配線列表減少失誤的可能性;
6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括:
(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
(2)使用可替換的路由選擇和/或傳輸介質,以提供適當的安全措施;
(3)使用纖維光纜;
(4)使用電磁防輻射裝置保護電纜;
(5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查;
(6)控制對配線盤和電纜室的訪問;
第十四條?設備維護
(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。
(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。
(三)只有已授權的維護人員才可對設備進行修理和服務
(四)原則上應保存所有維護記錄
(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;
(六)設備資產的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄。
(七)設備資產的管理部門和行政服務公司定期審核維護記錄和計劃。
(八)當對設備安排維護時,應實施適當的控制,要考慮維護是由內部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;
(九)應遵守由保險策略所施加的所有要求。
第十五條?場外設備的安全
(一)離開辦公場所的設備的保護應考慮下列措施:
1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;
2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內;
3、家庭工作的控制措施應根據風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;
4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。
第十六條?設備的安全處置與重新使用
(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。
(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數據的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。
(三)為保證信息安全,必須在處理介質前擦除有關的敏感信息:
1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。
2、公司內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀。
3、磁帶和磁盤必須在處置前實際銷毀和核對。
4、數據存儲光盤應在處置前實際銷毀。
(四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》,經部門負責人同意后,方可進行處置。并記錄在《信息介質處置記錄表》,留待審計時備查。
第十七條?設備的移動
(一)應考慮如下措施:
1、在未經事先授權的情況下,不應讓設備、信息或軟件離開辦公場所;
2、明確識別有權允許資產移動,離開辦公場所的雇員、承包方人員和第三方人員;
3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;
4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。
(二)應執(zhí)行檢測未授權資產移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。
第五章 附則
第十八條?本管理辦法由科技信息部負責解釋和修訂。
第十九條?本管理辦法自發(fā)布之日起施行。
第5篇 建筑物物理安全管理程序
1.0 目的:本程序的目的是使各建筑物、大門、圍墻及門窗等得到有效的管理,防止損壞失修,及公司貨物被盜竊,以確保所有產品、物料和人員處于安全的儲存環(huán)境。
2.0 范圍:本程序適用于我公司各建筑物、大門、圍墻及門窗等實體的管理活動。
3.0 職責:
1)行政部:負責各建筑物、大門、圍墻的管理;
2)各部門主管人員負責各自部門的門窗管理安排。
4.0 程序
4.1 窗戶的開、關
4.1.1 窗戶的開關必須由指定人員負責,在車間內依工作位的就近原則來劃分各組長的責任區(qū)域,明確各自職責。
4.1.2 上班可按天氣的或車間內的空氣狀況決定是否對窗戶的開啟,可由就近員工對該窗開啟,下班時各生產組長必須對管轄區(qū)域內的窗戶進行檢查,將窗關好并上插銷后方可離開車間。
4.1.3 如所管轄區(qū)域內的組長請假或離職,部門主任應立即安排指定人員進行對該區(qū)域內的窗戶進行管理(開、關)。
4.2 車間大門
4.2.1 所有大門的鎖匙應由該部門的主任或主管持有,不得隨意擺放,并對部門內的大門上班開鎖及下班關閉,確保大門處于安全的狀態(tài)。
4.2.2 部門主任和主管不得同時請假或脫離對管轄部門的管理,如出現(xiàn)該特殊情況,部門的大門鎖匙應由行政部安排,由安保經理或指定人員進行監(jiān)管。
4.2.3 所有大門的鎖具在下列任何一種情況下應當進行更換:
a) 鎖具使用期已超過一年或老化;
b) 鎖具出現(xiàn)損壞;
c) 主任或主管其中之一調任該部門或離職;
d) 主任或主管丟失鎖匙;
4.3 建筑物、公司大門和圍墻管
4.3.1 行政部應指派人員專門負責對各建筑物、圍墻的管理,每個月定期檢查各建筑物和圍墻的狀況,以確保各建筑物和圍墻的完整、安全,確保公司財產、貨物和人員的安全;
4.3.2 建筑物、圍墻如有破損應立即上報,并在規(guī)定的期限內修復;
4.3.3 公司大門由保安負責管理,每天值班的保安人員都應檢查大門狀況,如有破損,應盡快聯(lián)系行政部派人修復,以確保公司安全。
第6篇 信息科技物理環(huán)境安全管理辦法
第一章 總則
第一條 目的:為了適應__農村商業(yè)銀行(以下簡稱我行)物理與環(huán)境安全管理的需要,保障我行生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條 依據:本管理辦法依據《__農村商業(yè)銀行信息安全管理策略》制定。
第三條 范圍:本管理辦法適用于我行及所轄分支行。
第二章 基本要求
第四條 我行員工應根據我行運營需要對資產進行保護。我行的資產保護要求通過以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到我行的有效控制。
(二)減少擅自訪問或損壞影響我行控制的資產的風險。
(三)防止我行控制的資產被人擅自刪除或移動。
第五條 安全控制措施包括以下各項:
(一)我行的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)我行的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條 我行的安全區(qū)域包括中心機房、檔案室、終端設備存放室、網絡設備存放室、領導辦公室、公共辦公區(qū)、來訪接待區(qū)。
第七條 物理安全邊界 所有進入我行安全區(qū)域的人員都需經過授權,我行員工之外的人員進入我行安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第八條 安全區(qū)域出入控制措施:
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴我行發(fā)出的臨時出入卡或訪客證。
(三)我行工作人員的控制措施
1、我行工作人員都必須在顯眼處佩帶胸卡;
2、我行工作人員調離我行時,其實際進入權也同時相應取消;
(四)審查訪問
科技信息部應定期(每三個月)審查訪問我行中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第九條 交接區(qū)安全
(一)我行應設立交接區(qū),同時:
1、向我行發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在危害。
第四章 設備安全
第十條 設備安置與保護
(一)我行中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;
9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。
第十一條 支持性設施
(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調)來支持系統(tǒng)。支持性設施應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源 (ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。 (三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。
(四)要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。
(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。
(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。
第十二條 電纜安全
(一)敷設到我行內各個區(qū)域的電纜線的保護方式如下:
1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;
2、網絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;
3、為了防止干擾,電源電纜要與通信電纜分開;
4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網絡電纜的意外配線;
5、使用文件化配線列表減少失誤的可能性;
6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括: (1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子; (2)使用可替換的路由選擇和/或傳輸介質,以提供適當的安全措施; (3)使用纖維光纜; (4)使用電磁防輻射裝置保護電纜; (5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查; (6)控制對配線盤和電纜室的訪問;
第十三條 設備維護
(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。
(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。 (三)只有已授權的維護人員才可對設備進行修理和服務
(四)原則上應保存所有維護記錄
(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;
(六)設備資產的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄。
(七)設備資產的管理部門和行政服務公司定期審核維護記錄和計劃。
(八)當對設備安排維護時,應實施適當的控制,要考慮維護是由內部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;
(九)應遵守由保險策略所施加的所有要求。
第十四條 場外設備的安全
(一)離開辦公場所的設備的保護應考慮下列措施:
1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;
2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內;
3、家庭工作的控制措施應根據風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;
4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。
第十五條 設備的安全處置與重新使用
(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。
(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數據的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。
(三)為保證信息安全,必須在處理介質前擦除有關的敏感信息: 1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。 2、我行內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀。 3、磁帶和磁盤必須在處置前實際銷毀和核對。 4、數據存儲光盤應在處置前實際銷毀。
(四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》,經部門負責人同意后,方可進行處置。并記錄在《信息介質處置記錄表》,留待審計時備查。
第十六條 設備的移動
(一)應考慮如下措施: 1、在未經事先授權的情況下,不應讓設備、信息或軟件離開辦公場所; 2、明確識別有權允許資產移動,離開辦公場所的雇員、承包方人員和第三方人員; 3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查; 4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。
(二)應執(zhí)行檢測未授權資產移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。
第五章 附則
第十七條 本管理辦法由電子銀行部負責解釋和修訂。
第十八條 本管理辦法自發(fā)布之日起施行。
第7篇 信息技術設備物理環(huán)境安全管理辦法
第一章 總則
第一條目的:為了適應公司物理與環(huán)境安全管理的需要,保障公司生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條依據:本管理辦法根據《公司信息安全管理策略》制訂。
第三條范圍:本管理辦法適用于公司。
第二章基本要求
第四條公司員工應根據公司運營需要對資產進行保護。公司的資產保護要求通過完成以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到公司的有效控制。
(二)減少擅自訪問或損壞或影響公司控制的資產的風險。
(三)防止公司控制的資產被人擅自刪除或移動。
第五條安全控制措施包括以下各項:
(一)公司的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)公司的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。
第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。
第八條物理安全邊界
所有進入公司安全區(qū)域的人員都需經過授權,公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第九條安全區(qū)域出入控制措施
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。
(三)公司工作人員的控制措施
1、公司工作人員都必須在顯眼處佩帶胸卡;
2、公司工作人員調離公司時,其實際進入權也同時相應取消;
(四)審查訪問
科技信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第十條交接區(qū)安全
(一)公司應設立交接區(qū),同時:
1、向公司發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。
第四章 設備安全
第十一條設備安置與保護
(一)公司中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;
9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。
第十二條支持性設施
(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調)來支持系統(tǒng)。支持性設施應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。
(三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。
(四)要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。
(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。
(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。
第十三條電纜安全
(一)敷設到公司內各個區(qū)域的電纜線的保護方式如下:
1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;
2、網絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;
3、為了防止干擾,電源電纜要與通信電纜分開;
4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網絡電纜的意外配線;
5、使用文件化配線列表減少失誤的可能性;
6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括:
(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
(2)使用可替換的路由選擇和/或傳輸介質,以提供適當的安全措施;
(3)使用纖維光纜;
(4)使用電磁防輻射裝置保護電纜;
(5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查;
(6)控制對配線盤和電纜室的訪問;
第十四條設備維護
(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。
(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。
(三)只有已授權的維護人員才可對設備進行修理和服務
(四)原則上應保存所有維護記錄
(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;
(六)設備資產的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄。
(七)設備資產的管理部門和行政服務公司定期審核維護記錄和計劃。
(八)當對設備安排維護時,應實施適當的控制,要考慮維護是由內部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;
(九)應遵守由保險策略所施加的所有要求。
第十五條場外設備的安全
(一)離開辦公場所的設備的保護應考慮下列措施:
1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;
2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內;
3、家庭工作的控制措施應根據風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;
4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。
第十六條設備的安全處置與重新使用
(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。
(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數據的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。
(三)為保證信息安全,必須在處理介質前擦除有關的敏感信息:
1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。
2、公司內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀。
3、磁帶和磁盤必須在處置前實際銷毀和核對。
4、數據存儲光盤應在處置前實際銷毀。
(四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》,經部門負責人同意后,方可進行處置。并記錄在《信息介質處置記錄表》,留待審計時備查。
第十七條設備的移動
(一)應考慮如下措施:
1、在未經事先授權的情況下,不應讓設備、信息或軟件離開辦公場所;
2、明確識別有權允許資產移動,離開辦公場所的雇員、承包方人員和第三方人員;
3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;
4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。
(二)應執(zhí)行檢測未授權資產移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。
第五章 附則
第十八條本管理辦法由科技信息部負責解釋和修訂。
第十九條本管理辦法自發(fā)布之日起施行。
第8篇 信息技術設備物理環(huán)境安全管理規(guī)定
第一章 總則
第一條 目的:為了適應公司物理與環(huán)境安全管理的需要,保障公司生產和辦公系統(tǒng)的正常運行,特制定本管理辦法。
第二條 依據:本管理辦法根據《信息安全管理策略》制訂。
第三條 范圍:本管理辦法適用于公司。
第二章 基本要求
第四條 公司員工應根據公司運營需要對資產進行保護。公司的資產保護要求通過完成以下目標來實現(xiàn):
(一)確保所有資產的物理和環(huán)境保護能得到公司的有效控制。
(二)減少擅自訪問或損壞或影響公司控制的資產的風險。
(三)防止公司控制的資產被人擅自刪除或移動。
第五條 安全控制措施包括以下各項:
(一)公司的場地(機房、辦公室)的信息處理設施周圍設置實際安全隔離措施,如門禁系統(tǒng)等。
(二)公司的大樓入口安全防范措施。
(三)防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產生的危害。
(四)設備維護。
(五)清理資產。
第三章 安全區(qū)域
第六條 公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。
第七條 安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。
第八條 物理安全邊界
所有進入公司安全區(qū)域的人員都需經過授權,公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權卡或訪客證才能進入(持有效證件,得到被訪者允許)。
第九條 安全區(qū)域出入控制措施
(一)物理控制措施
1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;
2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;
3、一段時間內不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;
4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。
(二)合同方及第三方
1、要在主要出入口處填寫《來訪人員登記表》;
2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。
(三)公司工作人員的控制措施
1、公司工作人員都必須在顯眼處佩帶胸卡;
2、公司工作人員調離公司時,其實際進入權也同時相應取消;
(四)審查訪問
信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
(五)外部和環(huán)境威脅的安全防護
1、機房建設應符合gb 9361中a類安全機房的要求;
2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內;
3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產生的破壞;
4、應提供適當的滅火設備,并應放在合適的地點。
第十條 交接區(qū)安全
(一)公司應設立交接區(qū),同時:
1、向公司發(fā)送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員;
2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認;
3、送貨公司在進入安全區(qū)域之前要經過物理環(huán)境主管部門有關人員的鑒別確認;
4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。
第四章 設備安全
第十一條 設備安置與保護
(一)公司中應考慮以下控制措施:
1、設備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;
2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設施以防止未授權訪問;
3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;
4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南;
6、對于可能對信息處理設施運行狀態(tài)產生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;
8、對于工業(yè)環(huán)境中的設備,要考慮使用專門的保護方法,例如鍵盤保護膜;
9、應保護處理敏感信息的設備,以減少由于輻射而導致信息泄露的風險;極其重要設備應部署在不同位置。
第十二條 支持性設施
(一)應有足夠的支持性設施(例如電、供水、排污、加熱/通風和空調)來支持系統(tǒng)。支持性設施應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
(二)對支持關鍵業(yè)務操作的設備,推薦使用支持有序關機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內發(fā)電機可以進行工作。ups 設備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。
(三)另外,應急電源開關應位于設備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。
(四)要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。
(五)連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。
(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。
第十三條 電纜安全
(一)敷設到公司內各個區(qū)域的電纜線的保護方式如下:
1、進入信息處理設施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;
2、網絡布纜要免受未授權竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;
3、為了防止干擾,電源電纜要與通信電纜分開;
4、使用清晰的可識別的電纜和設備記號,以使處理失誤最小化,例如,錯誤網絡電纜的意外配線;
5、使用文件化配線列表減少失誤的可能性;
6、對于敏感的或關鍵的系統(tǒng),更進一步的控制考慮應包括:
(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
(2)使用可替換的路由選擇和/或傳輸介質,以提供適當的安全措施;
(3)使用纖維光纜;
(4)使用電磁防輻射裝置保護電纜;
(5)對于電纜連接的未授權裝置要主動實施技術清除、物理檢查;
(6)控制對配線盤和電纜室的訪問;
第十四條 設備維護
(一)應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。
(二)由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃進行。
(三)只有已授權的維護人員才可對設備進行修理和服務
(四)原則上應保存所有維護記錄
(五)要保證所有可疑的或實際的故障以及所有預防和糾正維護的記錄;
(六)設備資產的管理部門和人事部應當向外包維護單位索取維護計劃和記錄。
(七)設備資產的管理部門和人事部定期審核維護記錄和計劃。
(八)當對設備安排維護時,應實施適當的控制,要考慮維護是由內部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的;
(九)應遵守由保險策略所施加的所有要求。
第十五條 場外設備的安全
(一)離開辦公場所的設備的保護應考慮下列措施:
1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;
2、制造商的設備保護說明要始終加以遵守,例如,防止暴露于強電磁場內;
3、家庭工作的控制措施應根據風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;
4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設備、移動電話、智能卡、紙張及其他形式的設備。
第十六條 設備的安全處置與重新使用
(一)設備報廢處置時,存有敏感信息的存儲設備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。
(二)所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查,以確保其內存儲的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數據的已損壞的存儲設備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。
(三)為保證信息安全,必須在處理介質前擦除有關的敏感信息:
1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。
2、公司內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀。
3、磁帶和磁盤必須在處置前實際銷毀和核對。
4、數據存儲光盤應在處置前實際銷毀。
(四)凡敏感性介質的處置都必須填寫《信息介質處置申請表》,經部門負責人同意后,方可進行處置。并記錄在《信息介質處置記錄表》,留待審計時備查。
第十七條 設備的移動
(一)應考慮如下措施:
1、在未經事先授權的情況下,不應讓設備、信息或軟件離開辦公場所;
2、明確識別有權允許資產移動,離開辦公場所的雇員、承包方人員和第三方人員;
3、應設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查;
4、若需要并合適,要對設備作出移出記錄,當返回時,要作出送回記錄。
(二)應執(zhí)行檢測未授權資產移動的抽查,以檢測未授權的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權下執(zhí)行檢查。
第五章 附則
第十八條 本管理辦法由信息部負責解釋和修訂。
第十九條 本管理辦法自發(fā)布之日起施行。