二、 机房安全管理办法
       
        1.人员进出安全管理：无论内部员工还是第三方人员，只有经过授权的人员才可以进入安全区域。网管中心应实施以下措施对安全区域的出入进行控制。
        （以下管理办法同时适用于网管中心维护机房及设备机房）
        （a）重要的安全区域应仅限于授权人员访问，并使用身份识别技术（例如门禁卡、个人识别码等）对所有访问活动进行授权和验证。所有访问活动的审计跟踪记录应被安全地保管；
        （b）所有内部员工都应佩戴明显的、可视的身份识别证明，并应主动向那些无公司员工陪伴的陌生人和未佩戴可视标志的人员提出质疑；
        （c）安全区域的访问者应办理出入手续并接受监督或检查，应记录其进入和离开的日期和时间；
        （d）访问者的访问目的必须经过室经理以上管理人员批准，并只允许访问经授权的目标；
        （e）访问者应被告知该区域的安全要求及有关应急程序；
        （f）安全区域的访问权应被定期审查和更新；
        （g）不得随意允许未经授权许可的人员进入机房。原则上只有在获得网管中心室经理以上管理人员授权证明的情况下才可进入机房，进入时应做好登记工作；
        （h）对于需临时进入机房的人员（包括公司内部及外部人员），必须经过室经理以上授权批准后，在有权限进入机房的工作人员陪同下进入机房，并填写机房进出登记表；
        （i）安全管理人员(非机房管理人员)应定期（如每月）对机房进出日志/登记记录进行审核，发现异常情况应及时上报；
          （j）进出设备机房公司内部人员一律在门卫处登记姓名、所属部门、工作内容、进入时间等；
          （k）进入设备机房的厂家或工程队等人员，在没有本公司随工人员陪同的情况下一律不允许进入设备机房进行工作。如遇紧急故障，当三方人员在没有随工人员陪同的情况下到达现场时，保安人员可让其立即进场，但必须全程尾随。在三方人员进入现场的同时问明相关部门领导或设备责任人，并立即致电核实。
        参见附表2。《机房出入登记表》
       
        2．文档安全管理：系统文档可能包含一系列敏感信息，比如应用流程、程序、数据结构、授权流程的说明。应当考虑下列控制程序，避免系统非法访问。
        （a）工作人员应当安全保存系统文档；
        （b）系统文档的访问列表应控制在最小范围，并由应用责任人授权；
        （c）保存在公共网络的系统文档或者通过公共网络提供的系统文档应当得到有效的保护；
        （d）维护和管理人员，均应熟悉并严格执行安全保密规定，部门领导或室经理定期对维护人员进行安全保密教育，并定期检查保密规定的执行情况；
        （e）安全文档包含：
        （01）系统网络结构框图，网络拓扑图，网络组织技术说明，各类应用接入技术说明，业务流程图，局资料；
        （02）现网的设备配置；
        （03）各类设备，仪器说明书，原理图及布线图；
        （04）各类设备安装、测试、检修、返修记录；
        （05）维护测试规定；
        （06）维护作业计划；
        （07）各种维护规章制度和维护手册；
        （08）交接班记录；
        （09）系统运行记录（含系统故障和重启动记录）；
        （10）故障及处理记录；
        （11）用户申告故障记录；
        （12）巡回检查记录；
        （13）其它问题记录；
        （14）资料修改记录；
        （15）硬件更换记录；
        （16）系统中继方式及中继框图；
        （17）开通资料（包括工程设计文件，验收文件）；
        （18）备份更换及相关信息汇总记录；
        （19）各类联系电话，技术培训资料；
        （20）质量统计表，话务量统计表，维护作业表；
        （21）公司内部管理、学习、传阅类文档；
       
        3.存储媒介使用规范
        3.1存储保护：在不使用信息资产时，做好屏幕和桌面的清理工作，可以有效防止信息的未授权访问，是保护信息资产，防止其泄露、丢失、破坏的一种重要措施。公司应制定有效管理可移动存储媒介的规定，如移动硬盘、磁带、磁盘、卡带以及纸质文件等等。以下是基本的控制措施：
        （a）包含重要、敏感或关键信息的移动式存储设备不得无人值守，以免被盗；
        （b）删除可重复使用的存储媒介中不再需要的信息；
        （c）任何存储媒介带入和带出公司都需经过授权，并保留相应记录，方便审计跟踪；
        （d）无论设备所有权归属，任何在工作区域外使用信息处理设备的行为，都应经过管理层授权许可；
        （e）在公共场所使用的公司设备和存储媒介均不得无人看管；
        （f）始终严格遵守设备制造商有关设备保护的要求；
        （g）纸质文件和计算机设备在不使用时，特别是在工作时间以外，应保存在锁闭柜子内或其他形式的保险装置内；
        （h）机密和绝密信息在不使用时，特别是办公室无人时，必须予以锁闭（最好是防火的保险柜或文件柜）；
        （i）个人电脑、计算机终端在无人看管时，不得处于登录状态；在不使用时，必须通过键盘锁定、密码或其他控制措施予以保护；
        （j）复印机、扫描仪在工作时间以外，应被锁闭或采用其他方式保护，以防非授权使用；
        在打印、复印、扫描机密或绝密信息时，必须有人值守，并应在完成后立即从设备中清除；
        （k）在对信息处理设备处置或重用时，公司应在风险评估的基础上，实施审批手续，决定信息处理设备的处置方法--销毁、报废或利旧，并采取适当的方法将其内存储的敏感信息与授权软件清除，而不能仅采用标准删除功能；
        3.2信息处置：确立信息处置和存储程序，以便有效保护此类信息，避免非法泄露或者误用。根据信息在文档、计算系统、网络、移动计算、移动通信、邮件、语音邮件、语音通信、多媒体中的级别制定相应的处置程序。应当考虑下列控制程序：
        （a）处置和标记所有媒介；
        （b）设置非授权人员的访问限制；
        （c）保持授权访问数据人员的正式记录；
        （d）确保输入数据的完整性、确保正确的处理过程，以及确保输出验证；
        （e）根据敏感程度相匹配的级别，保护准备输出的假脱机数据；
        （f）在符合制造商规范的环境中保存媒介；
        （g）将数据的分发限制在最小范围内；
        （h）清楚标记所有数据拷贝，以便引起合法接收人的注意；
        （i）定期检查分发清单以及合法接收人名单；
        3.3媒介处置：为最大限度地降低信息泄露的风险，网管中心应制定存储媒介的安全处置流程，规定不同类型媒介的处置方法、审批程序和处置记录等安全要求，其中处置方法应与信息分级相一致。以下是一些基本的控制措施：
        （a）包含敏感信息的媒介应被安全地处置，如粉碎、焚毁，或清空其中的数据，以便重用；
        （b）以下给出了需要安全处置的媒介种类： 纸质文档； 语音或其录音； 复写纸； 输出报告； 一次性打印机色带； 磁带； 可以移动的磁盘或卡带； 光存储介质（所有形式的媒介，包括制造商的软件发布媒介）； 程序列表； 测试数据； 系统文档；
        （c）当无法确认媒介中的信息级别，或确认信息级别的代价较高时，统一按最严格的方式处理所有媒介；
        （d）敏感媒介的处置过程应当记录在案，以便审计跟踪；