第一章 總則
第一條 目的
(一)設(shè)備安置及保護(hù)規(guī)范:編寫的目的是明確天津醫(yī)科大學(xué)網(wǎng)絡(luò)及安全設(shè)備安置及保護(hù)控制要求。
(二)設(shè)備維護(hù)管理規(guī)范:編寫的目的是明確天津醫(yī)科大學(xué)各部門內(nèi)網(wǎng)絡(luò)設(shè)備的自行管理(部分設(shè)備托管在第三方機(jī)房���,由第三方及本部門人員共同維護(hù)管理)�。
(三)設(shè)備的移動(dòng)及報(bào)廢的管理規(guī)范:編寫的目的是明確天津醫(yī)科大學(xué)網(wǎng)絡(luò)設(shè)備的移動(dòng)及報(bào)廢管理相關(guān)的工作管理���。
第二條 適用范圍
(一)本文檔適用于天津醫(yī)科大學(xué)各部門對(duì)部門內(nèi)網(wǎng)絡(luò)及安全設(shè)備的自行管理�����。
(二)各部門根據(jù)本制度對(duì)設(shè)備維護(hù)進(jìn)行管理����,規(guī)范設(shè)備管理控制要求。
(三)本文檔同時(shí)也適用于天津醫(yī)科大學(xué)所有納入到信息安全管理范圍的相關(guān)部門和個(gè)人�。
第二章 設(shè)備安置及保護(hù)規(guī)范
第三條 設(shè)備的存放應(yīng)根據(jù)其重要程度不同,放置在機(jī)房的不同區(qū)域��。
第四條 處理核心數(shù)據(jù)信息的服務(wù)器�、交換機(jī)、路由器�、安全設(shè)備等重要設(shè)備應(yīng)當(dāng)放置在專用的帶鎖的機(jī)柜中,機(jī)柜應(yīng)當(dāng)提供 UPS��、散熱等功能�。
第五條 針對(duì)必要的關(guān)鍵性設(shè)備應(yīng)采用隔斷等措施進(jìn)行物理隔離,從而降低設(shè)備所存放物理環(huán)境的整體保護(hù)等級(jí)���。
第六條 設(shè)備之間的隔離措施應(yīng)當(dāng)能夠滿足設(shè)備重要程度的要求��。
第七條 存放處理核心數(shù)據(jù)信息的服務(wù)器�、交換機(jī)����、路由器、安全設(shè)備等重要設(shè)備應(yīng)當(dāng)減少對(duì)其設(shè)備直接物理訪問(wèn)��,并確保周邊物理環(huán)境的安全性��,同時(shí)對(duì)外部訪問(wèn)人員進(jìn)行陪同��。
第八條 信息處理設(shè)施應(yīng)根據(jù)其重要程度不同����,設(shè)置不同的訪問(wèn)控制權(quán)限�,僅允許對(duì)于設(shè)備的必要訪問(wèn);對(duì)擅自動(dòng)用設(shè)備而導(dǎo)致設(shè)備損壞者��,要追究責(zé)任�����,并酌情賠償損失���。
第九條 對(duì)于機(jī)房?jī)?nèi)設(shè)備的重要操作�����,如數(shù)據(jù)的完全備份操作����,應(yīng)考慮存在的風(fēng)險(xiǎn),做好應(yīng)急和回退措施�����,并進(jìn)行記錄��。
第十條 未經(jīng)批準(zhǔn)�����,嚴(yán)禁在機(jī)房?jī)?nèi)擅自對(duì)設(shè)備進(jìn)行操作���,包括:
1.關(guān)閉、啟動(dòng)����、更換路由器�、交換機(jī)�����、服務(wù)器以及網(wǎng)絡(luò)安全設(shè)備等���;
2.調(diào)整和更改網(wǎng)絡(luò)系統(tǒng)�、網(wǎng)絡(luò)設(shè)備、服務(wù)器�、操作系統(tǒng)的配置參數(shù)���;
3.添加�、更換和拆卸硬件設(shè)備�;
4.增加、撤除和調(diào)整網(wǎng)絡(luò)設(shè)備和服務(wù)器的網(wǎng)絡(luò)跳線和電源線�����;
5.安裝��、刪除和修改軟件程序���,安裝和刪除網(wǎng)絡(luò)功能��,拷貝和刪除文件數(shù)據(jù)����;
6.安裝、下載���、使用各種掃描、攻擊�、探測(cè)、偵聽(tīng)等安全類和黑客類軟件��;
7.掃描�����、攻擊���、探測(cè)�����、偵聽(tīng)網(wǎng)絡(luò)系統(tǒng)和設(shè)備�����;
8.使用機(jī)房?jī)?nèi)的服務(wù)器和 PC 機(jī)收發(fā)電子郵件�;
9.使用機(jī)房?jī)?nèi)的服務(wù)器和 PC 訪問(wèn)互聯(lián)網(wǎng)�����;
10.在服務(wù)器上設(shè)置共享目錄和共享資源;
11.在域控制器上生成域用戶名��,在成員或獨(dú)立服務(wù)器上生成服務(wù)器本機(jī)用戶名�;
12.調(diào)整機(jī)房?jī)?nèi)報(bào)警、空調(diào)���、通風(fēng)系統(tǒng)參數(shù)。
第三章 設(shè)備維護(hù)管理規(guī)范
第十一條 應(yīng)根據(jù)供應(yīng)商推薦的服務(wù)時(shí)間間隔對(duì)設(shè)備進(jìn)行檢查����、監(jiān)控和維護(hù)。
第十二條 只有已經(jīng)授權(quán)的維護(hù)人員才可以對(duì)設(shè)備進(jìn)行操作�����、維修和服務(wù)�。
第十三條 對(duì)于機(jī)房中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備��、服務(wù)器等設(shè)備進(jìn)行遠(yuǎn)程維護(hù)和管理時(shí)��,應(yīng)限定維護(hù)管理的IP地址����。
第十四條 當(dāng)設(shè)備進(jìn)行維護(hù)時(shí)��,要明確維護(hù)時(shí)間����、維護(hù)人員和陪伴人員�;如果是外部人員進(jìn)行維護(hù)時(shí),須由指定陪伴人員全程陪同���。
第十五條 在對(duì)設(shè)備進(jìn)行維護(hù)操作時(shí)��,特別是拆裝設(shè)備時(shí)必須采取必要的防靜電措施�。
第十六條 各機(jī)房設(shè)備責(zé)任人應(yīng)注意保存包括所有可疑和實(shí)際的故障記錄����,以及預(yù)防和維護(hù)過(guò)程中的記錄。
第十七條 設(shè)備維修應(yīng)遵循《天津醫(yī)科大學(xué)實(shí)驗(yàn)室儀器設(shè)備維修費(fèi)使用管理暫行辦法》的有關(guān)規(guī)定���。
第四章 設(shè)備的移動(dòng)及報(bào)廢管理控制規(guī)范
第十八條 機(jī)房?jī)?nèi)部設(shè)備的移動(dòng)應(yīng)根據(jù)信息的重要程度確定信息處理設(shè)備的位置�����,降低由于使用過(guò)程中因疏忽造成的安全風(fēng)險(xiǎn)�����。
第十九條 設(shè)備在發(fā)生移動(dòng)前���,須按照《天津醫(yī)科大學(xué)儀器設(shè)備管理辦法》第五章內(nèi)容執(zhí)行��。
第二十條 離開(kāi)和進(jìn)入機(jī)房的設(shè)備應(yīng)指定設(shè)備看管人�����、運(yùn)送人和責(zé)任人。
第二十一條 機(jī)房設(shè)備在移動(dòng)過(guò)程中�,應(yīng)具有足夠的安全保障措施,包括實(shí)物和人員����,以確保移動(dòng)過(guò)程中的物理安全性。
第二十二條 如有設(shè)備廠商對(duì)設(shè)備進(jìn)行維護(hù)����,應(yīng)當(dāng)與設(shè)備所屬部門簽署詳細(xì)的維護(hù)協(xié)議,協(xié)議內(nèi)容應(yīng)明確包括設(shè)備維護(hù)過(guò)程中的安全管理��。
第二十三條 機(jī)房要做好固定資產(chǎn)登記���,由專人管理�����,一般不得外借�����,因工作原因確需外借時(shí)�����,須經(jīng)批準(zhǔn)后辦理外借手續(xù)�,歸還時(shí)應(yīng)檢驗(yàn)設(shè)備是否完好。設(shè)備有轉(zhuǎn)移要及時(shí)做好固定資產(chǎn)轉(zhuǎn)移手續(xù)��。
第二十四條 場(chǎng)外設(shè)備的移動(dòng)安全控制要求:
(一)離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所應(yīng)有專人負(fù)責(zé)看管���;
(二)嚴(yán)格遵守制造商提供的設(shè)備保護(hù)說(shuō)明��;
(三)家庭工作�����、遠(yuǎn)程辦公和臨時(shí)場(chǎng)所辦公的場(chǎng)外控制措施要根據(jù)風(fēng)險(xiǎn)評(píng)估確定���,當(dāng)適合時(shí)��,要施加合適的控制措施���。例如,可上鎖的存檔柜����、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信���;
(四)當(dāng)場(chǎng)外設(shè)備在不同的人或外部方之間傳遞時(shí)�����,維護(hù)對(duì)設(shè)備一系列監(jiān)督的記錄,包括最終名稱���、設(shè)備的責(zé)任組織���。
第二十五條 設(shè)備的報(bào)廢及重用規(guī)定:
(一)應(yīng)確保設(shè)備在銷毀前所有敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被移除或安全重寫;
(二)經(jīng)技術(shù)鑒定確需報(bào)廢的設(shè)備��,可申請(qǐng)報(bào)廢,并依據(jù)《天津醫(yī)科大學(xué)儀器設(shè)備報(bào)廢(損)管理辦法》的相關(guān)規(guī)定和程序辦理報(bào)廢手續(xù)��;
(三)儀器設(shè)備發(fā)生非正常損壞應(yīng)及時(shí)上報(bào)實(shí)驗(yàn)室與設(shè)備管理處�����,儀器設(shè)備發(fā)生丟失事故應(yīng)立即向保衛(wèi)部門報(bào)案�,同時(shí)寫出具體情況的書面報(bào)告上報(bào)實(shí)驗(yàn)室與設(shè)備管理處。依據(jù)《天津醫(yī)科大學(xué)儀器設(shè)備損壞�、丟失賠償處理辦法》等規(guī)定進(jìn)行處理。
天津醫(yī)科大學(xué)網(wǎng)絡(luò)安全和信息化辦公室
2021年 9 月 22 日
