IDC机房运维技术服务信息安全保障方案.pdfVIP

IDC机房运维技术服务信息安全保障方案

1.建设原则

为了代维服务能够支持信息的安全性、完整性、保密性。将在严

格遵循深圳移动信息系统部现有的信息安全管理制度的基础上，依据

ISO27001,建立全面的运维服务安全管理制度，满足深圳移动信息系

统部当前和长期的信息安全性需求。

2.运维安全体系架构

针对于该项目的安全管理，将会涉及到运维安全体系架构的以下

几个方面：

➢组织体系

➢规范制度体系

➢控制措施

3.组织体系

项目经理：

➢参加深圳移动的服务安全评审

➢负责处理安全相关升级事件，

➢第一安全责任人，制定具体的

➢安全规章制度和考核机制；

➢参加深圳移动的安全例会；传达安全规定；

➢定期检查安全制度实施情况

运维安全管理员：

➢安全执行人，由维护员轮流担任

➢参加安全月例会；

➢监督项目内员工严格按照各项

➢安全规章制度工作；

➢制止员工各类不安全因素；

➢实施安全规章制度考核。

人员的安全守则与安全意识

➢公司将与深圳移动签署相关保密协议，并与服务团队人员

签订保密协议；

➢服务人员入职前必须接受背景调查，并经深圳移动审核通

过后，将调查结果备案；

➢服务员入职前必须接受深圳移动信息安全相关管理制度的

[培训和考试]，并在服务过程中定期参加更新的信息安全

[培训和考试]；

➢服务人员上岗时，佩戴身份识别卡，进入任何区域时需主

动出示身份识别卡；

➢身份识别卡遗失后，需立即上报至管理小组，不得转借、

冒用他人身份识别卡。

4.规范制度体系

安全专家将依据深圳移动运维服务的要求以及深圳移动信息安

全相关管理制度，并结合安全管理方法论和最佳实践来制定运维服务

的相关安全规章制度和流程。

将在服务过渡期内为深圳移动制定以下安全规章制度和流程:

➢《深圳移动运维服务安全管理政策》

➢《运维服务人员信息安全手册》

➢《IT安全事件应急预案》

➢《安全事件汇报和处理流程》

➢《数据访问标准操作规范》

➢《涉密数据操作规范》等

5.安全控制措施

针对于深圳移动第三方服务项目，将从五方面措施来进行整体的

安全控制，包括：

➢驻点服务：驻点服务通过四个方面进行安全保障；

➢巡检：防止防止与检查巡检中的不安全行为；

➢数据访问：防止数据遭到意外或恶意的破坏，保证数据的

可用性和完整性；

➢故障处理：防止故障处理过程中的违规操作；

➢变更执行：防止变更实施时的非正常操作，规避安全风险；

5.1驻点服务安全管理措施

本项目的驻点服务安全保证，主要是要求维护人员遵照如下工作

原则来执行，从而保障了服务的安全性。

5.1.1设备安全代维措施

➢指定专人负责各类设备进行规范化的代维管理。

➢针对各类设备的代维管理制定相应的操作细则，并严格按有

关操作细则进行运维操作。

➢保证全部设备不任意改动其结构及功能，保证其完好，在工

作中需要改动向业务支持中心报批，通过审批通过方执行。

➢在设备的升级、搬迁时将事先制定相应的实施方案，并将实

施方案通过业务支持中心产品经理批复后实施，并对升级、

搬迁的实施方案进行备案，以备日后查询。

➢制定应急流程或方案，对因设备故障引起的应用故障做好应

急措施。原则上应准备一定的备用设备或要求设备提供商准

备应急设备。

➢对各类设备应按设备提供商的技术资料定期对进行检测。

➢系统主机设备的系统软件、补丁应由系统管理员专门保管，

做好记录，并及时跟踪有关系统软件的最新补