必赢电子

天津医科大学网络安全信息资产管理制度
发布时间: 2021-10-05

第一章 总则

第一条 目的

(一)设备安置及保护规范:编写的目的是明确天津医科大学网络及安全设备安置及保护控制要求。

(二)设备维护管理规范:编写的目的是明确天津医科大学各部门内网络设备的自行管理(部分设备托管在第三方机房,由第三方及本部门人员共同维护管理)。

(三)设备的移动及报废的管理规范:编写的目的是明确天津医科大学网络设备的移动及报废管理相关的工作管理。

第二条 适用范围

(一)本文档适用于天津医科大学各部门对部门内网络及安全设备的自行管理。

(二)各部门根据本制度对设备维护进行管理,规范设备管理控制要求。

(三)本文档同时也适用于天津医科大学所有纳入到信息安全管理范围的相关部门和个人。

第二章 设备安置及保护规范

  第三条 设备的存放应根据其重要程度不同,放置在机房的不同区域。

  第四条 处理核心数据信息的服务器、交换机、路由器、安全设备等重要设备应当放置在专用的带锁的机柜中,机柜应当提供 UPS、散热等功能。

  第五条 针对必要的关键性设备应采用隔断等措施进行物理隔离,从而降低设备所存放物理环境的整体保护等级。

  第六条 设备之间的隔离措施应当能够满足设备重要程度的要求。

  第七条 存放处理核心数据信息的服务器、交换机、路由器、安全设备等重要设备应当减少对其设备直接物理访问,并确保周边物理环境的安全性,同时对外部访问人员进行陪同。

  第八条 信息处理设施应根据其重要程度不同,设置不同的访问控制权限,仅允许对于设备的必要访问;对擅自动用设备而导致设备损坏者,要追究责任,并酌情赔偿损失。

  第九条 对于机房内设备的重要操作,如数据的完全备份操作,应考虑存在的风险,做好应急和回退措施,并进行记录。

  第十条 未经批准,严禁在机房内擅自对设备进行操作,包括:

1.关闭、启动、更换路由器、交换机、服务器以及网络安全设备等;

2.调整和更改网络系统、网络设备、服务器、操作系统的配置参数;

3.添加、更换和拆卸硬件设备;

4.增加、撤除和调整网络设备和服务器的网络跳线和电源线;

5.安装、删除和修改软件程序,安装和删除网络功能,拷贝和删除文件数据;

6.安装、下载、使用各种扫描、攻击、探测、侦听等安全类和黑客类软件;

7.扫描、攻击、探测、侦听网络系统和设备;

8.使用机房内的服务器和 PC 机收发电子邮件;

9.使用机房内的服务器和 PC 访问互联网;

10.在服务器上设置共享目录和共享资源;

11.在域控制器上生成域用户名,在成员或独立服务器上生成服务器本机用户名;

12.调整机房内报警、空调、通风系统参数。

第三章 设备维护管理规范

第十一条 应根据供应商推荐的服务时间间隔对设备进行检查、监控和维护。

第十二条 只有已经授权的维护人员才可以对设备进行操作、维修和服务。

第十三条 对于机房中的网络设备、安全设备、服务器等设备进行远程维护和管理时,应限定维护管理的IP地址。

第十四条 当设备进行维护时,要明确维护时间、维护人员和陪伴人员;如果是外部人员进行维护时,须由指定陪伴人员全程陪同。

第十五条 在对设备进行维护操作时,特别是拆装设备时必须采取必要的防静电措施。

第十六条 各机房设备责任人应注意保存包括所有可疑和实际的故障记录,以及预防和维护过程中的记录。

第十七条 设备维修应遵循《天津医科大学实验室仪器设备维修费使用管理暂行办法》的有关规定。

第四章 设备的移动及报废管理控制规范

第十八条 机房内部设备的移动应根据信息的重要程度确定信息处理设备的位置,降低由于使用过程中因疏忽造成的安全风险。

第十九条 设备在发生移动前,须按照《天津医科大学仪器设备管理办法》第五章内容执行。

第二十条 离开和进入机房的设备应指定设备看管人、运送人和责任人。

第二十一条 机房设备在移动过程中,应具有足够的安全保障措施,包括实物和人员,以确保移动过程中的物理安全性。

第二十二条 如有设备厂商对设备进行维护,应当与设备所属部门签署详细的维护协议,协议内容应明确包括设备维护过程中的安全管理。

第二十三条 机房要做好固定资产登记,由专人管理,一般不得外借,因工作原因确需外借时,须经批准后办理外借手续,归还时应检验设备是否完好。设备有转移要及时做好固定资产转移手续。

第二十四条 场外设备的移动安全控制要求:

(一)离开建筑物的设备和介质在公共场所应有专人负责看管;

(二)严格遵守制造商提供的设备保护说明;

(三)家庭工作、远程办公和临时场所办公的场外控制措施要根据风险评估确定,当适合时,要施加合适的控制措施。例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;

(四)当场外设备在不同的人或外部方之间传递时,维护对设备一系列监督的记录,包括最终名称、设备的责任组织。

第二十五条 设备的报废及重用规定:

(一)应确保设备在销毁前所有敏感数据或授权软件已经被移除或安全重写;

(二)经技术鉴定确需报废的设备,可申请报废,并依据《天津医科大学仪器设备报废(损)管理办法》的相关规定和程序办理报废手续;

(三)仪器设备发生非正常损坏应及时上报实验室与设备管理处,仪器设备发生丢失事故应立即向保卫部门报案,同时写出具体情况的书面报告上报实验室与设备管理处。依据《天津医科大学仪器设备损坏、丢失赔偿处理办法》等规定进行处理。

 

中共天津医科大学委员会网络安全和信息化办公室

20219 22


返回顶部
  网站备案号:津ICP备11007169号-5  津教备:0068号
  COPYRIGHT?2018-2020 天津医科大学 网络安全和信息化办公室 版权所有
天津医科大学网络安全和信息化办公室 电话:022-83336577
必赢电子【集团】股份有限公司