信息系统设备管理规定

1、可用文档任凭编辑 信息系统设备管理规定 1. 目的和范围 本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效把握，在保证设备平安的前提下最大限度发挥设备的效能，同时削减由于设备入网造成平安平安风险。 2. 引用文件 (1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后全部的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓舞各部门争辩是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 (2) iso/iec27001:2021信息技术-平安技术-信息平安管理体系要求 (

2、3) iso/iec27002:2021信息技术-平安技术-信息平安管理实施细则 (4) 介质管理规定 (5) 笔记本电脑管理规定 (6) 机房管理规定 3. 职责 1) 技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的平安评估、风险分析和平安验收。 4. 设备管理流程 (1)设备入网 1) 需按设备本身供应的“设备平安操作说明书”进行正确操作和使用，设备在日常使用过程中应留意平安； 2) 系统工程师应查找有关的风险评估报告，确定预备入网的设备是否已做过风险评估。 3) 假如没有类似的设备做过风险分析和处置方案，则应

3、按风险评估的要求，通知信息平安管理小组进行。 4) 假如做过风险分析和处置方案，则应依据相关的处置方案和实施要求，制定设备入网方案。 5) 系统工程师对方案入网的设备在xxx的测试环境中进行测试，测试通过后提交综合部审批。 6) 技术部批准入网申请后,由系统工程师组织设备入网。 7) 设备入网应依据处置方案和入网方案对设备进行平安加固。 8) 对入网系统进行一段时间的监控，以观看入网是否生效。假如发觉问题,要准时进行处理,必要时要寻求供应商的帮忙。监控一段时间后，设备担当组织人员进行验收，并通知信息平安管理小组对系统进行平安检测。 (2)设备安置与爱护 (3)信息设备安装管理 1) 技术部对信

4、息设备平安的安置与爱护工作，包括对温度、湿度的监测和日常的巡检等，详见机房管理规定。 2) 信息平安设备的安置应依据设备制造商的说明，安置工作由专业人员进行。 3) 信息平安设备安置要选择能够避开或削减未授权访问的物理场所，应实行措施以减小潜在的物理威逼的风险。 4) 重要系统使用的信息设备安置在专用的机房内。 5) 安置在室外的信息设备要留意防盗、防雨、防雷、防尘、防腐蚀等工作。 6) 确保消防设备充分并随时可用，定期进行消防演练。 (4)支持性设施安置管理 1) 技术部负责信息平安设备支持性设施的管理工作，包括供应、维护、修理等。 2) 对支持关键业务操作的信息设备，使用不间断电源（ups

5、）。ups设备要定期地检查，详见机房管理规定。 3) 应急电源开关应位于设备房间应急出口四周，以便紧急状况时快速切断电源。万一主电源消灭故障时要供应应急照明。 4) 技术部要确保通风和空调系统等运行良好，对其运行状况可进行定期检查。 (5)线缆平安 1) 公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路，以保障线路的可用性。 2) 电缆要避开公众区域,铺设电缆要有线槽爱护，以避开未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。 3) 要实行切实有效的措施防范鼠患，防止电缆被鼠噬。 4) 电缆要使用坚固、清楚、可识别的标记,使用文件化配线列表

6、削减布线失误的可能性,以使失误最小化，详见机房管理规定。 (6)设备移动 1) 在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。 2) 公司原则上禁止机房设备移出公司物理环境。如确因工作需要，如展会、修理等，需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用，需经研发主管批准后才能移出公司的物理环境。 3) 如需要供应商将设备移出公司物理环境进行修理时，在设备移出前，设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不行访问或猎取。 4) 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管，不允许无人值守，适当时，还要施加其它措施进行把握，例如上锁，以防止

7、损坏、盗窃等大事发生。 5) 笔记本在公司办公场所以外使用，依笔记本电脑管理规定。 (7)维护、保养 1) 机器设备日常维护由设备使用者在日常使用时进行，维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。 2) 定期维护由技术部专业工程师或供应商进行，定期维护依据不同设备打算不同的维护周期，从一周一次到半年一次不等，定期维护项目包括软硬件更换、性能检查、性能调优等。 3) 定期维护和年底维护后，要将维护项目、维护过程、维护人员、维护结果等内容具体记录在设备维护记录中。 (8)设备处置 1) 设备的处置由设备使用部门提出，经经总经理批准后，对设备进行处理； 2) 信息设备在

8、处置过程中须考虑信息平安。 3) 设备报废前设备管理责任人要负责删除全部信息，对包含敏感信息的设备要对其信息载体在物理上应予以销毁，或者接受使原始信息不行猎取的技术将其平安地重写，如消磁。 4) 信息设备的报废工作由综合部负责，需要填写废弃介质处置记录,经总经理批准后，才能进行报废。 5) 对于因闲置、人员离辞或设备换代等缘由不再使用的信息设备，特殊是个人电脑，在设备归仓前，要接受信息不行猎取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时，重用者不会获得与其工作无关的内容。 6) 对试用设备和测试设备（无论是自有的还是供应商的）中的信息在试用和测试后，由试用或测试人员马上清除，防止重要信息泄露。 7) 废弃介质处理方法参见介质管理规定 5. 实施策略 (1) 设备管理规定涉及到包括设备维护记录共1个表单。 (2) 对设备的定期维护等内容具体填写设备维护记录。 6. 相关记录 本程序发生的记录汇总表 表1-1 isms文件日常应用表格 表号记录编号记录名称保管