华为全球技术服务部安全生产手册

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业华为技术有限公司全球技术服务部华为技函【2008】53号【内部公开】【一般】全球技术服务部安全生产手册V2.0 （2008年9月30日第一次修订稿）目的为加强客户设备信息安全工作，规范员工的服务行为，提高员工的信息安全意识，保证客户设备的信息安全，特制定本手册（以下简称“本手册”）。适用范围本手册适用于全球技术服务部工程业务、基础服务、管理服务等所有技术服务活动中涉及客户设备信息安全的行为。客户设备信息安全准则不得恶意收集客户设备的重要信息（如网络拓扑结构，IP地址、设

2、备口令、最终用户帐户信息等），不得泄漏客户设备的重要信息，所持有的客户设备信息须在工作完成后及时删除和销毁。 经客户许可持有的客户设备信息文档（如数据文件、算法程序、外购件配置信息、设备序列号、设备条码等），未经许可不得扩散，并在工作完成后及时删除和销毁。该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。 未经客户许可，不得擅自操作客户设备，该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。 在操作客户设备过程中，不得利用客户网络从事与工作无关的事情，如玩网络游戏、登录与工作无关的网站。 在

3、操作客户设备过程中，禁止随意将个人便携设备、存储介质（包括但不限于可擦写光盘、U盘、移动硬盘等）接入客户设备，如果必须接入，所接入设备和介质必须经过最新病毒库的检测，确保没有携带病毒、木马等程序。 在操作客户设备过程中，禁止使用服务器和维护终端连接互联网；如果必须连接，应做好安全防护措施（例如安装防火墙、VLAN隔离、安装防病毒软件、更新系统补丁、系统加固等）。一旦操作过程中设备感染病毒，应当立即把被感染设备隔离，进行杀毒处理后再连接到相应网络。 未经客户许可，不得在任何客户设备上安装和使用其他软件和工具，如果必须安装务必要向客户讲解安装软件和工具可能给设备带来的危害。该许可必须是可追溯的记录

4、（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。 在操作客户设备过程中，未经客户许可，不得修改客户设备程序、配置文件、数据以及日志等。该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。提醒客户定期更新设备所有密码，并保证密码的复杂度，并定期对设备帐号进行清理，清除不用的帐号。客户设备信息安全要求工程业务的客户设备信息安全要求网络规划报告、基站工程参数表、网规参数设计报告、网络优化报告和日常的网络质量分析和监控报告都涉及客户组网和网络信息，不得泄密。站点勘测设计中的输入、输出文件（如客户网络组网方案、站点设备配置、

5、勘测报告、设计图纸等信息），涉及客户组网和网络信息，不得泄密。在设备安装阶段，工程师不得在非客户设备上安装使用客户购买的操作系统、数据库等软件，不得将客户购买设备序列号、相关软件license信息用于非本项目用途。在设备安装过程中，应及时在已安装的服务器和终端设备上设置管理员密码，并保证密码的复杂度。禁止在服务器和终端设备上安装、执行与工作无关的任何其他软件。调测阶段，从客户处获得的设备对接信息和调测信息，不得泄密。调测阶段建立的一切远程登录环境所涉及的登录信息在调测结束后必须修改或者删除，并经客户签字确认。在调测阶段，未经客户允许不得随意增设测试帐户信息和帐户业务功能。调测阶段建立的测试帐户

6、信息、余额修改信息等，仅在客户要求保留并签字确认后方可保留。调测阶段生成的验收手册，包含客户的业务特性、计费信息等机密信息，不得泄密。 验收阶段输出的相关文件（如系统上线信息、系统遗留问题、商用时间等），涉及客户商业机密，不得泄密。工程移交之前，须统一修改调试用密码后再提交给客户。移交清单中需包括密码的移交内容，并要求客户自行修改密码后签字确认。技术支持业务的客户设备信息安全要求在GCRMS系统中创建问题单或处理问题单时，禁止填写客户业务帐号和密码信息。总部指导一线工程师现场处理时，所涉及的系统密码等重要信息应通过电话或加密邮件方式通知对方，禁止采用传真方式。工程师进行现场服务时，必须经过用户

7、同意并要求客户陪同，应使用客户给予的临时帐号和密码，禁止使用系统超级密码和口令。不能超过用户预先审批过的操作范围，如有额外操作，需经客户同意才能实施。远程服务前必须提交远程服务申请，在申请获得客户批准后，服务工程师应要求客户以电话或加密邮件的方式提供接入设备的信息（如登录名、登录密码，登录地址，拨入号码等）。在客户批准远程服务申请后，我司使用的远程维护软件应得到客户的许可。该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。远程维护和升级结束后，所创建的远程服务环境应及时删除，并通知客户及时关闭设备侧的远程服务环境。同时，要求客户在服务报告中签

8、字确认是否已经更改口令。 现场服务时，严禁泄漏客户模拟升级数据，如需发送给相关人员，必须加密。升级过程中，需指定数据的管理责任人，升级结束后应及时删除。现场服务结束后，应清理本次服务过程中所有增加的临时性工作内容（如删除过程数据，取消登录帐号等），如果由于后续工作需要，某些临时性工作内容需要保留，必须获得用户的书面批准。现场服务结束后，需客户在服务报告中签字确认是否已经更改登录口令。责任与奖惩奖惩原则根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级。对于一次违反多条本手册人员，按最严重的违规等级处罚；对于一年内两次或两次以上违反本手册人员，在该次违规等级基础上加重一级处罚；对于

9、举报人员，公司将负责保护其个人资料不对外公开。违规和处罚等级三级违规：对于违反本手册，性质较轻，没有造成安全事故或客户投诉的，通报批评，责令书面检查，罚款100-1000元。违规行为举例（包括但不限于）：设备正式移交客户前或完成技术服务后，未正式要求客户自行修改帐号、密码，或未与客户正式签字确认“修改帐号、密码”事宜。设备正式移交客户时或完成技术服务后，未清除测试账户、测试数据、远程接入配置等。未经客户正式许可，擅自建立远程接入环境；远程服务结束后，未及时取消远程接入环境。未经客户正式许可，私自持有客户重要保密信息（商业、技术、合同、业务规划、组网信息、设备帐号、密码、最终用户信息）。未经许可

10、，私自以明文方式记录、传播本人持有的客户设备帐号、密码信息。二级违规：对于蓄意收集客户设备帐号、密码信息，或违反本手册，性质严重，造成安全事故或客户投诉的，严重警告，责令书面检查，降薪500-1000 元。违规行为举例（包括但不限于）：私自在客户设备上设置帐号、密码，或修改帐号权限范围，未导致安全事故或客户投诉。未经许可，私自获取他人所持有的帐号、密码，或私自扩大本人可持有帐号权限。蓄意窃取客户或最终用户帐号、密码，但未给客户以及最终用户造成经济或名誉损失。泄漏客户重要保密信息（商业、技术、合同、业务规划、组网信息、设备帐号、密码、最终用户信息），给客户造成名誉或经济损失。擅自传播、修改最终用

11、户个人信息，造成最终用户名誉或经济损失。一级违规：对盗窃客户财物，有意盗窃、泄露客户、最终用户保密信息，或蓄意破坏客户通信设备、计算机系统，性质恶劣，造成客户、公司严重损失的，给予辞退、开除、公示的处理，记入个人人事档案，并要求赔偿相应损失。对于触犯中国法律或所在国法律的，移交相应国家司法机关依法处理。违规行为举例（包括但不限于）：私自在客户设备上配置充值卡、帐号信息，盗取客户财物。蓄意盗取客户或最终用户保密信息，给客户、最终用户造成重大名誉损失或经济损失。蓄意破坏客户通讯设备、计算机系统的硬件、软件、数据配置等，造成通信中断或通信故障。奖励等级三级：对长期遵守安全生产手册，对客户设备信息安全

12、工作提出了合理化建议，主动堵塞客户设备信息安全漏洞的人员，可申报年度专项奖二级：对举报他人的违规行为或及时向公司反馈安全隐患的人员，给予1000-5000 元的奖励并记关键事件。一级：对及时制止他人的违规行为或及时避免了严重损害客户、公司利益事件，并为客户和公司挽回重大损失的人员，根据具体情况给予重奖，并记关键事件。管理者责任对在客户设备信息安全管理制度和措施上贯彻、监控不力、失职的主管，或所辖部门、区域发生客户设备信息安全事故的，相关主管承担管理责任： 所辖部门、区域发生一级违规，对直接管理者降级、降薪，对领导者罚款、通报批评，并记关键事件； 所辖部门、区域发生二级违规，对直接管理者罚款、通报批评，对领导者通报批评，并记关键事件。奖惩部门对于二、三级违规人员，由员工关系所在地的HR部门发文处罚。 对于一级违规人员，由员工关系所在地HR部门提出处理意见，提交公司人力资源部批准发文处罚。对于满足奖励条