华为网络安全汇总

GTS质量红线及违规处理机制解读1、 执行不到位，是最大的管理问题2、 面向客户和网络的质量责任体系的建立就要让大家主动承担责任，而不是躲避责任.3、 制定作业指导书也要考虑分层，第一层是绝对不能做和必须做的，第二层再考虑怎么做的更好。第一步做好的目的，是首先培育守规矩的文化，令行禁止，养成好的业务习惯4、 质量管理三层保障：第一层保障：自己对工作结果负责，一次做对：第二层保障：独立的质量控制，首检/抽检/巡检：第三层保障：基于预防的质量体系5、 质量红线是指在日常交付与服务业务活动过程中严格禁止的行为，通常是指一些渎职或严重失职的行为，一旦触犯将会给公司造成损害和负面的影响或者带来较大的风险，相关直接责任人及其管理责任人也将受到相应处理。6、 根据行为的性质和后果的严重程度分为A类红线和B类红线A类质量红线通常指严重的违规行为，该行为通常存在明显的不诚信B类质量红线通常是指较严重的质量违规行为，这种行为导致了较严重质量后果或存在严重质量隐患7、 质量红线首先要起到威慑作用，让员工知道有业务底线，不能触碰8、 质量红线总体关注点:服务现场作业的高风险点；行为规范以及违规行为的影响度；保护客户商业利益，保护华为公司信誉，防止经济损失和法律风险9、 违规处理机制的原则有：分层分级处理原则和管理责任原则10、 分层分级处理原则：对质量红线违规人员处理定量的依据是对公司的危害大小或主观上恶意，触犯质量红线行为性质以及后果确定问责处理等级，分级处理。11、 管理责任原则：违规行为发生时的违规人相关主管（管理责任人）若存在管理不力或知情不作为等情形，须承担管理责任。12、 参考制造质量红线违规问责标准，简化问责等级：从违规性质（A类或B类红线）、造成后果两个纬度确定两级问责等级；而问责措施由AT基于具体事实讨论确定13、 12个月内同一责任人出现3次二级问责则升级为1次一级问责；当同一行为或结果满足多项问责条件时，从严问责。14、 属于质量红线列表中A类行为，并造成客户投诉、网上问题、质量事故、工程整改的，对于后果严重或性质恶劣的按严重违纪直接解除劳动关系。15、 属于质量红线列表中A类行为，但未造成严重后果，严重警告，直接作为绩效评价的关键事件，影响绩效考核结果。16、 违规线索来源：质量稽查，质量回溯，内外部投诉等17、 A类红线违规每次扣1分，B类红线违规每次扣0.5分。18、 违反质量红线行为描述：事故隐瞒不报、技术问题/事故根因、类别造假、未获得“三个审批”或未按“三个审批”标准进行审批，对现网实施操作或接入；在客户网络中或对客户网络数据（包括离线数据）使用非正规渠道获得的软件版本和工具;泄露客户账号、密码，以及经营信息、用户信息、资费信息；未按照事故定级标准定级，降低事故级别；现网操作中未按照实施方案操作。19、 在客户现网上使用所有软件版本或工具都必须是从上下载的合法软件版本20、 问题单的关闭、挂起和级别修改前都需要问题单Owner与客户沟通，经过客户确认后才可以操作。21、 客户申告的现网所有问题，都需要录入iCare系统跟踪闭环，确保问题有记录可追溯。22、 变更实施方案或问题解决方案在实施前都需要进行测试床验证。如果事先知道方案存在重大风险或缺陷，则需要由现场维护项目组与客户沟通，协商制定新的实施时间计划。23、 管理者必须确保进行现网操作的工程师包含合作方工程师具备上岗证这个基本要求。24、 巡检、整改、预警、演练等预防工作是保障客户网络安全的有效手段。25、 无线网络规模割接入网前要求必须进行首站点的测试。26、 防火墙类产品未经客户书面许可，缺省安全域间转发策略配置为全部放开。（X）27、 核心网（含PS）项目无计费验证或验证结果未经客户确认情况下商用割接。（X）28、 计费类业务计费验证结果、割接替换局点话单比对结果、后付费业务出账测试结果未经客户书面确认即商用（X）高危操作1、 所有直接、间接或可能影响现网设备运行的操作都归类为高危操作；包括但不限于:设备割接入网、设备扩容操作、设备版本升级（含补丁）、网络改造调整、更换单板、主备单板倒换、网优数据导入/修改、可能影响业务的测试等2、 所有高危操作必须填写“变更电王流”进行审批通过后方可实施或者填写“Icare问题单”，严禁先实施后提单审批；3、 高危操作必须在已经得到“技术授权”、“管理授权”与“客户授权”的前提下才可以进行；4、高危操作必须在业界操作时间段“凌晨0：00—6：00”内进行：（如必须要在其它时段进行操作，该操作必须以产品LsaySEM的回复同意邮件作为备案依据）；5、 所有需要倒回的高危操作必须立即电话通报至产品1「ader6、 严禁凌晨3：0后执行新增高危操作，对于未完成的操作及时与高危操作值班人员沟通确认。7、 所有高危操作人员至少由现场操作人员和保障人员组成（保障人员必须是华为自有人员，可以远程或现场保障，视具体情况而定），重大操作由合作单位交付的，合作单位必须同时指派保障人员；8、 重大操作过程中问题处理求助规定：现场操作人员对于操作过程中出现的问题如果30分钟未解决，需立即电话向保障人员进行求助；保障人员参与处理30分钟仍无法解决，需立即电话向产品Leader进行求助。9、 重大操作闭环知会规定：所有高危操作方案中必须明确计划完成时间如果按照计划时间前完成，操作人员必须以短信形式将操作结果知会保障责任人与产品Leader：如果在计划完成时间点仍未完成操作，操作人员必须电话知会产品Leader10、 现场操作人员在整个高危操作过程前、后需严格按照hecklist进行自检，并在高危操作完成当天的14：00前将《合肥代表处重大高危操作准备及闭环Checklist》电子件发送产品Leader与左良凤（ID：60019953）检查并存档11、 对于工程师违反“管理规定”的处罚：半年考核不高于C重大事故通报流程及要求：1、 重大事故定义：与华为相关的，严重影响最终用户使用，给客户收益或名誉造成较大损失的，需要立即投入资源处理（恢复、关怀）的事件。2、 重大事故的发生，如果未对最终用户产生影响，最终用户感知不到，不会作为问题处理（X）3、 事故定级的目的：内部资源调度、快速恢复事故、及时进行客户关怀4、工程师对于受理到的业务中断故障申告 5分钟内通报产品Leader，产品Leader判断是否进行事故通报；（严禁对业务中断故障隐瞒或延误上报）5、 代表处服务产品Leader，受理到事故后的5分钟内通报到网络保障业务部部长、（区域）服务经理、SPM；6、 代表处维护工程师受理到网络业务中断问题时，与客户确认清楚：故障局点、故障起始时间、故障设备类型及影响范围、是否恢复、客户联系人等信息（/）7、 客户群SPM、（区域）服务经理，及时进行客户关怀8、 中国地区部3大丁为二类客户，三级事故的门槛为1千，二级事故的最低门槛为3万，一级事故的最低门槛为50万，9、 影响用户的定义调整：原定义“系统中实际配置的用户”调整为“故障时刻平均话务用户”10、 考虑客户方升级因素，如事故信息已通报至省公司（省公司副总及以上）或集团公司客户高层（一级部门副总经理及以上），则要按照事故影响及客户态度（强烈关注或投诉）直接以二级或一级事故定级和通报（X）11、 新事故定级标准类（含上网）大土巨10Wi37J107J137J1■干k万—奏牝户1123—宓户12233—芯户223312、 二级事故2小时内没有恢复，将升级为1级；三级事故2小时内没有恢复，将升级为2级;4小时没有恢复将升级为一级13、 客户电源系统故障、空调系统故障、客户光缆中断等。在明确华为内部无需资源调度、快速恢复事故和及时进行客户关怀的场景下，无论影响的用户数是否超过3万，都可定义为三级（"）14、设备账号的管理规定:1、严禁工程师长期持有网络专用帐号，严禁工程师长期使用客户帐号（/）2、高危操作等单次使用帐号权限后的一个工作日内，阶段性权限使用在项目结束后的一周内，必须完成帐号归还或销户，逾期既为长期。3、工作中需要使用权限时，应让客户输入“帐号与密码”后执行操作，或者由客户提供“帐号与密码”使用，并在单次使用结束后立即提醒客户对“密码”进行更改（/）4、因为工作需要阶段性持有帐号时，经产品Leader确认后可向客户申请专用帐号，帐号专人专用，严禁多人共用同一“帐号与密码”，严禁将自己持有的帐号借与他人使用；阶段性工作结束后需及时向客户汇报，并与客户确认帐号注销规范递交客户报告：1、 所有客户版的问题处理报告在提交给客户前必须经过产品leader与SPM（或区域服务经理）的审核，严禁将未审核通过的报告直接提交客户。2、 对于三级事故以上问题的处理报告在产品leader与SPM审核后，必须由代表处交付与服务副代表审批通过后才可以提交给客户。3、 对于一般问题的处理报告在产品leader与SPM审核后，由代表处网络保障服务部审批通过后即可以提交客户4、 对于客户非强烈要求的问题处理，尽可能不提供问题处理报告，而采用当面汇报的方式关闭问题5、 对于客户强烈要求提供问题处理报告时，尽可能采用纸面件提交，并当面进行汇报以关闭问题，除非客户明确要求，不建议提交电子件6、 在纸面件向客户汇报时，尽可能注意纸面件的回收，避免信息安全网络安全：1、 网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动2、 我们的网络安全愿景与使命以我们的客户需求为核心（/）3、 遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规，严格遵从客户的指示、相应的合同条款来处理个人数据处理或转移及其他相关业务。4、 遵守客户的各项规章制度，服从客户的管理，不攻击、破坏客户网络，不破解客户账户密码。5、 遵守客户账号管理的要求，不共享账号和密码，不使用他人账号或非授权账号登录设备进行操作。6、 不在客户设备和系统中植入任何恶意代码、恶意软件、后门，不预留任何未公开接口和账号。7、 未经客户书面许可，不使用个人便携设备、存储介质接入客户网络。8、 未经客户书面授权，不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。9、 不泄漏和传播客户网络中的数据和信息，对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止。10、 在商用或转入维护阶段后，不保留或使用管理员账号及其它非授权账号。11、 不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。12、 不使用非授权软件在客户网络上运行，需使用来自客户正式渠道的软件版本、补丁、许可。13、 不进行超出客户审批范围内的任何操作。14、 分包商在服务交付中，现网操作授权、工具/软件获取、数据采集和使用、网络接入管理等关键控制点需加强管控，确保服务交付的网络安全15、 衡量是否遵从网络安全的要求，不是以结果或行为人主观意愿为标准，而是以行为作为依据16、 三个审批”是指现网操作前要获得客户审批，华为项目组审批，技术审批。Citrix是^程接入平台17、 软件和工具获取：分包商员工只能使用从Support网站下载的软件和工具，或分包合同中指定的工具软件。如果没有support软件下载权限，可联系华为工程师获取软件和工具。18、 帐号管理：每个接入网络时每人单独使用一个帐号，且必须在客户授权范围内使用，不得共享账号19、 安全加固：按照产品安全部署要求完成操作系统、数据库、软件配置等加固操作；对防火墙产品调测，需要联系华为工程师核、客户核实安全策略20、 网络移交：工程结束后分包商员工代表华为向客户移交关键信息资产时，做好帐户密码移交、远程接入信息等，并提醒客户更改密码21、 客户数据：对客户网络数据进行采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权，防止客户网络数据信息泄露和滥用。22、 进入客户场所设施：进入客户站点、机房、客户办公区域需要得到客户授权。23、 远程接入：远程接入客户网络前须获得客户授权、华为项目组授权。24、 接入前杀毒：分包商员工的工作电脑安装杀毒软件并保持更新，每个月例行有FullScan记录，避免病毒引入客户网络。25、 备件数据删除：维修分包商按照华为维修操作指导进行维修和信息删除、存储介质移出，并遵从信息安全保密条款26、 客户数据加密：对IMSI/MSISDN/IMEI等敏感信息的用户数据需先进行加密。对敏感国家客户网络数据，分包商员工要与华为工程师核实，并必须采用第三方硬加密方案。27、 ①客户数据采集：按客户授权进行数据采集。未经客户书面授权，禁止收集、持有、处理、修改客户网络中的个人数据28、 ②客户数据使用：使用用于业务分析的个人数据必须得到客户授权，并进行匿名化处理。对批量导出、复制、销毁信息严格管理，并采取防泄密措施29、 意识转变是最重要的，主管上无恶意是不够的，关键要做到客观上无风险，这是一个完全不同的概念30、 每个分包商员工都要对自己所做的事情和产生的结果负责。不仅要对技术和服务负责，也对法律负责31、 在施工过程中，如果分包商员工对网络安全的要求不确定时（特别是涉及现网操作、数据采集和保存），应暂停工作并联系其华为项目组的项目经理32、如果在施工中遇到突发网络安全事件（如网络业务中断、黑客攻击、病毒感染网络等），分包商员工应第一时间将情况通知给其对应华为项目组的项目经理33、 三授权：客户授权、技术授权、项目授权（管理授权）34、 六禁令：严禁在非行业默许时间操作（含远程操作）现网运行设备！严禁未经客户许可，擅自操作客户设备！严禁使用未经申请的软件版本进行开局、升级！严禁无策划方案或方案未经审核，盲目操作设备！设备操作完毕后务必进行业务和计费等相关测试，严禁未经测试擅自离场！一旦出现网络设备重大事故，务必按照重大事故通报流程第一时间向主管通报，严禁隐瞒不报或延迟通报！35、高危操作方案五要素：&高危操作的方案（五要素）必须包括哪些内容？I）版本（目标版本）2）组网，言息3）方案步骤的明确的时间安排4）完成变更后马幼E方案5）倒回措施网络安全抽查问题汇总判断题：1、进入客户场所设施：进入客户站点、机房、客户办公区域需要得到客户授权。（对）2、远程接入：远程接入客户网络前须获得客户授权、华为项目组授权。（对）3、接入前杀毒：分包商员工的工作电脑安装杀毒软件并保持更新，每个月例行郁足1Scan记录，避免病毒引入客户网（对）4、遵守客户的各项规章制度，服从客户的管理，不攻击、破坏客户网络，不破解客户账户密码（对）5、遵守客户账号管理的要求，不共享账号和密码，不使用他人账号或非授权账号登录设备进行操作（对）6不在客户设备和系统中植入任何恶意代码、恶意软件、后门，不预留任何未公开接口和账号（对）7未经客户书面许可，不使用个人便携设备、存储介质接入客户网络、（对）8未经客户书面授权，不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。（对）9在商用或转入维护阶段后，不保留或使用管理员账号及其它非授权账号（对）10不使用非授权软件在客户网络上运行，需使用来自客户正式渠道的软件版本、补丁、许可（对）11每个接入网络时每人单独使用一个帐号，且必须在客户授权范围内使用，不得共享账号（对）12未经客户书面授权，不可在客户网络上安装或使用任何软件（对）13意识转变是最重要的，主管上无恶意是不够的，关键要做到客观上无风险，这是一个完全不同的概念（对）14、 帐号管理：每个接入网络时每人单独使用一个帐号，且必须在客户授权范围内使用，不得共享账号。（对）15、 软件和工具获取：分包商员工只能使用从Support网站下载的软件和工具，或分包合同中指定的工具软件。如果没有support软件下载权限，可联系华为工程师获取软件和工（对）16、 .衡量是否遵从网络安全的要求，是以结果或行为人主观意愿为依据。（错）17、 .分包商员工只能使用从Support网站下载的软件和工具，或分包合同中指定的工具软件。如果没有support软件下载权限，可联系华为工程师获取软件和工具。（对）18、 .每个接入网络时每人单独使用一个帐号，且必须在客户授权范围内使用，不得共享账号（对）19、 未经客户书面授权，可以远程接入客户网络。（错）20、 在电脑、通信终端、存储介质接入客户网络前，必须先杀毒（对）21、 安全加固：按照产品安全部署要求完成操作系统、数据库、软件配置等加固操作；对防火墙产品调测，需要联系华为工程师核、客户核实安全策略。（对）22、 在商用或转入维护阶段后，不保留或使用管理员账号及其它非授权账号。（对）23、 不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。（对）填空题：1、现网操作必须通过技术审批、项目组审批、客户审批，获得“三个审批”后方可执行操作2、工程结束后分包商员工代表华为向客户移交关键信息资产时，做好帐户密码移交盘程接入信息等，并提醒客户更改密码3、对客户网络数据进行采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权，防止客户网络数据信息泄露和滥用4、 远程接入客户网络前须获得客户授权、华为项目组授权5、 进入客户站点、机房、客户办公区域需要得到客户授权6、 三个审批：现网操作必须通过技术审批、项目组审批、客户审批，获得“三个审批”后方可执行操作。7、 客户数据：对客户网络数据进行采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权，防止客户网络数据信息泄露和滥用。（填空）8主动预防服务关健业务活动包括网络服务监控、网络性能管理、变更管理如果在施工中遇到突发网络安全事件（如网络业务中断、黑客攻击、病毒感染网络等），分包商员工应第一时间将情况通知给其对应华为项目组的项目经理。9、衡量是否遵从网络安全的要求，不是以结果或行为人主观意愿为标准，而是以行为作为依据。9、 使用合法软件和工具：分包商员工只能使^Support网站下载的软件和工具、或分包合同中指定的工具软件.如果没都皿？portM下载权限，可联系华为工程师获取软件和工具10、 接入前杀毒:分包商员工的工作电脑安装杀毒软件并保持更新海个月例行有FullScan记录，避免病毒引入客户网络。11、 在施工过程中，如果分包商员工对网络安全的要求不确定时（特别是涉及现网操作、数据采集和保存），应暂停工作并联系其华为项目组的项目经理12、 如果在施工中遇到突发网络安全事件（如网络业务中断、黑客攻击、病毒感染网络等），分包商员工应第一时间将情况通知给其对应华为项目组的项目经理。13、 客户数据不带走。未经客户书面授权，不能将含客户网络数据（含个人数据）的设备或存储介质带离客户场所。14、 客户数据不泄漏。不可泄漏或传播客户网络中的数据和信息。15、 账号要移交。商用或转维后，应移交并删除之前的管理员账号及其它非授权账号16、 不泄漏和传播客户网络中的数据和信息，对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止。（填空）17、 衡量是否遵从网络安全的要求，不是以结果或行为人主观意愿为标准，而是以行为作为依虹违反了网络安全要求、即使没有发生问题，也是违规。（判断）18、 在施工过程中，如果分包商员工对网络安全的要求不确定时（特别是涉及现网操作、数据采集和保存），应暂停工作并联系其华为项目组的项目经理。（填空）题库一、判断题1、 我们的网络安全愿景与使命以我们的客户需求为核心（/）2、 遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规，严格遵从客户的指示、相应的合同条款来处理个人数据处理或转移及其他相关业务。（V）3、 遵守客户的各项规章制度，服从客户的管理，不攻击、破坏客户网络，不破解客户账户密码。（V）4、 遵守客户账号管理的要求，不共享账号和密码，不使用他人账号或非授权账号登录设备进行操作。（V）5、 不在客户设备和系统中植入任何恶意代码、恶意软件、后门，不预留任何未公开接口和账号。（V）6、 经客户口头答应，可以使用个人便携设备、存储介质接入客户网络。（X）（书面许可）7、 未经客户书面授权，不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。（V）8、 不泄漏和传播客户网络中的数据和信息，对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止（V）9、 在商用或转入维护阶段后，不保留或使用管理员账号及其它非授权账号（V）10、 不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。（V）11、 不使用非授权软件在客户网络上运行，需使用来自客户正式渠道的软件版本、补丁、许可。（V）12、 超出客户审批范围内的任何操作，也可以进行（X）13、 按照产品安全部署要求完成操作系统、数据库、软件配置等加固操作；对防火墙产品调测，需要联系华为工程师核、客户核实安全策略（"）14、 质量管理三层保障：第一层保障：自己对工作结果负责，一次做对；第二层保障：独立的质量控制，首检/抽检/巡检；第三层保障：基于预防的质量体系（J）15、 A类质量红线通常是指较严重的质量违规行为，这种行为导致了较严重质量后果或存在严重质量隐患（X）B类16、 质量红线首先要起到威慑作用，让员工知道有业务底线，不能触碰（/）17、 分层分级处理原则：对质量红线违规人员处理定量的依据是对公司的危害大小或主观上恶意，触犯质量红线行为性质以及后果确定问责处理等级，分级处理。（J）18、 管理责任原则：违规行为发生时的违规人相关主管（管理责任人）若存在管理不力或知情不作为等情形，须承担管理责任（J）19、 属于质量红线列表中A类行为，并造成客户投诉、网上问题、质量事故、工程整改的，对于后果严重或性质恶劣的按严重违纪直接解除劳动关系（J）20、 属于质量红线列表中A类行为，但未造成严重后果，严重警告，直接作为绩效评价的关键事件，影响绩效考核结果。（/）21、 管理者可以让未具备上岗证的工程师进行现网操作（X）必须具备22、 巡检、整改、预警、演练等预防工作是保障客户网络安全的有效手段。（J）23、 防火墙类产品未经客户书面许可，缺省安全域间转发策略配置为全部放开。（X）24、 核心网（含》$）项目无计费验证或验证结果未经客户确认情况下商用割接。（X）25、 计费类业务计费验证结果、割接替换局点话单比对结果、后付费业务出账测试结果未经客户书面确认即商用（X）26、 重大事故定义：与华为相关的，严重影响最终用户使用，给客户收益或名誉造成较大损失的，需要立即投入资源处理（恢复、关怀）的事件27、 重大事故的发生，如果未对最终用户产生影响，最终用户感知不到，不会作为问题处理（X）28、 代表处维护工程师受理到网络业务中断问题时，与客户确认清楚：故障局点、故障起始时间、故障设备类型及影响范围、是否恢复、客户联系人等信息（J）29、 考虑客户方升级因素，如事故信息已通报至省公司（省公司副总及以上）或集团公司客户高层（一级部门副总经理及以上），则要按照事故影响及客户态度（强烈关注或投诉）直接以二级或一级事故定级和通报（J）30、 客户电源系统故障、空调系统故障、客户光缆中断等。在明确华为内部无需资源调度、快速恢复事故和及时进行客户关怀的场景下，无论影响的用户数是否超过3万，都可定义为三级（J）31、 工程师可以一直长期持有网络专用帐号（X）32、 工作中需要使用权限时，应让客户输入“帐号与密码”后执行操作，或者由客户提供“帐号与密码”使用，并在单次使用结束后立即提醒客户对“密码”进行更改（J）对于三级事故以上问题的处理报告在产品leader与SPM审核后，必须由代表处交付与服务副代表审批通过后才可以提交给客户（J）题库一、填空题1、 网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动2、 分包商在服务交付中，现网操作授权、工具/软件获取、数据采集和使用、网络接入管理等关键控制点需加强管控，确保服务交付的网络安全3、 衡量是否遵从网络安全的要求，不是以结果或行为人主观意愿为标准，而是以行为作为依据4、 三个审批”是指现网操作前要获得客户审批，华为项目组审批，技术审批。Citrix是远程接入平台5、 软件和工具获取：分包商员工只能使用从Support网站下载的软件和工具，或分包合同中指定的工具软件。如果没有support软件下载权限，可联系华为工程师获取软件和工具6、 网络移交：工程结束后分包商员工代表华为向客户移交关键信息资产时，做好帐户密码移交远程接入信息等，并提醒客户更改密码7、 远程接入：远程接入客户网络前须获得客户授权、华为项目组授权8、 在施工过程中，如果分包商员工对网络安全的要求不确定时（特别是涉及现网操作、数据采集和保存），应暂停工作并联系其华为项目组的项目经理9、 如果在施工中遇到突发网络安全事件（如网络业务中断、黑客攻击、病毒感染网络等），分包商员工应第一时间将情况通知给其对应华为项目组的项目经理10、 质量红线是指在日常交付与服务业务活动过程中严格禁止的行为，通常是指一些渎职或严重失职的行为，一旦触犯将会给公司造成损害和负面的影响或者带来较大的风险，相关直接责任人及其管理责任人也将受到相应处理。11、 质量红线根据行为的性质和后果的严重程度分为A类红线和B类红线12、 A类质量红线通常指严重的违规行为，该行为通常存在明显的不诚信13、 违规处理机制的原则有：分层分级处理原则和管理责任原则14、 参考制造质量红线违规问责标准，简化问责等级：从违规性质（A类或B类红线）、造成后果两个纬度确定两级问责等级15、 12个月内同一责任人出现3次二级问责则升级为1次一级问责9、 违规线索来源：质量稽查，质量回溯，内外部投诉等10、 A类红线违规每次扣1分，B类红线违规每次扣心分11、 客户申告的现网所有问题，都需要录入皿£系统跟踪闭环，确保问题有记录可追溯。12、 变更实施方案或问题解决方案在实施前都需要进行测试床验证。如果事先知道方案存在重大风险或缺陷，则需要由现场维护项目组与客户沟通，协商制定新的实施时间计划13、 所有直接、间接或可能影响现网设备运行的操作都归类为高危操作21、 所有高危操作必须填写“变更电子流”进行审批通过后方可实施或者填写“Icare问题单”，严禁先实施后提单审批；22、 高危操作必须在已经得到“技术授权”、“管理授权”与“客户授权”的前提下才可以进行；23、 高危操作必须在业界操作时间段“凌晨0：0=6：00”内进行；（如必须要在其它时段进行操作，该操作必须以产品LeaderWSEM的回复同意邮件作为备案依据）；24、 所有需要倒回的高危操作必须立即电话通报至产品Leader25、 严禁凌晨3顼0后执行新增高危操作，对于未完成的操作及时与高危操作值班人员沟通确认。26、 所有高危操作人员至少由现场操作人员和保障人员组成（保障人员必须是华为自有人员，可以远程或现场保障，视具体情况而定），重大操作由合作单位交付的，合作单位必须同时指派保障人员；27、 现场操作人员对于操作过程中出现的问题如果30分钟未解决，需立即电话向保障人员进行求助；28、 保障人员参与处理30分钟仍无法解决，需立即电话向产品Leader进行求助。29、 如果按照计划时间前完成，操作人员必须以短信形式将操作结果知会保障责任人与产品Leader；30、 如果在计划完成时间点仍未完成操作，操作人员必须电话知会产品Leader31、 现场操作人员在整个高危操作过程前、后需严格按照checklist进行自检，并在高危操作完成当天的14：00前将《合肥代表处重大高危操作准备及闭环Checklist》电子件发送产品Leaded左良凤（ID：60019953）检查并存档31、事故定级的目的：内部资源调度、快速恢复事故、及时进行客户关怀32、 工程师对于受理到的业务中断故障申告5分钟内通报产gader,产品Leader判断是否进行事故通报；（严禁对业务中断故障隐瞒或延误上报）33、 代表处服务产品Leader，受理到事故后的5分钟内通报到网络保障业务部部长、（区域）服务经理、SPM；34、 中国地区部3大T为二类客户，三级事故的门槛为1千，二级事故的最低门槛为3万，一级事故的最低门槛为50万,35、 影响用户的定义调整：原定义“系统中实际配置的用户”调整为“故障时刻平均话务用户”36、 二级事故2小时内没有恢复，将升级为1级；三级事故2小时内没有恢复，将升级为2级；4小时没有恢复将升级为一级37、 高危操作等单次使用帐号权限后的一个工作日内，阶段性权限使用在项目结束后的一周内，必须完成帐号归还或销户，逾期既为长期38、 所有客户版的问题处理报告在提交给客户前必须经过产品leader与SPM（或区域服务经理）的审核，严禁将未审核通过的报告直接提交客户为加强递交给客户的问题处理报告的规范性，避免因报告撰写不当导致的问题无法及时关闭、甚至扩大问题影响范围的情况出现，特制定此规定：一、 客户版问题处理报告的审核发布流程：1、 所有的问题处理报告在提交给客户前必须经过产品leader与SPM（或区域服务经理）的审核，严禁将未审核通过的报告直接提交客户；2、 对于三级事故以上问题的处理报告在产品leader与SPM审核后，必须由代表处交付与服务副代表审批通过后才可以提交给客户。对于一般问题的处理报告在产品leader与SPM审核后，由代表处网络保障服务部审批通过后即可以提交客户；二、 客户版问题处理报告提交的原则：1、对于客户非强烈要求的问题处理，尽可能不提供问题处理报告，而采用当面汇报的方式关闭问题;2、 对于客户强烈要求提供问题处理报告时，尽可能采用纸面件提交，并当面进行汇报以关闭问题，除非客户明确要求，不建议提交电子件；3、 在纸面件向客户汇报时，尽可能注意纸面件的回收，避免信息安全。三、客户版问题处理报告审批责任人:产品技术审核规范及客户影响审核发布审批人三级及以上事故处理报告无线产品：王郁核心网产品：杨曙辉光网络产品：张大庆数通接入产品：徐春园软件业务部：卜建华省公司：客户群SPM区域：服务经理石达一般问题处理报告省公司：客户群SPM区域：服务经理高晓翔请各责任人严格履行职责，做好客户版问题处理报告的审核工作，保证客户版问题处理报告的质量，不断促进客户对代表处问题处理满意度的提升，对于因未遵守审批流程提交报告给客户并导致客户满意度下降的事件，将计入相关环节责任人负向关键事件。关于规范使用在网设备帐号的管理规定为杜绝华为及合作单位工程师在无客户授权情况下私自操作在网设备，有效控制局数据和网元的操作权限，保证网络安全，特制定此管理规定：1、 严禁工程师长期持有网络专用帐号，严禁工程师长期使用客户帐号；（高危操作等单次使用帐号权限后的一个工作日内，阶段性权限使用在项目结束后的一周内，必须完成帐号归还或销户，逾期既为长期）2、 工作中需要使用权限时，应让客户输入“帐号与密码”后执行操作，或者由客户提供“帐号与密码”使用，并在单次使用结束后立即提醒客户对“密码”进行更改；3、 如确实因为工作需要阶段性持有帐号时，经产品Leader确认后可向客户申请专用帐号，要求如下：♦帐号申请人即为该帐号安全责任人；♦帐号权限申请时应遵循权限最小化的原则，满足本阶段业务需求即可；♦专用帐号对应的密码设置必须符合一定安全度，避免该帐号被盗用；♦帐号专人专用，严禁多人共用同一“帐号与密码”，严禁将自己持有的帐号借与他人使用；♦阶段性工作结束后需及时向客户汇报，并与客户确认帐号注销。自本规定下发之日起，请各位工程师立即对自己目前持有的客户网络帐号按照以上要求进行清理，并与客户沟通确认。对于违反以上管理规定的行为，一经查实，将对责任人按照公司四级以上信息安全违规进行处罚；对于因违反本规定导致网络事故的责任人，当期考核不高于C。本规定自下发之日起开始执行。网络安全抽查问题汇总判断题：1、 进入客户场所设施：进入客户站点、机房、客户办公区域需要得到客户授权。（对）2、 远程接入：远程接入客户网络前须获得客户授权、华为项目组授权。（对）3、 接入前杀毒：分包商员工的工作电脑安装杀毒软件并保持更新，每个月例行有FullScan记录，避免病毒引入客户网（对）4、 遵守客户的各项规章制度，服从客户的管理，不攻击、破坏客户网络，不破解客户账户密码（对）5、 遵守客户账号管理的要求，不共享账号和密码，不使用他人账号或非授权账号登录设备进行操作（对）6不在客户设备和系统中植入任何恶意代码、恶意软件、后门，不预留任何未公开接口和账号（对）7未经客户书面许可，不使用个人便携设备、存储介质接入客户网络、（对）8未经客户书面授权，不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。（对）9在商用或转入维护阶段后，不保留或使用管理员账号及其它非授权账号（对）10不使用非授权软件在客户网络上运行，需使用来自客户正式渠道的软件版本、补丁、许可（对）11每个接入网络时每人单独使用一个帐号，且必须在客户授权范围内使用，不得共享账号（对）12未经客户书面授权，不可在客户网络上安装或使用任何软件（对）13意识转变是最重要的，主管上无恶意是不够的，关键要做到客观上无风险，这是一个完全不同的概念（对）14、 帐号管理：每个接入网络时每人单独使用一个帐号，且必须在客户授权范围内使用，不得共享账号。（对）15、 软件和工具获取：分