数据安全工作管理办法.doc

数据安全工作管理办法1   概述本办法仅针对灾备中心基础配套设施外包的管理,包括外包风险等级说明、服务商准入管理、机房环境标准、管理要求、服务水平承诺、安全性管理、服务监控评价、服务纠纷处理、服务中断与应急等。本办法将根据制度、法律、法规等的变更而适时更新。2 外包风险等级说明本灾备中心场地的外包类型属于“机房的基础配套设施”。风险等级符合“信息科技外包风险管理指引”所定义的中度风险等级“(二)合约年度额大于十万元人民币的IT外包”。3 服务商准入管理(一)必须是国内依法成立、合法经营的公司或其他经济组织,具有社会权威管理认证机构颁发的资格证书。  (二)必须在当地有常设实体机构,具备完善的生产管理体系和组织机构,对所外包服务要专门的管理部门。(三)必须与直接参加工作的人员签有劳动合同,特殊岗位的人员应通过技能认证与考试。4 机房环境标准(一)提供标准机架、UPS电源、照明、消防、恒温恒湿。(二)。(三)每天24小时管理人员值班。(四)负责人员发放出入证,并配合技术人员每天24小时进入机房进行设备安装、调试和维护工作。(五)每天24小时机房大楼保安和基本的设备监控管理。(六)45U以下(含49U)机架承放设备不得超过15台;49U以上机架承放设备数量不得超过18台。5   人员进出管理1、  进入灾备机房人员,应填写申请单,并获得授权人批准。2、  进入灾备机房人员,应填写申请单,并先知会外包服务商。3、  进入灾备机房人员,应由工作人员和外包服务商工作人员陪同。4、  进入灾备机房人员,应配合外包服务商进入及登记管理,也应灾备机房内登记。5、  进入灾备机房人员,在灾备机房内工作,应尊重陪同人员操作安全指示和监督。  设备进出管理1、  进出灾备机房设备,应填写申请单,并获授权人批准,同时知会外包供应商。2、  进出灾备机房设备,数据中心应登记设备信息。3、  进出灾备机房设备,应配合外包服务商进入检查管理。4、  在灾备机房内安装或下架设备,应尊重陪同人员操全指示和监督。 工作及检查规定1、  IT系统工作人员应把每次工作任务做简要登记到机房工作日志中。在灾备机房内的工作人员,应保持机房清洁、随手关门、发现问题及时报告。2、  所有设备上机柜前,必须先通电测试。现有机柜设备上电,应确保所增加设备不超过机柜用电负荷。新增机柜设备上电,应先通知外包供应商开启机柜电力开关,且确保通电正常。3、  数据中心工作人员每月检查一次灾备机房,包括机房环境、IT设备等。每月进行例行工作,包括备份、文件收取等。4、  数据中心操作员每年参加行内BCP演练,检验应急人员响应时间、到达灾备中心时间、人员应急进出、现场演练操作、应急包等。     其他管理要求1、  每年至少开展一次信息安全风险评估及完成有关评估报告。2、  服务商为灾备机房购买有效的商业保险。其保险覆盖范围包括机房内设备的火险、水险、地震、天灾及机房内人员意外及第三者保险。而其赔偿额度能合理及足够地覆盖上述范围。3、  服务商为灾备机房制