全球技术服务部服务交付安全手册V30
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全球技术服务部服务交付安全手册
文档版本
V3.0 发布日期 2019-11-12
华为技术有限公司
修订记录
目录
1 目的与范围 (4)
1.1目的 (4)
1.2范围 (4)
2 服务交付安全规范 (5)
2.1物理与环境的安全 (5)
2.2通信和操作安全 (6)
2.3访问控制 (7)
2.4信息系统开发与维护 (8)
2.5其它 (9)
3 责任与处罚 (10)
3.1处罚原则 (10)
3.2违规等级 (10)
4 管理者责任 (12)
1 目的与范围
1.1 目的
1.1.1 落实全球网络安全委员会(GNSC)确保客户网络运营安全的要求。
1.1.2 规范员工服务行为,提高员工服务交付安全意识,确保服务过程中客户信
息和资产的安全。
1.2 范围
本手册旨在说明具体的安全控制规定,有关规定适用于华为技术有限公司及其子公司、分公司、其他关联公司以及分包商和代理商在服务交付活动中的客户信息和资产的安全管理。
2 服务交付安全规范
本手册以ISO27001为参考标准,结合GTS交付与服务相关业务场景,在《全
球技术服务部安全生产手册V2.0》基础上优化而成。
ISO27001标准包括以下主要模块:
2.1 物理与环境的安全
2.1.1 进出客户机房、网管中心、办公区域、敏感区域(如政府机关、军队等)
必须遵从客户或机构的管理规定;华为自建的NOC和RNOC,应制定满足客户要求的管理规定,并严格遵守。
2.1.2 严禁泄漏站点门禁系统密码,或自配机房钥匙,如有遗失应及时上报客户
并备案;对于管理服务项目,非管理服务项目从业人员进入站点要求出示客户批复的书面许可。
2.1.3 在服务过程中,严禁工程师操作客户机房中其他厂家的设备(设备搬迁项
目、我司提供的配套设备、管理服务项目等其它厂家设备操作责任界面属于华为除外)。
2.1.4 对于搬迁项目,旧设备的销毁和退回需遵照客户的要求,特别应检查所有
含存储介质的设备,以确保在销毁前所有敏感数据或授权软件已经被移除或安全重写。
2.1.5 从客户接收的资产,要有完整的资产信息记录,保证资产的完整性,并根
据客户的要求进行历史数据的保留或维护。
2.2 通信和操作安全
2.2.1 未经客户许可,不得对客户设备程序、配置文件、数据以及日志进行查询、
复制、修改等操作,不得改动网络设备连接;管理服务项目按与客户达成的流程进行执行。
2.2.2 未经客户许可,不得在客户设备上安装和使用临时软件和工具,并要向客
户讲解安装软件和工具可能给设备带来的危害;现场服务结束后,删除因服务需要而客户允许安装的临时软件和工具,恢复设备运行环境。
2.2.3 站点获取、射频勘测、微波勘测等过程中,对敏感区域的拍照需得到政府
或军队等部门的许可。
2.2.4 未经客户事前授权,不得在客户场所内使用数码或普通相机,包括任何形
式的摄像机或手机自带的相机;并确保公司区域所拍摄的照片或捕捉的的活动图像不得包含任何客户信息。
2.2.5 设备调测前,需检查设备上是否存在不相关的软件和文件。
2.2.6 调测阶段,未经客户允许不得随意增设测试账户信息和账户业务功能。
2.2.7 调测阶段建立的测试账户信息、余额修改信息等,仅在客户要求并签字确
认后方可保留。
2.2.8 对于第三方设备应根据责任矩阵履行,不得随意操作或更改第三方设备,
如有需要按业务流程上报。
2.2.9 不得利用客户网络做与工作无关的事,如玩网络游戏、登录与工作无关的
网站。
2.2.10 对客户设备进行有风险的操作时(例如软件升级、重要硬件更换、网络结
构变更等),应事先书面向客户说明,征得客户同意后,方能执行;操作内容应该基于实验室或者网络模拟数据。
2.2.11 未经客户许可,禁止随意使用个人便携设备、存储介质(例如可擦写光盘、
U盘、移动硬盘等)接入客户网络,如果必须使用,接入设备和介质必须经过最新病毒库的检测,确保没有携带病毒、木马等程序。
2.2.12 提醒客户定期检查设备日志是否记录正常,并定期对设备进行系统和数据
备份,备份数据需进行妥善保存;对于管理服务项目,我司工程师按维护要求进行数据备份和保存。
2.2.13 在敏感的通信保障期间(默认为重大节日、重要会议期间以及客户特殊要
求时段)应避免操作客户网络设备。
2.2.14 对于存储有客户信息的设备和系统,在变更或升级过程中,确保客户的相
关信息得以继承,不被删除或损坏。
2.2.15 第三方安全软件在使用时不得作出修改,如果的确有必要进行修改,须获
得客户安全部门的批准。
2.3 访问控制
2.3.1 设备调测过程中,应及时在已安装的服务器和终端设备上设置管理员密码,
并保证密码的复杂度。
2.3.2 工程移交前,须统一修改调试用密码后再提交给客户,移交清单中包括密
码的移交内容,并要求客户自行修改密码后签字确认。
2.3.3 提醒客户对操作和访问权限进行必要的限制,分权分域,最小权限原则设
置;并确保每个人员有唯一的用户身份证明和密码,仅供本人使用。
2.3.4 提醒客户定期对设备所有密码进行更新,并保证密码的复杂度;定期对设
备账号进行清理,清除不用的账号。
2.3.5 管理服务项目账户和密码的维护责任主体我司,应遵照2.3.3和2.3.4的设
置要求。
2.3.6 接入客户维护网络时,必须设置指定的IP地址,避免IP地址冲突造成对其
它设备的影响。
2.3.7 进行现场服务时,必须经过客户同意并要求客户陪同,应使用客户给予的
临时账号和密码,不与他人共用账户和密码;不能超过客户预先审批过的操作范围,如有额外操作,需经客户同意才能实施。
2.3.8 现场服务结束后,应清理本次服务过程中所有增加的临时性工作内容(如
删除过程数据,取消登录账号等),如果由于后续工作需要,某些临时性工作内