华为全球技术服务部安全生产手册V2.0

第一篇：华为全球技术服务部安全生产手册V2.08987887.doc文档密级：内部公开华为技术有限公司全球技术服务部华为技函【2008】53号【内部公开】【一般】全球技术服务部安全生产手册V2.0（2008年9月30日第一次修订稿）1目的为加强客户设备信息安全工作，规范员工的服务行为，提高员工的信息安全意识，保证客户设备的信息安全，特制定本手册（以下简称“本手册”）。2适用范围本手册适用于全球技术服务部工程业务、基础服务、管理服务等所有技术服务活动中涉及客户设备信息安全的行为。3客户设备信息安全准则3.1不得恶意收集客户设备的重要信息（如网络拓扑结构，IP地址、设备口令、最终用户帐户信息等），不得泄漏客户设备的重要信息，所持有的客户设备信息须在工作完成后及时删除和销毁。3.2经客户许可持有的客户设备信息文档（如数据文件、算法程序、外购件配臵信息、设备序列号、设备条码等），未经许可不得扩散，并在工作完成后及时删除和销毁。该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。3.3未经客户许可，不得擅自操作客户设备，该许可必须是可追溯的记录（例如传2007-08-28华为机密，未经许可不得扩散,8987887.doc文档密级：内部公开真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。3.4在操作客户设备过程中，不得利用客户网络从事与工作无关的事情，如玩网络游戏、登录与工作无关的网站。3.5在操作客户设备过程中，禁止随意将个人便携设备、存储介质（包括但不限于可擦写光盘、U盘、移动硬盘等）接入客户设备，如果必须接入，所接入设备和介质必须经过最新病毒库的检测，确保没有携带病毒、木马等程序。3.6在操作客户设备过程中，禁止使用服务器和维护终端连接互联网；如果必须连接，应做好安全防护措施（例如安装防火墙、VLAN隔离、安装防病毒软件、更新系统补丁、系统加固等）。一旦操作过程中设备感染病毒，应当立即把被感染设备隔离，进行杀毒处理后再连接到相应网络。3.7未经客户许可，不得在任何客户设备上安装和使用其他软件和工具，如果必须安装务必要向客户讲解安装软件和工具可能给设备带来的危害。该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。3.8在操作客户设备过程中，未经客户许可，不得修改客户设备程序、配臵文件、数据以及日志等。该许可必须是可追溯的记录（例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一）。3.9提醒客户定期更新设备所有密码，并保证密码的复杂度，并定期对设备帐号进行清理，清除不用的帐号。4客户设备信息安全要求4.1工程业务的客户设备信息安全要求2007-08-28华为机密，未经许可不得扩散,8987887.doc文档密级：内部公开4.1.1网络规划报告、基站工程参数表、网规参数设计报告、网络优化报告和日常的网络质量分析和监控报告都涉及客户组网和网络信息，不得泄密。4.1.2站点勘测设计中的输入、输出文件（如客户网络组网方案、站点设备配臵、勘测报告、设计图纸等信息），涉及客户组网和网络信息，不得泄密。4.1.3在设备安装阶段，工程师不得在非客户设备上安装使用客户购买的操作系统、数据库等软件，不得将客户购买设备序列号、相关软件license信息用于非本项目用途。4.1.4在设备安装过程中，应及时在已安装的服务器和终端设备上设臵管理员密码，并保证密码的复杂度。禁止在服务器和终端设备上安装、执行与工作无关的任何其他软件。4.1.5调测阶段，从客户处获得的设备对接信息和调测信息，不得泄密。4.1.6调测阶段建立的一切远程登录环境所涉及的登录信息在调测结束后必须修改或者删除，并经客户签字确认。4.1.7在调测阶段，未经客户允许不得随意增设测试帐户信息和帐户业务功能。4.1.8调测阶段建立的测试帐户信息、余额修改信息等，仅在客户要求保留并签字确认后方可保留。4.1.9调测阶段生成的验收手册，包含客户的业务特性、计费信息等机密信息，不得泄密。4.1.10验收阶段输出的相关文件（如系统上线信息、系统遗留问题、商用时间等），涉及客户商业机密，不得泄密。4.1.11工程移交之前，须统一修改调试用密码后再提交给客户。移交清单中需包括2007-08-28华为机密，未经许可不得扩散,8987887.doc文档密级：内部公开密码的移交内容，并要求客户自行修改密码后签字确认。4.2技术支持业务的客户设备信息安全要求4.2.1在GCRMS系统中创建问题单或处理问题单时，禁止填写客户业务帐号和密码信息。4.2.2总部指导一线工程师现场处理时，所涉及的系统密码等重要信息应通过电话或加密邮件方式通知对