华为 全球技术服务部安全生产手册 V2.0

华为技术有限公司全球技术服务部

华为技函【2008】53号

【内部公开】

【一般】

全球技术服务部安全生产手册V2.0

(2008年9月30日第一次修订稿)

1 目的

为加强客户设备信息安全工作,规范员工的服务行为,提高员工的信息安全意识,保证客户设备的信息安全,特制定本手册(以下简称“本手册”)。

2 适用范围

本手册适用于全球技术服务部工程业务、基础服务、管理服务等所有技术服务活动中涉及客户设备信息安全的行为。

3 客户设备信息安全准则

3.1 不得恶意收集客户设备的重要信息(如网络拓扑结构,IP 地址、设备口令、最终用户帐户信息等),不得泄漏客户设备的重要信息,所持有的客户设备信息须在工作完成后及时删除和销毁。

3.2 经客户许可持有的客户设备信息文档(如数据文件、算法程序、外购件配臵信息、设备序列号、设备条码等),未经许可不得扩散,并在工作完成后及时删除和销毁。该许可必须是可追溯的记录(例如传真、录音、EMAIL 、通知、现场服务确认、确认的会议纪要等方式之一)。

3.3 未经客户许可,不得擅自操作客户设备,该许可必须是可追溯的记录(例如传

真、录音、EMAIL 、通知、现场服务确认、确认的会议纪要等方式之一)。

3.4 在操作客户设备过程中,不得利用客户网络从事与工作无关的事情,如玩网络游戏、登录与工作无关的网站。

3.5 在操作客户设备过程中,禁止随意将个人便携设备、存储介质(包括但不限于可擦写光盘、U 盘、移动硬盘等)接入客户设备,如果必须接入,所接入设备和介质必须经过最新病毒库的检测,确保没有携带病毒、木马等程序。

3.6 在操作客户设备过程中,禁止使用服务器和维护终端连接互联网;如果必须连接,应做好安全防护措施(例如安装防火墙、VLAN 隔离、安装防病毒软件、更新系统补丁、系统加固等)。一旦操作过程中设备感染病毒,应当立即把被感染设备隔离,进行杀毒处理后再连接到相应网络。

3.7 未经客户许可,不得在任何客户设备上安装和使用其他软件和工具,如果必须安装务必要向客户讲解安装软件和工具可能给设备带来的危害。该许可必须是可追溯的记录(例如传真、录音、EMAIL 、通知、现场服务确认、确认的会议纪要等方式之一)。

3.8 在操作客户设备过程中,未经客户许可,不得修改客户设备程序、配臵文件、数据以及日志等。该许可必须是可追溯的记录(例如传真、录音、EMAIL 、通知、现场服务确认、确认的会议纪要等方式之一)。

3.9 提醒客户定期更新设备所有密码,并保证密码的复杂度,并定期对设备帐号进行清理,清除不用的帐号。

4 客户设备信息安全要求

4.1 工程业务的客户设备信息安全要求

4.1.1 网络规划报告、基站工程参数表、网规参数设计报告、网络优化报告和日常的网络质量分析和监控报告都涉及客户组网和网络信息,不得泄密。

4.1.2 站点勘测设计中的输入、输出文件(如客户网络组网方案、站点设备配臵、勘测报告、设计图纸等信息),涉及客户组网和网络信息,不得泄密。

4.1.3 在设备安装阶段,工程师不得在非客户设备上安装使用客户购买的操作系统、数据库等软件,不得将客户购买设备序列号、相关软件license 信息用于非本项目用途。

4.1.4 在设备安装过程中,应及时在已安装的服务器和终端设备上设臵管理员密码,并保证密码的复杂度。禁止在服务器和终端设备上安装、执行与工作无关的任何其他软件。

4.1.5 调测阶段,从客户处获得的设备对接信息和调测信息,不得泄密。

4.1.6 调测阶段建立的一切远程登录环境所涉及的登录信息在调测结束后必须修改或者删除,并经客户签字确认。

4.1.7 在调测阶段,未经客户允许不得随意增设测试帐户信息和帐户业务功能。

4.1.8 调测阶段建立的测试帐户信息、余额修改信息等,仅在客户要求保留并签字确认后方可保留。

4.1.9 调测阶段生成的验收手册,包含客户的业务特性、计费信息等机密信息,不得泄密。

4.1.10 验收阶段输出的相关文件(如系统上线信息、系统遗留问题、商用时间等),涉及客户商业机密,不得泄密。

4.1.11 工程移交之前,须统一修改调试用密码后再提交给客户。移交清单中需包括

密码的移交内容,并要求客户自行修改密码后签字确认。

4.2 技术支持业务的客户设备信息安全要求

4.2.1 在GCRMS 系统中创建问题单或处理问题单时,禁止填写客户业务帐号和密码信息。

4.2.2 总部指导一线工程师现场处理时,所涉及的系统密码等重要信息应通过电话或加密邮件方式通知对方,禁止采用传真方式。

4.2.3 工程师进行现场服务时,必须经过用户同意并要求客户陪同,应使用客户给予的临时帐号和密码,禁止使用系统超级密码和口令。不能超过用户预先审批过的操作范围,如有额外操作,需经客户同意才能实施。

4.2.4 远程服务前必须提交远程服务申请,在申请获得客户批准后,服务工程师应要求客户以电话或加密邮件的方式提供接入设备的信息(如登录名、登录密码,登录地址,拨入号码等)。

4.2.5 在客户批准远程服务申请后,我司使用的远程维护软件应得到客户的许可。该许可必须是可追溯的记录(例如传真、录音、EMAIL 、通知、现场服务确认、确认的会议纪要等方式之一)。

4.2.6 远程维护和升级结束后,所创建的远程服务环境应及时删除,并通知客户及时关闭设备侧的远程服务环境。同时,要求客户在服务报告中签字确认是否已经更改口令。

4.2.7 现场服务时,严禁泄漏客户模拟升级数据,如需发送给相关人员,必须加密。升级过程中,需指定数据的管理责任人,升级结束后应及时删除。

4.2.8 现场服务结束后,应清理本次服务过程中所有增加的临时性工作内容(如删

除过程数据,取消登录帐号等),如果由于后续工作需要,某些临时性工作内容需要保留,必须获得用户的书面批准。

4.2.9 现场服务结束后,需客户在服务报告中签字确认是否已经更改登录口令。 5 责任与奖惩

5.1 奖惩原则

5.1.1 根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级。

5.1.2 对于一次违反多条本手册人员,按最严重的违规等级处罚;

5.1.3 对于一年内两次或两次以上违反本手册人员,在该次违规等级基础上加重一级处罚;

5.1.4 对于举报人员,公司将负责保护其个人资料不对外公开。

5.2 违规和处罚等级

5.2.1 三级违规:对于违反本手册,性质较轻,没有造成安全事故或客户投诉的,通报批评,责令书面检查,罚款100-1000元。违规行为举例(包括但不限于):

5.2.1.1 设备正式移交客户前或完成技术服务后,未正式要求客户自行修改帐号、密码,或未与客户正式签字确认“修改帐号、密码”事宜。

5.2.1.2 设备正式移交客户时或完成技术服务后,未清除测试账户、测试数据、远程接入配臵等。

5.2.1.3 未经客户正式许可,擅自建立远程接入环境;远程服务结束后,未及时取消远程接入环境。

5.2.1.4 未经客户正式许可,私自持有客户重要保密信息(商业、技术、合同、业务规划、组网信息、设备帐号、密码、最终用户信息)。

5.2.1.5

信息。

5.2.2 未经许可,私自以明文方式记录、传播本人持有的客户设备帐号、密码二级违规:对于蓄意收集客户设备帐号、密码信息,或违反本手册,性质严重,造成安全事故或客户投诉的,严重警告,责令书面检查,降薪500-1000 元。违规行为举例(包括但不限于):

5.2.2.1 私自在客户设备上设臵帐号、密码,或修改帐号权限范围,未导致安全事故或客户投诉。

5.2.2.2 未经许可,私自获取他人所持有的帐号、密码,或私自扩大本人可持有帐号权限。

5.2.2.3 蓄意窃取客户或最终用户帐号、密码,但未给客户以及最终用户造成经济或名誉损失。

5.2.2.4 泄漏客户重要保密信息(商业、技术、合同、业务规划、组网信息、设备帐号、密码、最终用户信息),给客户造成名誉或经济损失。

5.2.2.5

5.2.3 擅自传播、修改最终用户个人信息,造成最终用户名誉或经济损失。 一级违规:对盗窃客户财物,有意盗窃、泄露客户、最终用户保密信息,或蓄意破坏客户通信设备、计算机系统,性质恶劣,造成客户、公司严重损失的,给予辞退、开除、公示的处理,记入个人人事档案,并要求赔偿相应损失。对于触犯中国法律或所在国法律的,移交相应国家司法机关依法处理。违规行为举例(包括但不限于):

5.2.3.1

5.2.3.2 私自在客户设备上配臵充值卡、帐号信息,盗取客户财物。 蓄意盗取客户或最终用户保密信息,给客户、最终用户造成重大名誉损

失或经济损失。

5.2.3.3 蓄意破坏客户通讯设备、计算机系统的硬件、软件、数据配臵等,造成通信中断或通信故障。

5.3 奖励等级

5.3.1 三级:对长期遵守安全生产手册,对客户设备信息安全工作提出了合理化建议,主动堵塞客户设备信息安全漏洞的人员,可申报年度专项奖

5.3.2 二级:对举报他人的违规行为或及时向公司反馈安全隐患的人员,给予1000-5000 元的奖励并记关键事件。

5.3.3 一级:对及时制止他人的违规行为或及时避免了严重损害客户、公司利益事件,并为客户和公司挽回重大损失的人员,根据具体情况给予重奖,并记关键事件。

6 管理者责任

对在客户设备信息安全管理制度和措施上贯彻、监控不力、失职的主管,或所辖部门、区域发生客户设备信息安全事故的,相关主管承担管理责任:

6.1 所辖部门、区域发生一级违规,对直接管理者降级、降薪,对领导者罚款、通报批评,并记关键事件;

6.2 所辖部门、区域发生二级违规,对直接管理者罚款、通报批评,对领导者通报批评,并记关键事件。

7 奖惩部门

7.1 对于二、三级违规人员,由员工关系所在地的HR 部门发文处罚。

7.2 对于一级违规人员,由员工关系所在地HR 部门提出处理意见,提交公司人力资

源部批准发文处罚。

7.3 对于满足奖励条件人员,由员工关系所在地HR 部门直接给予奖励。

8 手册的解释和修订

8.1 本修订文件自签发之日起生效。同时,将2007年9月4日签发的华为技函【2007】36号《全球技术服务部安全生产手册V1.0》予以作废。

8.2 本手册由全球技术服务部信息安全管理办公室每年审视一次,如有修订,将发布更新文件。本手册的解释权归全球技术服务部信息安全管理办公室。

全球技术服务部

二〇〇八年十月十五日 发至:全球技术服务部各部门、各地区部交付与服务副总裁、各代表处交付与服务副代

华为技术有限公司全球技术服务部 二〇〇八年十月十五日


相关文章

  • 质量管理手册(华为) (1)

    质量管理手册 HUAWEI QUALITY MANAGEMENT MANUAL 2007年8月 华为机密,未经许可不得扩散 Page 1 of 33 目录 第1章 第2章 质量手册说明 ......................................................... ...

  • 华为售后服务能力

    华为售后服务 1 售后服务能力 为了给您提供更专业.快捷.周到的服务,华为公司为提供了完备服务团队.服务团队的成员及职责如下: 1) 服务经理:作为客户服务的统一接口.为贵公司的设备运维提供专业.快捷的服务. 2) 项目经理:负责组织华为后台资源团队,成员包括华为总部产品技术专家.热线远程技术支持专 ...

  • 20XX年深圳软件产业发展介绍

    2011年十五届软博会官方网站"年十五届软博会官方网站"深圳展团"深圳展团" 深圳软件产业发展介绍 深圳软件产业发展介绍 深圳软件产业经过20年的迅猛发展,成果辉煌.2010年深圳软件业务收达到1891.4亿元,十年共增长30倍, 全国排名第二.2010年软件 ...

  • 北京联通宽带客户端操作指导手册

    ----------2012---------- 北京联通宽带用户端操作指导手册 目 录 一.对上网环境的自检工作............................................................................................. ...

  • 有线&无线通信技术资料(各种通信书籍的整合)

    出售:通信技术资料光盘(共3CD,广告长期有效) 发货方式:中国邮政EMS快递,款到发货,保证信誉,保证质量. 商品价格: 无线通信技术光盘2CD(50元/CD,单购需另支付25元EMS费用,赠送IS95.CDMA2000.CDMA1X.GSM.GPRS.WCDMA.TD-SCDMA.Wimax.W ...

  • 华为智慧教育解决方案彩页

    华为智慧教育解决方案简介 教育是增强国家综合实力的基础.为了提高教育的质量和效益,培养出适应信息化生存环境的新一代公民,需尽可能缩小不同区域学校之间的"数字鸿沟",促进教育资源的共享,利用信息化推动实现教育的跨越式发展. 华为致力于成为全球教育ICT 合作伙伴,在教育信息化领域提 ...

  • 宝钢企业文化内涵

    创新文化助推宝钢从"跟跑"到"领跑" 中广网北京10月10日消息 这里曾被看成钢铁工业发展的沙漠:既没有丰富 的能源储备,也不是钢铁原料的产地:但是这里有独特的创新精神和创新文化,三 十年,宝钢的历史向所有人展示了创新精神使宝钢从无到有,从小到大,从弱到强, ...

  • 华为手机的渠道之踵

    作者:张缄 商界评论 2012年09期 两个月时间,华为终端事业部董事长余承东的粉丝从15万增加到30万,足以见通信巨头涉猎高端智能手机业务后的影响. 4月18日,华为手机Ascend P1发布,业内瞩目的华为手机渠道"鹿死谁手"的猜测终于揭晓:华为将P1的代理权交给了天音通信. ...

  • 华为视频会议基本知识1

    华为视频会议入门手册 关于技术 Q 1. 什么是视频会议系统? A 视频会议是利用现有通信网(包括各种传输网络)和数字信号压缩处理技术,将音视频和数据信号处理后传到远端,实现面对面的交流.其交流形式为点到点,点对多点.主要设备包括MCU (多点控制单元).视频会议终端.网关.网守和相关的配套外围设备 ...

联系我们: webmaster# 5330.net.cn