20181017 安全指引( SOP 会参考的内容)

人身安全管理

目标

  • 人身安全管理的目标是保证所有在机房范围内工作的人员生命安全身体健康不受环境影响或工作原因受到损害,保证阿里业务不受人身安全问题影响而中断。

    本规范旨在制定 IDC 机房人身安全管理要求与指引,用于指导数据中心经理,制定或者推动相关方(如自建机房现场物业管理方运营商物业管理方)制定适用于本机房的 IDC 机房人身安全操作指引,并协助 IDC经理进行自建机房的人身安全管理水平。同时,也对 IDC经理审视运营商机房人身安全管理风险和进行人身安全交流,提供支撑

  • 结合机房外部环境、内部环境、日常运营、现场施工等各方面因素考虑,人身安全管理方法可以归纳为以下 4 点(PPRR):

    • 人员(People)
    • 流程(Process)
    • 制约(Restriction)
    • 风险(Risk)

      人员(People)

人员职责:

人身安全管理需要由不同的角色来共同承担,所以对人员职责的定义显得极其重要,包括机房经理、运营商、驻场团队、运营优化各个责任方在人身安全管理中的职责定义。

人员培训:

需要对每个岗位角色进行针对性的培训,以达到每个角色都清楚自己在人身安全管理中所处的位置、所承担的责任;需要将安全管理制度、安全标识代表意思、场景安全操作指引、风险定义、安全应急预案等人身安全管理指引中覆盖的内容都培训到位、培训到人,确保人人理解、人人执行。

人员考核

为了提升人身安全管理的质量,需要制定对应的人员考核方法,通过考核了解人身安全执行的程度,通过考核考评各个岗位对人身安全管理要求执行是否到位,以此提高人员对人身安全管理的重视程度,提升人身安全管理的质量。

流程(Process)

目标

人身安全管理的流程,是规范人身安全管理的执行 IDC 通过制定的标准流程,控制操作风险;通过标准的应急预案,规范突发事件的应对措施,降低人身安全的伤害程度

操作指引

针对具有高风险的操作,制定安全操作指引,所有人员对于该高风险的操作,都必须按照操作指引执行,通过规范的操作指引,避免或降低人为操作失误带来的对人身安全的伤害。

应急预案

针对可能发生的自然灾害(地震、台风暴雨、公共卫生)或人为事件(火灾事故、暴力事件),制定对应的应急措施,并通过应急演练,对场景进行假设,实施应急措施,以达到验证应急措施可行性的目的。

制约(Restriction)

所有的规章制度都需要进行制约,通过制约的方式提高人身安全管理的执行水平;通过制约的方式,规范人员行为守则、规范物理环境的标准。制约的内容包括:

安全标示

采用国际、国家标准的安全标识,将安全标识粘贴到具有人身安全风险的物理环境中,通过安全标识起到制约的功能,直接避免对应人身安全事件的发生。

安全要求

对于特殊作业,要求作业人员提供特殊作业上岗合格证,满足特殊作业要求;同时需要确保人员都采购了相关的意外保险。

管理制定

人身安全管理必须明确相关的安全管理制度,通过制度制约各个区域、各个系统的行为守则。

检查考核

检查考核作为安全管理的制约手段,对环境安全、操作指引、保障措施、应急物资做全面的检查,考核各岗位对人身安全总体的执行情况,以确保及时发现问题,及时解决问题。

风险(Risk)

目标

风险管理是人身安全管理的重要环节,所有人员都必须具备风险意识,才能进一步对风险进行查找、进行评估分析、登记参考,最终得出风险改进的措施,将风险在没有发生的时候得到解除。

场景分类

结合风险管理意识,各个岗位对具有高风险的操作场景进行分类,结合IDC自身特点,穷举具有高风险的操作场景,从类到项,细化风险场景,以便得出对应的安全操作指引。

风险分析

对IDC所有的环境与穷举的操作场景进行风险分析,确定IDC环境和自身的操作指引具有的风险,最终汇总到人身安全风险库,作为风险检查的依据。

风险评估

通过阿里自身制定的风险评估矩阵,对各个环境和操作场景的风险进行分析,得出影响人身安全的风险程度,针对不同等级的风险,采取不同的安全措施。

风险登记

风险检查的结果必须全部登记入册,生成风险登记册长期保存,作为风险汇总与风险解决的前提条件,同时提供给其他IDC作为风险检查的参考。以上人身安全管理方法简称为“PPRR”人身安全风险管理法则,阿里、运营商、驻场可以通过以上方法从4个不同的维度对自身机房进行人身安全管理,制定相关的安全管理指引并做好相关措施。

人身安全影响场景类型概述

以下是对影响人身安全的各种环境类型的分析,通过对各个类型的分析,延伸到各个安全影响范围,再对每个范围进行具体化分析,作为影响人身安全场景穷举的参考前提。

影响生命安全的场景类型

外力影响

受到超重物体物理撞击、压砸等; 场景列举:受外力影响导致的楼梯坍塌、大型设备或物体安装不牢靠导致跌落、外部运行中物体冲击;

电力影响

受到高压电击、电线短路触电等; 场景列举:电力设备保护不当导致电击、现场操作不规范引发触电、现场电力保护工具和措施不具备导致触电;

人体失衡

行走过程中摔倒或者坠落; 场景列举:地面光滑导致行走失衡摔倒、活动区域没有做好防坠保护措施导致坠落、工作区域没有做好防坠措施导致坠落;

高温火警

处于火灾环境中,容易焚烧或者缺氧; 场景列举:易燃物着火导致焚烧、封闭区域火灾导致窒息、所处区域灭火器具不具全及逃生通道不合理;

爆炸行为

因为气体膨胀或电力短路、雷击引起电力设备导致; 场景列举:气瓶压力失常、防雷措施不当导致设备爆炸;

有毒气体

有毒气体泄漏导致人员气体中毒; 场景列举:七氟丙烷在设计浓度下(9%)对人体不会产生致命风险,但是一旦超过10%的情况,长时间的呼吸对人体会产生致命影响;

水淹窒息

处于排水不畅的封闭区域,容易水浸窒息; 场景列举:封闭的区域内,排水不畅导致水位上升,处于环境内的人员无法逃生容易导致水淹窒息;

自然灾害

地震、台风、暴雨等不可抗拒的灾害; 场景列举:地震、台风导致物体坍塌压砸;台风导致重物飞行冲击;暴雨导致水位上涨或水下地形未明导致跌落;

传染疾病

大规模高危传染疾病的爆发带来的生命威胁; 场景列举:类似非典、埃博拉等致命性传染疾病爆发导致人员生命受到威胁;

暴力犯罪

园区发生群体性事件导致暴力冲突,威胁生命安全; 场景列举:园区出现人为引发群体性事件,导致在园区内发生暴力事件。

影响身体健康的场景类型

空气污染

长时间处于空气不畅或有毒气体环境中导致健康 受损; 场景举例:长时间在空气不畅的机房作业或办公监控,容易对人身健康产生影响;在机房气瓶间施工作业操作不当也容易导致气体影响及轻微中毒;

噪声污染

长时间处于噪声污染环境中导致健康受损; 场景举例:噪声污染按声源的机械特点可分为:气体扰动产生的噪声、固体振动产生的噪声、液体撞击产生的噪声以及电磁作用产生的电磁噪声。 噪声按声音的频率可分为:<400Hz的低频噪声、400~1000Hz的中频噪声及>1000Hz的高频噪声。

辐射污染

长时间处于强辐射环境中导致健康受损; 场景举例:长时间在无线电波、微波、红外线、可见光和 紫外光等环境中作业;

水质污染

引用受污染的水体导致健康受损; 场景举例:饮用严重不达标水质或长期饮用轻微不达标水质影响身体 健康。

固废污染

固体废弃物处理不当导致蚊虫滋生、病菌繁殖,更严重的会导致二次污染,直接威胁人员生命健康; 场景举例:机房区域、公共园区存放的固体废弃物随处乱扔,没有及时处理,一个是本身产生污染,另一个容易产生二次污染,带来更大的影响;

人身安全风险管理

人身安全风险管理通过提前分析风险,将风险展现出来,方便管理人员提前熟知风险存在,并针对各个风险进行针对措施的制定,由此减少风险数量与降低风险影响的程度。 人身安全风险管理包含风险评估矩阵、人身安全风险操作场景清单穷举的方式,对风险进行评估与呈现,为进一步制定相关人身安全风险操作场景工作指引与流程提供参考数据。

人身安全风险评估矩阵

人身安全风险评估矩阵通过危险系数、安防系数、概率系数三个不同的维度,对IDC机房及办公场所不同的操作场景进行分析评估,由此得出不同操作场景的风险指数,为风险管理人员制定对应的风险规避方针指引提供有效的数据参考。

操作场景 危险系数 安防系数 概率系数 危险指数 危险等级
场景1 5 4 4 80 一级伤害
场景2 5 4 3 60 二级伤害
场景3 3 4 4 48 三级伤害
场景4 3 3 4 36 四级伤害
说明
  1. 危险指数分数在 60 ~ 100 之间,危险等级为一级伤害
  2. 危险指数分数在 60 ~ 79 之间,危险等级为二级伤害
  3. 危险指数分数在 40 ~ 59 之间,危险等级为三级伤害
  4. 危险指数分数在 01 ~ 39 之间,危险等级为四级伤害

风险矩阵系数说明

在人身安全风险评估矩阵中,不同的维度系数说明如下:

危险系数

指该物理环境和操作场景出现问题和操作失误情况下,给处于环境中人员带来的最大伤害程度,也就是威胁到人身安全的最坏情况;其中系数指标越高,代表伤害程度越大。

安防系数

指当前针对环境和操作实行的保护措施及应急措施,对防止危险事件发生起到的保护能力,其中系数指标越高,指对危险事件防护能力越低。

概率系数

当前物理环境和操作场景出现危险事件的概率;概率系数指标越高,指出现危险事件的可能性越大。

人身安全风险评估

在人身安全风险评估矩阵的基础上,对每个需要进行风险分析的物理环境及操作场景进行风险评估,梳理出IDC每个物理环境及操作场景风险指数,作为后期进行风险级别划分、风险库建立、风险登记册记录等提供参考依据。

人身安全风险指数统计

管理人员通过风险评估矩阵,对物理环境和操作场景进行分类和穷举,得出每个物理环境和操作场景给人身安全带来的危险程度,生成《人身安全管理风险评估表》,包含每个物理环境名称、操作场景描述、矩阵系数指标、风险指数。

如图所示

人身安全风险记录

人身安全风险记录主要是对风险进行分类与梳理,形成风险库,作为各风险覆盖范围检查的参考标准。检查人员依据风险库标准,定期对各个IDC进行人身安全风险检查,考核各个IDC人身安全管理情况,将风险项进行记录。各个IDC根据检查得出的风险项进行分析并改进。

风险库建立

阿里运营优化组结合相关安全管理规范生成人身安全风险库,作为各个IDC人身安全管理工作的评估,参照风险库对各个IDC人身安全管理进行检查。

如图所示

风险登记

运营优化组、机房经理根据风险库风险管理项,定期对各IDC进行飞行检查,通过检查发现人身安全风险隐患,将不符合人身安全管理要求的风险项登记入册。 并指定对应的责任人,由责任人跟进风险改进,一直到风险解除。 风险登记的详细方法与安全体系的其他风险登记管理方法一致。

人身安全说明管理

人身安全管理需要具备提醒、警示、指导等方法的协助执行。人身安全说明管理包含安全标识管理、安全制度上墙、安全操作指引说明等

安全标识

主要是在可能导致危险事件产生的区域按照国家安全标识管理规定,粘贴相关的安全提醒标识,对防止安全事件发生起到直接的预防功能。

安全管理制度

主要是IDC从内部管理要求的层面上,将安全管理工作制度化,作为IDC安全管理的常态执行。

安全操作指引

主要是IDC、驻场团队根据现场操作的危险程度考虑,为了避免在现场操作过程中因为人为的失误导致安全事件的产生,分析风险产生节点和步骤,结合安全的操作方法和经验,制定一套标准的安全操作流程和方法,提供给所有执行该操作的人员参考,以避免发生人身安全事件。

安全标示

按照国家标识标准要求,对每个可能发生风险的区域粘贴明显的安全警示标识。主要从物理环境、高空作业、供电环境、制冷环境各个安全环境进行标识。

安全标识位置

所有的安全标识必须按照规范要求,粘贴在准确的位置,避免将标识粘贴在不明显的位置,影响安全标识起到的警示功能。

安全标识内容

所有的安全标识必须按照规范要求,采用标准的标识内容,避免因为标识的差异引发解读歧义,影响标识效果。

安全标识检查

现场管理人员必须对安全标识进行检查,确保标识的长期有效。

一些安全标示图片

安全管理制度

IDC需要将人身安全管理要求制度化,通过制度的方式将人身安全管理规范化、常态化、有效化。

安全管理制度制定

各个IDC根据自身特点,结合安全管理要求标准,制定所在IDC的安全管理制度,通过宣讲、考核、抽检等方式,将制度落地。

安全管理制度范围

安全管理制度包含《安全用电管理制度》、《高空作业安全管理制度》、《现场施工安全管理制度》等。

安全管理制度上墙

安全管理制度制作完成后,必须在相应的安全管理区域将制度贴上墙。

安全操作指引

通过人身安全风险管理工作,将具有风险的操作场景穷举出来,并针对各个操作制定安全规范的操作指引,通过安全操作指引,规避人为操作失误带来的人身安全风险,避免发生人身安全事件。 安全操作指引必须满足以下要求:

操作指引规范化

安全操作指引必须规范化,所有的安全操作指引都必须按照规范的步骤进行,所有的步骤都必须经过安全专业人员检验、实践。

操作指引公开化

安全操作指引必须公开化,本着“生命第一”的原则,对每一次具有风险的操作都得到安全指引的指导。

操作指引唯一化

安全操作指引必须唯一化,所有的不同类型的安全操作,都只有一个标准的操作指引,不得出现模棱两可的操作步骤,给安全操作带来风险。

操作指引全面化

安全操作指引必须全面化,需要将安全操作指引覆盖到所有具有安全隐患的现场操作中,最大限度的减少或消除人身安全事件产生。

一些操作指引架构

人身安全质量管理

人身安全管理需要持续不断的推进与检查,通过检查发现风险,分析风险得出解决措施,总结出人身风险改进方案。形成一个风险管理戴明环PDCA来巩固与提升人身安全管理的质量。

安全质量检查管理

安全质量只有通过不断的检查,不断的发现问题,才能保证安全质量得到不断的提升。检查工作需要各方通力,包括运营优化组、机房经理、运营商、驻场各方按照指引的要求进行检查。

机房经理检查

机房经理作为IDC现场管理第一人,起到衔接阿里与运营商管理桥梁的作用。机房经理负责对运营商、驻场团队现场人身安全管理的落实执行情况进行现场检查,对于发现的问题,要求风险责任方负责改进。机房经理按照要求的时间,对风险改进的情况进行复核与确认。

运营商检查

运营商根据阿里对人身安全管理的要求,进行相对应的现场安全标识、现场环境安全改造、安全制度制定与安全操作指引制定,并对整套管理体系进行自查与监督完善。

驻场团队检查

驻场团队作为IT设备现场责任人,负责IT设备间及驻场办公场所的现场安全管理责任。通过人身安全管理指引要求,进行人身安全管理检查,对于发现的安全隐患内容,反馈给机房经理,由机房经理确认并要求运营商等相关方进行整改。

运营优化组检查

运营优化组负责整个人身安全管理体系的制定推广、质量监督和优化提升,同时会通过飞行检查的方式对IDC现场人身安全执行情况进行现场检查,并整理风险登记册内容,跟进风险改造进度直至风险改造关闭。

人身安全应急管理

人身安全管理需要考虑应急部分,其中包含相关的应急预案与现场应急工机具的准备。通过相关的应急准备工作,预防人身安全事件的发生。

人身安全应急预案开发

应急预案主要指的是可能导致重大人身安全事件的人为或非人为的外力影响事件,包含自然灾害事件、公共卫生疾病传染事件、消防安全事件、恐怖袭击事件等。通过场景推演的方式,开发对应的应急预案,通过对场景假设的演练,启动现相关的应急预案,验证预案的有效性。 应急预案包括但不限于以下方面:

消防火警安全应急预案

消防应急预案主要指的是消防事件发生的时候,现场如何保障人身安全的操作指引。通过对火警等级的划分,制定对应的应急措施;通过对现场团队的分工合作,以最快的方式制约火警的进一步提升,避免或减少对人身安全的伤害。

台风暴雨安全应急预案

台风暴雨应急预案指的是在IDC所在区域发生等级较高的台风暴雨情况下,现场如何保障人身安全的操作指引。结合气象部门对台风暴雨的等级划分,制定不同等级对应的应急措施;通过对现场团队的分工合作,以最快的方式防止台风暴雨对现场的进一步侵害,避免或减少对人身安全的伤害。

地震灾害安全应急预案

地震灾害应急预案指的是在IDC所在区域发出地震预警或发生地震灾害的情况下,现场如何保障人身安全的操作指引。包括现场划分地震逃生区域、地震发生现场注意事项、震后人员抢救基本知识等相关的保障人身安全的应急方法。通过制定地震灾害应急预案,以最实用的方式应对地震灾害、最准确的方法抢救人员、最快速的方式开展应急抢救工作。

公共卫生安全应急预案

公共卫生应急预案指的是IDC所在区域出现国家卫生部门发出预警的致命性传染疾病的情况下,现场如何保障人身安全的操作指引。包括公共卫生事件等级划分、公共卫生事件检查方式、人员隔离条件、实时汇报机制等。预防避免与减少公共卫生事件对人身安全的伤害与影响。

暴力事件安全应急预案

暴力事件应急预案指的是IDC周边及IDC范围内发生的群体性事件。

人身安全应急物资

现场必须针对各个应急预案场景,准备相关的应急物资。

消防应急物资

消防应急物资包括、防毒面具(自救呼吸器)、强力探照灯、腰斧、消防绳、消防钩、纯棉阻燃毯、警界带、反光背心、指挥棒、消防手套、应急包等。

台风暴雨应急物资

台风暴雨应急物资包括沙袋、雨靴、雨衣、编织袋、反光背心、警示带、急救药箱、担架、应急灯等。

地震灾害应急物资

地震灾害应急物资包括3000赫兹防灾应急高频哨、10米反光逃生绳绳、3-4小时特制蜡烛、防风防水双头火柴、便携型多功能应急手电、防尘口罩、防滑手套、防灾应急雨衣、地震专用压缩毛巾手套、保温应急毯、保温帐篷、超薄保温睡袋、多功能折叠铲中号、15L折叠水桶、多功能工具斧头、多功能钳、急救包空包、创可贴、纱布绷带、绷带、棉球、金属镊子、剪刀、无纺布胶带、酒精消毒片、棉签等。

公共卫生事件应急物资

公共卫生事件应急物资包括防护服、防护眼镜、高筒胶靴、工作帽、医用防护口罩、

暴力事件应急物资

暴力事件应急物资包括相关防卫器械、长管防暴叉、胶式警棍等。 乳胶手套、泡腾片、漂白精粉、消毒液、背式喷雾器等。

人身安全应急通讯

为了高效合理合法保障人身安全,IDC需要制定标准的汇报机制、准确的通讯方式,通过规范的汇报机制高效传达事件,及时启动安全应急预案,协调应急资源。 应急通讯必须包含阿里方通讯方式、运营商内部通讯方式、主场团队通讯方式、服务商应急通讯方式、政府公共应急通讯方式等。

物理安全管理

规范目标

本规范旨在制定IDC物理安全管理策略与要求,用于指导数据中心经理,在该规范框架下,制 定或者推动相关方(如自建机房现场物业管理方运营商物业管理方)制定适用于本机房的IDC物理 安全操作指引, 并协助数据中心经理进行自建机房IDC物理安全的现场管理,及时发现风险和改进, 提升现场的物理安全管理水平。 同时,也对数据中心经理审视运营商机房物理安全管理风险和进行物 理安全交流,提供支撑。

覆盖范围

本规范适用于阿里巴巴集团所有数据中心(包括但不限于自建数据中心、租用数据中心以及并 购公司后期加入的数据中心)涉及的安全管理事项及场景。 阿里数据中心范围内,无组织场所外设备和资产。

职责说明

运营优化组职责

制定物理安全管理策略,为 IDC 物理安全管理提供管理要求,进行物理安全宣导,审计,考核,推动现场物理安全水平的提升,持续推动物理安全流程体系的优化

数据中心经理:

依据本规范要求,数据中心经理应结合属地化的特点,制定或者要求相关方具备相关的可操作 的物理安全现场操作指引 数据中心经理应定期(不低于每月一次)对现场物理安全进行巡检,对物理安全风险进行识别 和控制。 数据中心经理有责任对现场人员进行物理安全管理要求的培训,提升现场物理安全管理水平, 提升人员物理安全意识。 数据中心经理有责任,依据现场管理的经验教训,协助运营优化组,对物理安全流程体系进行 持续的优化。

驻场团队

驻场团队,在制定相关物理安全操作指引时应参考本规范要求,并配合数据中心经理的日常物 理安全现场管理工作的开展。

IDC 安全区域划分

IDC 建筑物实体划分

园区、建筑物单体、功能间三个区域。

功能间划分
IT设备间

即俗称的机房,包括运营商网络核心机房、阿里核心网络机房、业务生产机房、开发测试机房。

基础设施间

存放基础设施的功能间,包括存放供电系统、制冷系统等的房间。

公共设施间

IDC的公共接待及存放环境公共设施的功能间,如:如大堂、消防间、监控室、卫生间、电梯间、茶水间、天台等。

办公运维间

指IDC内人员办公使用的功能间,包括:办公室、IT值班室、设备值班室、高压值班室、会议室、库房、交接区等

安全区划分定义

低级安全区域

不存放公司运营设备,不涉及公司业务信息, 不影响机房整体运营的公共区域。如: 园区、消防楼道、公共设施间的大堂、卫生间、会议室、茶水间、办公室等。

中级安全区域

存放非重要运营设备,不涉及财务及敏感信息,不影响机房整体运营的区域。如: 走廊通道、基础设施区、值班室等。

高级安全区域

存放重要设备,涉及公司财务及敏感信息,影响机房整体运营的区域。如:业务生产区、 核心网络区、库房、操作区、办公室等。

交接区安全管理要求

IDC应设立交接区(卸货区),货物交付应在规划的货物交接区内进行。同时:

  1. 为了避免未经授权的访问,交接区要求与信息处理设施隔离,建议在交接区域各通道门安装并 启用门禁系统,交接区与货梯连接通道应安装门禁系统,不可由交接区域直接进入货梯。
  2. 接区要求实施7x24小时无盲点的监控,监控录像存储时间不少于2个月,清晰度满足查看 指标
  3. 交接区应接入消防系统并配备灭火器材。
  4. 租用机房, 由运营商管理交接区,现场需根据物流到货情况申请开启交接区。
  5. 自建机房,进入交接区需经数据中心经理授权,授权单次有效。
  6. 原则上,阿里资产不允许在交接区过夜、长期堆放在交接区;交接区不应有包装箱、塑料袋、 泡沫等废弃杂物。如遇特殊情况,需经数据中心经理确认。
  7. 交接区货物交接应按照《AIS-IDC运营-资产安全管理指引》执行。

机房业务生产区域安全管理要求

  1. IDC机房业务生产区域需符合以下管理要求: 2 . 进出机房包间需及时关好门,禁止将门长期敞开或虚掩。
  2. 机柜配电列头柜的前后门都需关好、上锁,钥匙由运营商保管,不得擅自开启配电列头柜门。
  3. 机房内地板无破损或松动。
  4. 机房内手持灭火器需放置在门口明显、易取位置。
  5. 机房内如有维修施工,驻场人员需全程陪同监督。
  6. 金融或核心重要业务区,阿里自有门禁设备需确保功能完好,如有故障要及时修复。
  7. 机房内不许堆放工程遗料、包装材料等。

库房安全管理要求

  1. 库房需配备独立门禁,房间内需由视频监控(无死角)。
  2. 库房门禁权限仅限于阿里驻场资产岗和机房经理持有。
  3. 集中库房需保持恒温、恒湿, 温度:10~35℃,湿度:40~70%。
  4. 集中库房需保持消防系统正常、可用。
  5. 库房需保持门窗紧闭、不可有漏水、渗水。

物理访问控制管理

人员出入管理

  1. 各IDC因结合自身IDC特点,根据人员类别及安全区域,建立人员控制访问安全矩阵,对进 出IDC的人员进行控制。
  2. 人员控制访问安全矩阵,需形成定期审核的机制,确保人员与所访区域的权限有效性,审核机 制不低于1年/次。
  3. 人员出入IDC必须进行身份核对和随身物品检查,不允许携带易燃、易爆物品进入。
  4. 人员携带的个人办公或测试使用物品,进入IDC前需进行登记,离开时进行确认,未登记物品 不允许放行。
  5. 非长期授权人员出入安全区域需进行访问信息登记并根据访问人员类型,发放不同的识别卡, 登记信息至少包含:访问人的基本资料、被访问人的信息、访问原因、访问区域、进入时间、 离开时间及签名信息。
  6. 非长期授权人员进出授权当天有效,失效后需重新申请授权。
  7. 进入IDC人员,需随身携带识别卡,并悬挂或者粘贴在显著位置。
  8. 离职人员当日取消授权。

车辆出入管理(自建机房)

  1. 原则上公共车辆不允许进入IDC;
  2. 已授权进入IDC的车辆如个人车辆、货车等,需进行车辆信息登记;长期授权人员车辆除外。
  3. 授权进入的车辆在园区内需按照限定速度、车道进行行驶,并停在指定的停车区域;
  4. 物流送货车辆,只允许进入交接区。

监控管理

  1. IDC园区出入口,要求7x24小时无盲点的监控并配备保安室并提供7x24小时值守;
  2. IDC园区内各建筑物单体出入口要求7x24小时无盲点的监控,根据各IDC现场情况,决定是否需要配备保安室;
  3. 建筑物内的各功能间出入口要求7x24小时无盲点的监控或者配置门禁;
  4. 园区内通道及建筑物内通道,依据实际情况,实施监控安装;
  5. 功能间,依据设备及敏感信息的重要性及来访的频率,实施不同的安全监控措施: a) IT设备间:要求7x24小时无盲点的监控; b) 基础设施间:不强制要求7x24小时无盲点的监控; c) 公共设施间:大堂和消防间,要求7x24小时无盲点的监控,其它房间不强制要求7x24 小时无盲点的监控; d) 办公运维间:库房要求7x24小时无盲点的监控,其它房间不强制要求7x24小时无盲点 的监控。
  6. 监控要求清晰可视,监控记录保存90天及以上。
  7. 阿里自装的库房监控,现场资产管理员需熟练的配置和使用,要求至少每周对安装的监控设备 的外观完整进行检查和每月连接上显示器,对监控记录进行查看。

门禁卡、钥匙管理:

  1. 门禁管理系统要支撑按区域的门禁授权;
  2. 根据申请人身份不同,门禁卡最长时间不超过1年;1年后需重新确认持卡人身份及权限。
  3. 门禁卡需随身携带,如遇特殊情况,需登记备案确认无误后,方可由相关方协助开门。
  4. 为了保护持卡者的利益及系统的安全,门禁卡丢失的,应立即由本人办理挂失登记,并由相关 人员负责取消挂失卡的相关权限。
  5. 库房需要有独立门禁或钥匙管理,与机房门禁分开不同权限。
  6. IDC机房使用的门禁卡不允许带离机房。
  7. 钥匙应按照功能进行分类管理,如基础设施房间钥匙和库房钥匙,因应用的角色不同,因此需 要有技术手段进行隔离。
  8. 钥匙需要存放在安全位置,并必须有技术手段保障非授权人员无法取得。建议存放在具有密码 锁的保险柜内。
  9. 保险柜密码需能够在钥匙拥有方授权情况下获取,保证非工作时间的授权取用。
  10. 钥匙和密码每周需进行测试,确保钥匙的可用。
  11. 钥匙需进行编号管理,以便快速定位和取用。
  12. 保险柜密码需定期更新(每月)。

    受限区域作业许可管理

  13. 在受限区域内操作,需保持大门常闭状态,并确保办公完成后锁好。
  14. 外部员工在受限区域工作需要有人监守 (或CCTV 录像)
  15. 操作人员需具备相应的作业资格,如:电力许可证等。
  16. 受限区域操作,需注意人身、信息安全的保密。
  17. 如存在交叉施工状态, 施工区域与受限区域应进行隔离,并设置清晰的隔离标识,出入口设置 监控。确保施工人员不能随意进入受限区域。
  18. 交叉施工的施工人员,要佩戴施工证。

    安保管理制度

    巡检管理制度

  19. 安保人员(保安)应穿着得体,并应该配备处于正常状态下的工具/设备,巡检前,保安应该对工具/设备进行检查。
  20. 安全巡检应定期进行,巡检频率不低于每2小时/次,检查项目至少应包括:IDC出入口、临近建筑物的周边区域、建筑物单体内的所有使用或没使用的侧门、货梯、客梯、紧急通道等。
  21. 各IDC应该配备安全巡检清单及巡检计划,巡检清单应该包括房门号、位置信息和巡检项目,要求在每个检查点签名并记录检查时间。
  22. 一旦发现安全违规事件,启动紧急流程。

    安全事件管理

    1、现场应制订物理安全应急预案,并定期进行安全演习或演练。 2、 一旦发生物理安全事件,应以确保人身安全为第一要素。

    安全审计制度

    数据中心经理应以不低于每月一次的频率,对现场物理安全现场执行和管理进行审计,并输出审 计报告,跟进和推动审计风险点的改进。

信息安全管理指引

规范目标

为实现阿里IDC机房内各类信息进行识别和分类管理,保障信息资产分类、分级、标识和处理工作的有效性、安全性和可靠性,以及防止不恰当使用或泄漏,特制定本指引。本指引旨在制定IDC信息安全管理要求与指引,以反映相关法律、法规、制度及信息技术的更新情况,确保其有效性和可用性。进一步防止对数据中心工作场所以及相关信息的非法访问、破坏与干扰。

覆盖范围

本规范适用于阿里巴巴集团的所有托管IDC 机房、自建数据中心及办公场所内的一切信息资产安全。包含但不限于:数据、实物、软件、人员、物理与环境、存储介质等。

职责说明

运营优化组职责

制定机房信息安全指引和管理策略。进行机房信息安全宣导、审计、考核,推动机房信息安全落地,持续推动机房信息安全流程体系的优化。

数据中心经理职责

依据本规范要求,数据中心经理应结合属地化的特点,推动信息安全的落地执行。数据中心经理有责任对现场人员进行机房信息安全管理要求的培训,提升人员机房人身安全意识。数据中心经理有责任,依据现场管理的经验教训,协助运营优化组,对机房信息安全流程体系进行持续的优化。

驻场团队职业

驻场团队,在制定相关机房信息安全操作指引时应参考本规范要求,并配合数据中心经理的日常安全现场管理工作的开展。

运营商职责

运营商团队,作为机房现场管理团队,负责信息安全管理的培训推广与落地实行。严格遵守阿里IDC机房信息安全管理规范,配合阿里IDC机房信息安全的落地。

内检团队

提供行业最新信息安全规范标准和要求,作为IDC团队外部审计师,及时有效的审查IDC信息安全的有效性、适用性、完整性。

信息安全管理细则

数据安全管理

监控数据

1) 禁止将数据中心监控数据用作阿里巴巴工作之外的用途; 2) 禁止私自复制、删除或修改监控数据; 3) 如实反映监控数据内容,保证监控数据真实性; 4) 实时更新监控数据,保证监控数据的实时性; 5) 监控系统、监控工具升级更新前,必须将原有的监控数据保存; 6) 禁止私自登录系统查看监控数据; 7) 禁止将监控数据泄露给第三方; 8) 按照项目要求,及时备份数据中心监控数据,且必须按要求存放备份数据; 9) 禁止将监控数据存储介质放在公共区域; 10) 相关监控数据必须由专人负责管理;

资产数据

1) 禁止将阿里巴巴相关资产数据信息透漏给第三方人员; 2) 资产数据需明确定义责任人及管控职责; 3) 资产数据需进行明确的分类和分级以及明确的标记; 4) 敏感的资产数据需加密保护,禁止随意摆放、记录数据信息; 5) 资产数据的使用需遵循阿里巴巴信息安全管理规范,资产的使用需进行相关授权。

服务数据

1) 禁止私下传播、泄露服务商数据信息; 2) 如实反馈服务商数据信息,保证数据的真实性; 3) 服务商信息必须由专人管理,针对敏感信息需进行加密保护; 4) 禁止服务商信息非授权访问; 5) 禁止私下复制、删除、修改服务商数据信息;

软件安全管理

1) 数据中心内所有生产、办公设备所涉及的用户必须设置用户密码; 2) 用户帐号新建必须由帐号使用人提出申请,通过审批后由帐号管理人员分配用户帐号并备案; 3) 遵循授权有限、相互制约的原则,根据不同用户的岗位职责及使用要求,分别设置相应不同权限的用户密码,从流程控制上保证用户密码的审批、使用和生成的有效分离; 4) 严格遵循谁使用、谁负责的原则,严禁将自己的密码或用户提供给他人使用,严禁违规或非法使用生产系统用户; 5) 用户帐号变更必须由帐号使用人提出申请,通过审批后由帐号管理人变更帐号并备案; 6) 所有系统的PC要设置密码保护(或者屏保),硬盘不能无密码共享,不能对everyone开放“写”及以上权限; 7) 用户密码一旦泄露必须马上更改; 8) 用户密码管理而引发的事件,应遵循《事件管理工作指引》来处理; 9) 数据中心应在域管理方面采用相应的口令管理系统,以强制用户在初始登录的时候修改密码、并设置高质量的个人密码; 10) 用户离职或转岗,需及时删除或跟新用户系统权限; 11) 用户的权限需以季度为单位,定期复核和调整; 12) 系统及软件需制定满足阿里巴巴安全登录规定,避免系统被非授权访问或遭黑客入侵; 13) 系统软件需指定同步时钟、做好备份冗余;

实物安全管理

1) 设备进出数据中心必须办理设备进出申请手续并做好相关信息登记; 2) 禁止未经审批的设备私自进出数据中心; 3) 需要上电的设备在进入数据中心之前必须做好上电检查,保证上电安全; 4) 需要下电的设备在下电之前做好线路、开关、零件检查,保证下电安全; 5) 禁止未经审批同意,私自对生产系统设备做上电、下电操作; 6) 禁止未经审批同意,私自对生产系统设备及线路进行移动、拆卸、装接; 7) 需要变更的设备,必须提前做好变更申请手续,并严格按照变更步骤进行; 8) 禁止在设备上面进行未办理变更手续的变更操作行为; 9) 设备的变更操作与其他非日常巡检操作,都必须符合双人操作原则,禁止单人操作; 10) 值班人员必须通过实时监控与定点巡检的方式,保障设备运行安全; 11) 所有设备的变动必须做好记录; 12) 设备的报废处置,需遵循阿里巴巴的报废流程和控制要求,禁止未经审批的设备进行处置; 13) 数据中心需定期核查老旧设备的情况并及时反馈,避免仓库大量老旧设备长时间存放;

人员安全管理

1) 所有人员必须有一套完整的员工培训制度; 2) 新入职员工必须经过入职培训及考核通过后才可以单独上岗; 3) 所有在职员工必须与阿里巴巴签订保密协议,保证信息安全; 4) 所有离职员工必须遵照阿里巴巴离职管理制度办理手续,保证信息安全; 5) 所有离职员工除带走个人物品外,不得带走任何与数据中心相关的资料与数据; 6) 必须做好数据中心员工信息统计,实时更新人员信息; 7) 所有员工必须遵守岗位职责,不得操作非本岗位工作要求的内容; 8) 非内部人员必须在数据中心授权人员的陪同下才可以进入授权区 域; 9) 来访人员与服务商未经许可不得在数据中心进行拍照、录影、录音行为; 10) 来访人员与服务商未经许可不得带走数据中心任何文档资料; 11) 非内部人员必须遵守数据中心机房管理制度,不得私自走动或触摸任何设备; 12) 数据中心必须做好第三方服务商人员信息统计,确保维保人员登记备案;

物理环境安全管理

1) 确保数据中心所在机房抗震级别符合国家A级机房标准要求; 2) 确保数据中心所在机房已做好消防安全系统,并具有消防应急预案; 3) 确保数据中心所在机房已做好自然灾害应对措施,并具有对应应急预案; 4) 确保数据中心所在机房已做好供电安全保障,并具有供电中断应急措施; 5) 确保数据中心机房环境恒温恒湿,并具有空调运行中断应急措施; 6) 和其他公司公用的数据中心,需进行物理隔离; 7) 数据中心采用门禁管理系统,只有经授权的人员才有门禁使用权; 8) 未经授权的任何人员不得进入数据中心; 9) 非值班人员进入数据中心必须在人员进出登记本上面签名并填写相关信息; 10) 非授权人员进出数据中心必须在授权人员陪同下进出; 11) 禁止携带具有强电磁辐射设备进入数据中心; 12) 禁止随意触摸数据中心内设备、电源、操作终端等生产相关设备; 13) 禁止携带饮用水等具有破坏和影响生产安全的液体进入数据中心; 14) 值班人员通过现场与视频监控,确保数据中心安全; 15) 禁止具有腐蚀性作用的液体、气体等进入数据中心;

存储介质安全管理

1) 存储介质采购必须确保存储介质安全可用; 2) 存储介质必须有专门的存放空间,并加锁保护,钥匙由专人保管; 3) 存储介质实行分类存放,不同类型的存储介质存放在不同区域; 4) 空白存储介质入库前必须做好登记工作,保存好存储介质信息; 5) 空白存储介质领用必须办理领用手续,注明介质使用途径; 6) 存储介质备份数据后,必须将存储介质处于“可读”状态,避免误操作破坏存储数据; 7) 存储介质备份数据后,必须做存储介质入库操作,保护存储介质数据安全; 8) 每个存储介质必须有唯一的命名编号,避免存储介质误使用; 9) 存储介质交接必须做好交接手续,进行适当的加密保护措施,防止数据泄露事件出现; 10) 存储介质报废销毁必须按照《存储介质管理方案》进行,确保销毁前数据安全; 11) 存储介质必须按照数据中心与客户双方约定的区域进行存放; 12) 禁止未经授权的使用移动存储介质拷贝数据; 13) 禁止带数据的存储介质调度出本机房;

文档安全管理

1) 数据中心内部文档由专人负责管理; 2) 数据中心内部文档必须按照不同类别进行分类管理,存放到指定的文件柜; 3) 数据中心内部文档实时归档必须在文件收发登记上面填写归档信息; 4) 数据中心内部文档每个月必须进行一次当月文档汇总归档; 5) 禁止将数据中心内部文档带出数据中心,如有必要,必须向机房经理申请; 6) 禁止私自复印、打印数据中心文档; 7) 禁止将数据中心内部文档随便摆放; 8) 文档管理员定期检查文档归档情况,确保文档清单与实际文档符合; 9) 禁止将阿里巴巴文档泄露给第三方; 10) 文档需根据阿里巴巴保密级别进行分类管理;

信息安全事件管理

信息安全管理上的漏洞或者信息安全遭到破坏,都会引发无法估计的影响或损失。通过事件管理的方式处理信息安全事件,避免信息安全事件影响的范围扩大,影响的层次加深,给数据中心和客户造成更大的损失。

信息安全事件定义

信息安全事件是指导致信息安全受到影响、威胁或破坏的状况发生。
导致信息安全事件发生的原因包括但不限于以下情况:
(1) 人为操作错误;
(2) 人为故意破坏; (3) 自然灾害影响;

信息安全事件级别定义

根据信息安全事件影响程度,参考信息安全违规级别划分,分别对信息安全事件进行级别定义:
(1) 一级事件:符合一类违规的条件,给公司或客户造成严重后果或重大损失的情况; (2) 二级事件:符合二类违规的条件,造成较严重后果或一定损失的情况; (3) 三级事件:符合三类违规的条件,已造成影响但尚未产生损失的情况; (4) 四级四件:符合四类违规的条件,尚未造成影响和尚未产生损失的情况;

信息安全事件改进

建立职责和规程,以确保快速、有效和有序的相应信息安全事件。 1) 建立规程以处理不同类型的信息安全事件,包含但不限于:

  • 信息系统故障和服务丢失;
  • 恶意代码
  • 不完成或不准确的业务数据导致的差错;
  • 违反保密性和完整性; 2) 除去正常的应急计划,还应该包含:
  • 事件原因的分析和确定;
  • 遏制事件影响扩大的策略;
  • 如果必要,计划和实施纠正措施以防止事件再发生;
  • 同受到事件影响或涉及事件恢复的人员进行沟通;
  • 所有应急措施,以有序的方式向管理者报告并进行评审;
  • 对数据中心和控制错误的完整性以最小时延加以确认;

业务连续性管理

目标

为了防止数据中心业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的即时恢复。通过使用预防和恢复控制措施,将对数据中心的影响降到最低,并从信息资产的损失中恢复到可接受程度,实施业务连续性管理过程。 1) 识别和商定数据中心所有职责和业务连续性规程; 2) 识别可接受的信息和服务的损失; 3) 实施规程以在所要求的时段内恢复和复原业务运行和信息的可用性;特别需注意对现有的内部和外部业务依赖及合同的评估; 4) 在恢复和复原完成之前遵循的应急规则; 5) 将已商定的规程和规程形成文档; 6) 在已商定的规程和过程中对人员进行适当的教育,包括危机管理;

资产安全管理

规范目标

为了保证阿里巴巴集团IDC数据中心的安全性, 规范数据中心流程管理,加强IDC数据中心安全控 制,规范人员进出、设备安全相关操作流程,规避不当行为给公司带来的风险或损失,切实维护公司利 益,特制定本指引。

覆盖范围

本指引用于阿里巴巴集团所有数据中心(包括但不限于自建数据中心、租用数据中心以及并购公司后期加入的数据中心)涉及的安全管理事项及场景。

角色定义

角色 职责
RC 负责到货资产的预录入,确保预录入信息的准确性
驻场资产岗 负责到货资产的SN扫描上传,确保上传SN的准确性 负责资产现场作业和现场管理(如资产的出入库、报废硬盘处理等)
机房经理 负责现场驻场资产岗的管理 负责所属机房资产准确性保障
资产管理员 负责阿里所有资产的管理,制定相关流程制度 负责设备报废处理
供应链 负责测试设备需求评估

规范详细说明

资产清单

机房内所有设备(如:服务器、网络设备、备件模块)均需要包含SN条形码编号。

机房内所有设备、备件信息均需要录入至指定平台。

  • 以下备件模块量小放置在铁皮柜,量大放置在货架上;
    • a) 交换机光模块;
    • b) 光纤线缆;
    • c) 网络线缆;
    • d) 核心网络交换机板卡;
    • e) 传输设备板卡;

资产的权属

所有数据中心内的设备、模块部件均需在录入指定平台,挂靠至对应机房经理名下,由机房经理负责设备的日常管理。 放至在库房内的资产需进行分类存放,其中重要设备需放至在带锁的铁柜中。

资产入库

所有模块、备件在入库时,由驻场工程师对模块、备件的外观进行检查,确保外观无损坏; 所有模块、备件外观检查后,由驻场资产岗将设备SN号通过扫码枪(二维码/一维码)扫描至 TBOSS平台中https://tboss.alibaba-inc.com/与RC预录入的SN信息进行比对成功后,正式 在armory平台(http://a.alibaba-inc.com/p)生成资产信息,资产的准确性由RC和现场驻场共同保证;

所有设备(包含采购设备、测试设备、外部设备)进入机房,需要有相应的设备入室工单; 阿里所有采购的设备,到货时必须进入到运维机房,由机房经理指导驻场外包进行相应的验收。业务方不允许和供应商对接,直接进行设备的接收。

资产出库

资产出库的原因:资产设备出库主要用于运维操作、设备搬迁、设备报废等; 设备出库必须由需求方在工单平台(http://srmp.alibaba-inc.com/)上提交出库申请,机房驻场 在收到出库工单后,按照工单内容进行出库设备核对,核对无误后,才可将设备出库,并进行相 应记录工作。 资产管理员和机房管理员不受理任何非平台提起的资产出库、入库申请

出库类型及审批要求

物流搬迁需求

审批要求:需通过搬迁需求方业务分组主管及技术保障部服务经理审批通过后,方可将设备 进行搬迁。 数据安全要求:物流搬迁遵循搬迁《IDC搬迁流程》

运维替换需求

审批要求:由需求方发起运维替换需求后,服务台工程师审批通过后,由驻场工程师负责具 体运维操作。由资产岗负责具体资产的出库。

厂家机器测试需求

审批要求:供应链管理团队审批通过后,方可由厂商将供测试用的机器从库房出库。 数据安全要求:测试机归还时,需要完成存储介质的信息擦除。

批次故障维修需求:

审批要求:供应链管理团队及服务台团队共同审批通过后,方可由厂商将故障件带出机房。 数据安全要求:厂商带走故障机,需将存储介质需拔出,做折弯消磁处理。

借用

审批要求:借用方上级主管及IDC运营团队资产管理员审批通过后,方可对本数据中心内设备进行借用。 数据安全要求:机房内的借用,需进行业务数据的擦除;机房外的借用,在进行业务数据擦除的后拔出存储介质;

设备报废处理需求

审批要求:IDC运营管理组资产管理团队审批通过后,方可由指定公司将报废设备带出机房。 数据安全:报废设备的存储介质,需进行数据擦除,消磁折弯处理。

资产管理员变更

机房驻场资产岗离职时,由对应的机房经理做好人员备份,资产交接盘点,资产正式盘点,资产准确率保障。包含(但不限于): 阿里巴巴发放的工具,如扫码枪、标签打印机等; 该驻场资产岗管理的所有资产; 资产相关文档、数据、清单等;

资产报废

需要报废的服务器,必须先将硬盘全部取出,硬盘通过《存储介质安全管理规范》进行处理。 所有报废的设备,必须具备两个条件:达到报废年限、设备在平台报废资源池中。 所有报废设备,须由驻场工程师确定待报废机器的SN号、机器型号、品牌。 所有报废设备,必须由阿里巴巴指定公司进行回收处理。 所有报废设备必须遵循《阿里巴巴设备报废流程规范》

资产的运输

所有需要运输的设备必须通过在平台提交出库申请后,方可带出数据中心。 所有带存储介质的设备进行运输,必须遵循《存储介质安全管理》规定,中对于带存储介质设备运输的流程,进行操作。 所有资产设备运输,必须进过阿里巴巴制定的物流公司进行运输,设备、模块、备件等需经过保护措施,防止损坏。 资产运输至对应机房,驻场资产工程师需对设备的外观进行查验,如外观存在损坏需拒绝收货,并遵循运输到损流程进行操作。

资产使用规范

所有IDC设备(服务器、网络、存储、安全等)必须在IDC运维机房内使用; 第三方及测试设备的入库、调用、归还需遵守阿里的规定:入库需及时维护到armory平台,设备调度需发起搬迁工单,归还需进行数据安全的处理;

物理安全规范

门禁

门禁管理系统要支撑按区域的门禁授权; 根据申请人身份不同,门禁卡最长时间不超过1 年;1 年后需重新确认持卡人身份及权限。 门禁卡需随身携带,如遇特殊情况,需登记备案确认无误后,方可由相关方协助开门。 为了保护持卡者的利益及系统的安全,门禁卡丢失的,应立即由本人办理挂失登记,并由相关 人员负责取消挂失卡的相关权限。 库房需要有独立门禁或钥匙管理,与机房门禁分开不同权限。 IDC 机房使用的门禁卡不允许带离机房。 钥匙应按照功能进行分类管理,如基础设施房间钥匙和库房钥匙,因应用的角色不同,因此需要有技术手段进行隔离。 钥匙需要存放在安全位置,并必须有技术手段保障非授权人员无法取得。建议存放在具有密码锁的保险柜内。 保险柜密码需能够在钥匙拥有方授权情况下获取,保证非工作时间的授权取用。一旦授权,第二个工作日需立即更改保险柜密码。 钥匙和密码每周需进行测试,确保钥匙的可用。 钥匙需进行编号管理,以便快速定位和取用。 保险柜密码需定期更新。

监控

IDC 园区出入口,要求7x24 小时无盲点的监控并配备保安室并提供7x24 小时值守; IDC 园区内各建筑物单体出入口要求7x24 小时无盲点的监控,根据各IDC 现场情况,决定是否需要配备保安室; 建筑物内的各功能间出入口要求7x24 小时无盲点的监控或者配置门禁; 园区内通道及建筑物内通道,依据实际情况,实施监控安装; 功能间,依据设备及敏感信息的重要性及来访的频率,实施不同的安全监控措施:

a) IT 设备间:要求7x24 小时无盲点的监控; b) 基础设施间:不强制要求7x24 小时无盲点的监控; c) 公共设施间:大堂和消防间,要求7x24 小时无盲点的监控,其它房间不强制要求7x24小时无盲点的监控; d) 办公运维间:库房要求7x24 小时无盲点的监控,其它房间不强制要求7x24 小时无盲点的监控;

  • 监控要求清晰可视,监控记录保存90 天及以上。
  • 阿里自装的库房监控,现场资产管理员需熟练的配置和使用,要求至少每周对安装的监控设备 的外观完整进行检查和每月连接上显示器,对监控记录进行查看。