台湾中华电讯机房安全管理标准与合规实践详解

1. 前言：目的與適用範圍

說明：本指南針對在台灣運營之中華電訊級別機房安全管理與合規，提供可落地的操作步驟。
適用對象：機房管理者、運維工程師、資訊安全負責人、第三方廠商。
輸出成果：建立文件化政策、執行檢核清單、紀錄保存流程與稽核準備。

2. 建立治理架構與政策文件

步驟1：成立機房安全小組（資安、運維、設施、法務），明確職責與聯絡窗口。
步驟2：制定「機房安全政策」與「訪客管理程序」，依據ISO27001與台灣個資法等法規列出要求。
步驟3：文件化：版本號、責任人、生效日期，保留變更紀錄並定期（每年）檢討。

3. 物理安全：門禁與訪客控管的逐步實作

步驟1：佈署電子門禁系統（卡片＋PIN＋門禁主機），設定權限模型（分區、班表）。
步驟2：訪客流程：預約→身份驗證（健保卡/身分證掃描）→臨時證發放→隨行人員登記→出場回收。
步驟3：雙人進出或兩階段授權對關鍵室（如核心交換室），每月匯出門禁記錄存檔90天以上。

4. 監控錄影與即時監控配置

步驟1：CCTV 覆蓋要點：機房入口、機櫃走道、電力室、冷卻設備，攝影頭解析度與夜視要求。
步驟2：設定保留策略：影像至少保存30天，關鍵事件（門禁異常、火警）保留一年並匯出備份。
步驟3：即時監控：監控中心24x7值班，設定告警門檻與SOP（通知清單、升級路徑）。

5. 環境管理：冷卻、濕度與漏水檢測的操作細節

步驟1：按機房等級設置CRAC/冷水機組，設定溫濕度範圍（建議：溫度18~27℃、相對濕度40~60%），並記錄每5分鐘。
步驟2：佈署漏水感測器於地板下、機櫃底部、冷卻管路處，設定即時告警到NOC。
步驟3：每日檢查冷卻回路、每月清理濾網、每季校正感測器並記錄維護報表。

6. 電力與備援：UPS、柴油發電機與測試流程

步驟1：配置N+1或2N UPS結構，明確切換流程與負載分配，並標註電力迴路。
步驟2：發電機維護：每月假負載啟動測試、每半年燃油與冷卻系統檢查、測試紀錄上傳資產管理系統。
步驟3：進行黑啟（停電）演練：編排測試時間窗、備援人員、回復SLA驗收條件並拍照存證。

7. 網路與資安防護：實作配置與維運步驟

步驟1：分區網路架構（管理網、營運網、對外網），在閘道間設置防火牆與ACL，明確管理VLAN。
步驟2：伺服器與設備採用硬體基礎繫結（MAC綁定）與AAA（RADIUS/TACACS+），並啟用雙因素驗證。
步驟3：例行：每週漏洞掃描、每月補丁管理（先在預備環境驗證）、異常流量每日審查並保留NetFlow 90天。

8. 維運記錄、變更管理與第三方管理

步驟1：建立變更申請流程：變更單→風險評估→備案→排程→回滾計畫→變更後驗證，所有步驟電子化並留痕。
步驟2：設備維護紀錄（點檢表）包含時間、結果、負責人、影像證明並存入CMDB。
步驟3：第三方廠商進場須簽署NDA與SLAs，並由主辦單位陪同全程監督，結束後回收臨時門禁與憑證。

9. 稽核、合規與演練：如何準備外部審查

步驟1：整理由上至下的稽核清單（物理、電力、冷卻、網路、文件），針對ISO27001、CNS或NCC要求逐條對應證據。
步驟2：提前做內部稽核（每半年），整理證據包：門禁紀錄、CCTV截圖、巡檢報告、變更紀錄、演練紀錄。
步驟3：演練頻率：電力故障、火警、資安事件各至少每年一次，演練後撰寫改進事項並限期改善。

10. 問：中華電訊機房合規最常見的缺失是什麼？

常見缺失：門禁與CCTV記錄保留不完整、變更未簽核、備援測試不足、第三方管控缺失。解法：依前述清單補足證據，立刻建立缺失整改計畫並定期追蹤。

11. 問：如何準備外部審查時的「證據包」？

證據包建議內容：政策文件、當日門禁匯出、CCTV關鍵影像、UPS/發電機測試報表、漏洞掃描報告、變更單與測試結果，所有檔案按日期與系統分類上傳至稽核專用資料夾。

12. 問：在台灣機房需注意的法規重點有哪些？

回答：重點包括個人資料保護法（個資處理與儲存）、電信相關監理規範（如NCC要求）、以及適用之國際標準（ISO27001、ISO22301）。實務上須確認資料保護與資安事件通報機制符合當地法令要求。

来源：台湾中华电讯机房安全管理标准与合规实践详解