1、物理安全管理1使用说明2文本/背景填充超链接浅/深色一级填充未访问二级填充三级填充已访问描边一般文本样式一般文本样式一般文本样式一般文本样式文本样式注释文字样式配色方案文本/填充样式数据图表024681234超链接3 物理安全边界,物理进入控制,办公室,房间及设施的安全1 防范外部和环境威胁,在安全区域工作,送货和装卸区2 设备安置和保护,支持设施,电缆安全,设备维护,资产转移 3 场外设备和资产安全,设备报废或重用,无人值守的设备,清除桌面及屏幕策略4目录物理安全边界,物理进入控制,办公室,房间及设施的安全l物理安全边界l控制措施l控制措施应使用安全边界(诸如墙、卡控制的入口或有人管理的接待
2、台等屏障)来保护包含信息和信息处理设施的区域。l对于物理安全边界,若合适,下列指南应予以考虑实施:l安全边界应清晰地予以定义,各个边界的设置地点和强度取决于边界内资产的安全要求和风险评估的结果;l包含信息处理设施的建筑物或场地的边界应在物理上是安全的(即,在边界或区域内不应存在可能易于闯入的任何缺口);场所的外墙应是坚固结构,所有外部的门要使用控制机制来适当保护,以防止未授权进入,例,门闩、报警器、锁等;无人看管的门和窗户应上锁,还要考虑窗户的外部保护,尤其是地面一层的窗户;l对场所或建筑物的物理访问手段要到位(如有人管理的接待区域或其他控制);进入场所或建筑物应仅限于已授权人员;4物理安全边
3、界,物理进入控制,办公室,房间及设施的安全l如果可行,应建立物理屏障以防止未授权进入和环境污染;l安全边界的所有防火门应可发出报警信号、被监视并经过检验,和墙一起按照合适的地方、国内和国际标准建立所需的防卫级别;他们应使用故障保护方式按照当地防火规则来运行。l应按照地方、国内和国际标准建立适当的入侵检测系统,并定期检测以覆盖所有的外部门窗;要一直警惕空闲区域;其他区域要提供掩护方法,例如计算机室或通信室;l组织管理的信息处理设施应在物理上与第三方管理的设施分开。5物理安全边界,物理进入控制,办公室,房间及设施的安全l物理进入控制l控制措施l安全区域应由适合的入口控制所保护,以确保只有授权的人员
4、才允许访问。l实施指南l下列指南应予以考虑:l记录访问者进入和离开的日期和时间,所有的访问者要予以监督,除非l他们的访问事前已经经过批准;只能允许他们访问特定的、已授权的目标,并要向他们宣布关于该区域的安全要求和应急程序的说明。l访问处理敏感信息或储存敏感信息的区域要受到控制,并且仅限于已授权的人员;认证控制(例如,访问控制卡加个人识别号)应用于授权和确认所有访问;所有访问的审核踪迹要安全地加以维护。6物理安全边界,物理进入控制,办公室,房间及设施的安全l所有雇员、承包方人员和第三方人员以及所有访问者要佩带某种形式的可视标识,如果遇到无人护送的访问者和未佩带可视标识的任何人应立即通知保安人员。
5、l第三方支持服务人员只有在需要时才能有限制的访问安全区域或敏感信息处理设施;这种访问应被授权并受监视;l对安全区域的访问权要定期地予以评审和更新,并在需要时废除。7物理安全边界,物理进入控制,办公室,房间及设施的安全l办公室,房间及设施的安全l控制措施l应为办公室、房间和设施设计并采取物理安全措施。l实施指南l应考虑下列指南以保护办公室、房间和设施:l相关的健康和安全法规、标准要考虑在内;l关键设施应坐落在可避免公众进行访问的场地;l如果可行,建筑物要不引人注目,并且在建筑物内侧或外侧用不明显的标记给出其用途的最少指示,以标识信息处理活动的存在;l标识敏感信息处理设施位置的目录和内部电话簿不要
6、轻易被公众得到。8防范外部和环境威胁,在安全区域工作,送货和装卸区l防范外部和环境威胁l控制措施l为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。l实施指南l要考虑任何邻近区域所带来的安全威胁,例如,邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸。l要避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏,应考虑以下因素:l危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具)不应存放于安全区域内;l备份设备和备份介质的存放地点应与主要场所有一段安全的距离,以避免影响主要场所的灾难产生的破坏;l
7、应提供适当的灭火设备,并应放在合适的地点。9防范外部和环境威胁,在安全区域工作,送货和装卸区l在安全区域工作l控制措施l应设计和运用用于安全区域工作的物理保护和指南。l实施指南l 只在有必要知道的基础上,员工才应知道安全区域的存在或其中的活动。l为了安全原因和减少恶意活动的机会,均应避免在安全区域内进行不受监督的工作;l未使用的安全区域在物理上要上锁并周期地予以检查;除非授权,不允许携带摄影、视频、声频或其他记录设备,例如移动设备中的照相机。l在安全区域工作的安排包括对工作在安全区域内的雇员、承包方人员和第三方人员的控制,以及对其他发生在安全区域的第三方活动的控制。10防范外部和环境威胁,在安
8、全区域工作,送货和装卸区l送货和装卸区l控制措施l访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。l实施指南l由建筑物外进入交接区的访问应局限于已标识的和已授权的人员;l交接区应设计成在无需交货人员获得对本建筑物其他部分的访问权的情况下就能卸下物资;l当内部的门打开时,交接区的外部门应得到安全保护;l在进来的物资从交接区运到使用地点之前,要检查是否存在潜在威胁;l进来的物资应按照资产管理程序在场所的入口处进行登记;l如果可能,进入和外出的货物应在物理上予以隔离。11设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l设备
9、安置和保护l控制措施l应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。l实施指南l设备应进行适当安置,以尽量减少不必要的对工作区域的访问;l应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;l要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;l应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;12设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l应建立在信息处理设施附近进食、
10、喝饮料和抽烟的指南;l对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;l所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;l对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;l应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险。13设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l支持设施l控制措施l应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。l实施指南l应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于
11、他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。l对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(UPS)。电源应急计划要包括 UPS 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。UPS 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。14设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。
12、万一主电源出现故障时要提供应急照明。l要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。l连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。15设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l电缆安全l控制措施l应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。l实施指南l进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护;l网络布缆要免受未授权窃听或损坏,例如
13、,利用电缆管道或使路由避开公众区域;l为了防止干扰,电源电缆要与通信电缆分开;l使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;l使用文件化配线列表减少失误的可能性;16设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l对于敏感的或关键的系统,更进一步的控制考虑应包括:1.在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;2.使用可替换的路由选择和/或传输介质,以提供适当的安全措施;3.使用纤维光缆;4.使用电磁防辐射装置保护电缆;5.对于电缆连接的未授权装置要主动实施技术清除、物理检查;6.控制对配线盘和电缆室的访问;17设备安置和保护,支持设
14、施,电缆安全,设备维护,资产转移 l设备维护l控制措施l设备应予以正确地维护,以确保其持续的可用性和完整性。l实施指南l要按照供应商推荐的服务时间间隔和规范对设备进行维护;l只有已授权的维护人员才可对设备进行修理和服务;l要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录;l当对设备安排维护时,应实施适当的控制,要考虑维护是由场所内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;l应遵守由保险策略所施加的所有要求。18设备安置和保护,支持设施,电缆安全,设备维护,资产转移 l资产转移l控制措施l设备、信息或软件在授权之前不应带出组织场所。l实
15、施指南l在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;l应明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;l应设置设备移动的时间限制,并在返还时执行符合性检查;l若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。19场外设备和资产安全,设备报废或重用,无人值守的设备,清除桌面及屏幕策略l场外设备和资产安全l控制措施l应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。l实施指南l无论责任人是谁,在组织场所外使用任何信息处理设备都要通过管理者授权。l离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计l算机要作为手提行李携
16、带,若可能宜伪装起来;l制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;l家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信(见 ISO/IEC 18028 网络安全);l足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。l安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。20场外设备和资产安全,设备报废或重用,无人值守的设备,清除桌面及屏幕策略l设备报废或重用l控制措施l包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和
17、注册软件已被删除或安全重写。l实施指南l包含敏感信息的设备在物理上应予以摧毁,或者采用使原始信息不可获取的技术破坏、删除、覆盖信息,而不能采用标准的删除或格式化功能。l包含敏感信息的已损坏的设备可能需要实施风险评估,以确定这些设备是否l要进行销毁、而不是送去修理或丢弃。l信息可能通过对设备的草率处置或重用而被泄漏21场外设备和资产安全,设备报废或重用,无人值守的设备,清除桌面及屏幕策略l无人值守的设备、清除桌面及屏幕策略l对于无人职守的设备,要明确管理人员,加强物理安全控制。l含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应锁入文件柜、保险柜等;l所有计算机
18、终端必须设立登录口令,在人员离开时应该锁屏、注销或关机;在结束工作时,必须关闭所有计算机终端,并且将个人桌面上所有记录有敏感信息的介质锁入文件柜;l计算机终端应设置屏幕密码保护,屏保时间不大于5 分钟;l传真机由总经理办公室负责管理,并落实责任人。l打印或复印公司秘密、机密信息时,打印或复印设备现场应有可靠人员,打印或复印完毕即从设备拿走。22表格样式项目一项目二项目三项目四类别 01填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 02填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 03填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 04填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 05填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 06填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 07填充文本/数据填充文本/数据填充文本/数据填充文本/数据类别 08填充文本/数据填充文本/数据填充文本/数据填充文本/数据23点击此处添加脚注信息谢谢收看24