09-物理和環(huán)境安全控制程序

1、第一章 綜述第一條 本公司員工應(yīng)根據(jù)本公司運(yùn)營(yíng)需要對(duì)信息資產(chǎn)進(jìn)行保護(hù)。本公司的信 息資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn)：（ 一） 確保所有信息資產(chǎn)的物理和環(huán)境保護(hù)能得到本公司的有效控制。（ 二） 減少擅自訪問(wèn)或損壞或影響本公司控制的信息資產(chǎn)的風(fēng)險(xiǎn)。（ 三） 防止本公司控制的信息資產(chǎn)被人擅自刪除或移動(dòng)。第二條 安全控制措施包括以下各項(xiàng)：（一） 本公司的場(chǎng)地（各生產(chǎn)車(chē)間，市場(chǎng)營(yíng)銷(xiāo)部，技術(shù)保障部）的 信息處理設(shè)施周?chē)O(shè)置實(shí)際安全隔離措施，如門(mén)禁系統(tǒng)等。（ 二 ） 本公司的實(shí)際入口安全防范措施。（三） 防護(hù)設(shè)備避免發(fā)生火、 水、極端溫度 / 濕度、灰塵和電產(chǎn)生的危害（ 四 ） 設(shè)備維護(hù)。（ 五 ） 清

2、理信息資產(chǎn)。第二章 安全區(qū)域第三條 本公司按人員活動(dòng)區(qū)域管理辦法進(jìn)行信息安全區(qū)域劃分。第四條 物理安全邊界所有進(jìn)入本公司的人員都需經(jīng)過(guò)授權(quán)， 本公司員工之外的人員進(jìn)入本公司 必須登記換取來(lái)賓卡才能進(jìn)入 （得到被訪者允許 ）。第五條 安全區(qū)域出入控制措施（ 一 ） 物理控制措施 本公司物理控制措施執(zhí)行人員活動(dòng)區(qū)域管理辦法。（ 二 ） 合同方及第三方一般來(lái)說(shuō)，非本公司人員必須：1、要在主要出入口處填寫(xiě)外單位人員進(jìn)入封閉區(qū)域?qū)徟恚?、在顯眼處佩戴本公司發(fā)出的來(lái)賓卡。（ 三 ） 本公司工作人員的控制措施1、本公司工作人員都必須在顯眼處佩帶胸卡；2、本公司工作人員調(diào)離本公司時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取

3、消；（ 四） 訪問(wèn)申請(qǐng)1、任何人如需要申請(qǐng)使用本公司感應(yīng)卡門(mén)禁， 申請(qǐng)人必須先填寫(xiě) 員工卡申請(qǐng)（變更）審批表并獲得總經(jīng)理辦公室或其授權(quán) 代表的批準(zhǔn)。2、總經(jīng)理辦公室應(yīng)定期 （每三個(gè)月 ）審查訪問(wèn)本公司的人員名單 并將進(jìn)出權(quán)限過(guò)期或作廢的人員從名單上劃掉。 同時(shí)審查門(mén)禁 系統(tǒng)控制權(quán)限分配，確保門(mén)禁權(quán)限控制正確。（ 五） 外部和環(huán)境威脅的安全防護(hù)1、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。 大 批供應(yīng)品（例如文具等）不應(yīng)存放于特殊安全區(qū)域內(nèi)；2、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距 離，以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞；3、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。第六

4、條 交接區(qū)安全（ 一 ） 本公司應(yīng)設(shè)立交接區(qū)，同時(shí)：1、向本公司發(fā)送貨物必須預(yù)先通知市場(chǎng)營(yíng)銷(xiāo)部或其授權(quán)代表；2、送貨公司名稱(chēng)和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由監(jiān)督人員確 認(rèn)；3、送貨公司在進(jìn)入本公司區(qū)域之前要經(jīng)過(guò)工作人員鑒別確認(rèn)；4、技 術(shù)保障部或其授權(quán)代表應(yīng)安排人員檢驗(yàn)貨物， 以保證沒(méi)有潛 在的危害。第三章 設(shè)備安全第七條 設(shè)備安置與保護(hù)（ 一 ） 本公司中應(yīng)考慮以下控制措施：1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn)；2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)， 還應(yīng)保護(hù)儲(chǔ)存設(shè) 施以防止未授權(quán)訪問(wèn)；3、要求專(zhuān)門(mén)保護(hù)的部件要予以隔

5、離， 以降低所要求的總體保護(hù)等 級(jí)；4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)， 例如偷竊、火 災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、 電源干擾、通信干擾、電磁輻射和故意破壞；5、在信息處理設(shè)施附近禁止進(jìn)食、喝飲料和抽煙；6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件 （例如溫度和濕度）要予以監(jiān)視；7、所有建筑物都應(yīng)采用避雷保護(hù)， 所有進(jìn)入的電源和通信線路都 應(yīng)裝配雷電保護(hù)過(guò)濾器；8、應(yīng)保護(hù)處理敏感信息的設(shè)備， 以減少信息泄露的風(fēng)險(xiǎn)； 極其重 要設(shè)備應(yīng)部署在不同位置。第八條 支持性設(shè)施（一） 應(yīng)有足夠的支持性設(shè)施 （例如電、供水、排污、加熱/ 通風(fēng)和空調(diào)） 來(lái)支持

6、系統(tǒng)。 支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能， 減少由 于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。（ 二 ） 對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行 的不間斷電源（UPS。電源應(yīng)急計(jì)劃要包括UPS故障時(shí)要采取的措施。如果 電源故障延長(zhǎng)，而處理要繼續(xù)進(jìn)行， 則要考慮備份發(fā)電機(jī)。 應(yīng)提供足夠的燃料 供給，以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。（三）應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快 速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。（四）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用 時(shí)），供水系統(tǒng)的故障可能破

7、壞設(shè)備或阻止有效的滅火。 如果需要還應(yīng)有告警 系統(tǒng)來(lái)指示水壓的降低。（ 五） 連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一 條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。 要有足夠的語(yǔ)音服務(wù)以滿(mǎn)足地方法規(guī)對(duì) 于應(yīng)急通信的要求。（ 六） 實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電，以避免供電的單一故障點(diǎn)。 第九條 電纜安全（ 一） 敷設(shè)到本公司內(nèi)各個(gè)區(qū)域的其它電纜線的保護(hù)方式如下：1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下， 若可能，或提 供足夠的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞， 例如，利用電纜管道或使 路由避開(kāi)公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開(kāi)；4、使用清晰的可識(shí)別的

8、電纜和設(shè)備記號(hào)，以使處理失誤最小化， 例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：1）在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或 盒子；2）使用可替換的路由選擇和 / 或傳輸介質(zhì)，以提供適當(dāng)?shù)陌?全措施；3）使用纖維光纜；4）使用電磁防輻射裝置保護(hù)電纜；5）對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢 查；6）控制對(duì)配線盤(pán)和電纜室的訪問(wèn)； 第十條 設(shè)備維護(hù)（ 一） 應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)，應(yīng)遵 守由保險(xiǎn)策略所施加的所有要求。（ 二） 由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同

9、協(xié)議或設(shè)備購(gòu)買(mǎi) 時(shí)的維護(hù)計(jì)劃進(jìn)行。（三） 設(shè)備維護(hù)可分為日常維護(hù)（一級(jí)維護(hù)） 、年度維護(hù)（二級(jí)維護(hù)） 。（ 四） 日常維護(hù)由設(shè)備使用者在日常使用時(shí)進(jìn)行，維護(hù)項(xiàng)目限于查看設(shè) 備外觀有無(wú)明顯損壞、是否正常工作、是否通電正常等內(nèi)容。（ 五） 年度維護(hù)一般由供應(yīng)商進(jìn)行，在專(zhuān)業(yè)性上要求比日常維護(hù)都要強(qiáng)， 包括一年一次或幾年一次不等， 年度維護(hù)側(cè)重于設(shè)備潛在故障的及早發(fā)現(xiàn)和處 理。（ 六） 只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)，授權(quán)人員包 括本公司內(nèi)部人員， 也包括供應(yīng)商。 無(wú)論內(nèi)部人員還是外部人員， 都必須具備 相應(yīng)的能力，并遵守安裝維護(hù)操作步驟和安全保護(hù)規(guī)則。（ 七） 在對(duì)設(shè)備進(jìn)行維護(hù)時(shí)，要根

10、據(jù)不同的維護(hù)內(nèi)容及可能產(chǎn)生的風(fēng)險(xiǎn)， 考慮是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行，在外部人員對(duì)設(shè)備進(jìn)行維護(hù)時(shí)， 應(yīng)實(shí)施適當(dāng)?shù)目刂疲?需要時(shí)，敏感信息需要從設(shè)備中刪除或確保維護(hù)人員對(duì)其 不具有訪問(wèn)權(quán)限。（ 八） 對(duì)于由內(nèi)部人員維護(hù)的設(shè)備，要依據(jù)設(shè)備供應(yīng)商推薦的間隔和規(guī) 范對(duì)設(shè)備進(jìn)行維護(hù)。（ 九） 在設(shè)備維護(hù)過(guò)程中，要保存所有可疑的或?qū)嶋H的故障和所有預(yù)防、 糾正維護(hù)的記錄，這些記錄包括日志、故障報(bào)告記錄等。 詳見(jiàn)設(shè)備維修保養(yǎng)制度第十一條 場(chǎng)外設(shè)備的安全（ 一） 如需要供應(yīng)商將設(shè)備移出本公司物理環(huán)境進(jìn)行維修時(shí)，在設(shè)備移 出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對(duì)其不 可訪問(wèn)或獲取。（

11、 二） 離開(kāi)建筑物的信息設(shè)備和移動(dòng)介質(zhì)在公共場(chǎng)所要有專(zhuān)人看護(hù)和保 管，不允許無(wú)人值守，適當(dāng)時(shí)，還要施加其它措施進(jìn)行控制，例如上鎖，以防 止損壞、盜竊等事件發(fā)生。（ 三 ） 離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施：1、 離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。 在旅行時(shí) 便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來(lái)；2、 制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守， 例如，防止暴露于強(qiáng) 電磁場(chǎng)內(nèi)；3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定， 當(dāng)適合時(shí)， 要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、 對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信；4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開(kāi)

12、辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其 他形式的設(shè)備。第十二條 設(shè)備的安全處置與重新使用（一） 設(shè)備報(bào)廢處置時(shí)， 存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷(xiāo)毀， 或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。（ 二） 所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以 確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專(zhuān)用軟件已被清除或覆蓋。 存有敏感數(shù)據(jù)的已 損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷(xiāo)毀、修理或遺棄。（ 三） 為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：1、 用碎紙機(jī)銷(xiāo)毀所有的敏感紙質(zhì)記錄。 廢紙可在碎紙后立即處置 掉。2、 本公司里面不應(yīng)積累過(guò)量紙質(zhì)記錄。 所有的紙質(zhì)記錄都必須在 處置前銷(xiāo)毀。3、磁帶和磁盤(pán)必須在處置前實(shí)際銷(xiāo)毀和核對(duì)。4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷(xiāo)毀。第十三條 設(shè)備的移動(dòng)（ 一） 應(yīng)考慮如下措施：1、在未經(jīng)事先授權(quán)的情況下， 不應(yīng)讓設(shè)備、 信息或軟件離開(kāi)辦公 場(chǎng)所；2、 明確識(shí)別有權(quán)允許信