物理與環(huán)境安全管理辦法

1、物理與環(huán)境安全管理辦法第一章總則第一條 目的:為了適應XX銀行（以下簡稱我行）物理與環(huán)境安全管理的需要，保障 我行生產(chǎn)和辦公系統(tǒng)的正常運行，特制定本管理辦法。第二條 依據(jù):本管理辦法根據(jù)XX銀行信息安全管理策略制訂.第三條 范圍：本管理辦法適用于我行及所轄分、支行.第二章基本要求第四條我行員工應根據(jù)我行運營需要對資產(chǎn)進行保護.我行的資產(chǎn)保護要求通過 完成以下目標來實現(xiàn)：（一）確保所有資產(chǎn)的物理和環(huán)境保護能得到我行的有效控制。（二）減少擅自訪問或損壞或影響我行控制的資產(chǎn)的風險。（三）防止我行控制的資產(chǎn)被人擅自刪除或移動。第五條安全控制措施包括以下各項：（一）我行的場地（機房、辦公室）的信息處理設

2、施周圍設置實際安全隔離措施，如 門禁系統(tǒng)等.（二）我行的大樓入口安全防范措施。（三）防護設備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。（四）設備維護。（五）清理資產(chǎn).第三章安全區(qū)域第六條我行的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域第七條安全區(qū)域的劃分與管理參見物理安全區(qū)域管理細則。第八條物理安全邊界所有進入我行安全區(qū)域的人員都需經(jīng)過授權，我行員工之外的人員進入我行安全區(qū)域 必須登記換取不同的授權卡或訪客證才能進入（持有效證件，得到被訪者允許）。第九條 安全區(qū)域出入控制措施（一）物理控制措施1、機房的門禁系統(tǒng)必須啟用，任何人都必須刷卡后才可進入機房；2、出入機房必須登記機房出入登記表，

3、記錄姓名、出入時間、事由等；3、一段時間內不會頻繁進入的機房應上鎖，需要時由運維人員開啟進入工作，并確保 辦公完成后鎖好；4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。（二）合同方及第三方1、要在主要出入口處填寫來訪人員登記表；2、在顯眼處佩戴我行發(fā)出的臨時出入卡或訪客證。（三）我行工作人員的控制措施1、我行工作人員都必須在顯眼處佩帶胸卡；2、我行工作人員調離我行時，其實際進入權也同時相應取消；（四）審查訪問科技信息部應定期（每三個月）審查訪問我行中心機房的人員名單并將進出權過期或作 廢的人員從名單上劃掉.（五）外部和環(huán)境威脅的安全防護1、機房建設應符合GB 9361中A

4、類安全機房的要求；2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品（例如文具 等）不應存放于安全區(qū)域內；3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離，以避免影響主場地 的災難產(chǎn)生的破壞；4、應提供適當?shù)臏缁鹪O備，并應放在合適的地點。第十條交接區(qū)安全（一）我行應設立交接區(qū),同時:1、向我行發(fā)送貨物必須預先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和 信息安全管理員確認；3、送貨公司在進入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關人員的鑒別確認；4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管

5、理員應檢驗貨物，以保證沒有潛在的 危害.第四章設備安全第十一條設備安置與保護（一）我行中應考慮以下控制措施：1、設備應進行適當安置，以盡量減少不必要的對工作區(qū)域的訪問；2、應把處理敏感數(shù)據(jù)的信息處理設施放在適當?shù)南拗朴^測的位置，以減少在其使用期 間信息被窺視的風險，還應保護儲存設施以防止未授權訪問；3、要求專門保護的部件要予以隔離，以降低所要求的總體保護等級；4、應采取控制措施以減小潛在的物理威脅的風險，例如偷竊、火災、爆炸、煙霧、水 （或供水故障）、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞；5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南；6、對于可能對信息處理設施運

6、行狀態(tài)產(chǎn)生負面影響的環(huán)境條件（例如溫度和濕度）要 予以監(jiān)視；7、所有建筑物都應采用避雷保護，所有進入的電源和通信線路都應裝配雷電保護過濾 器；8、對于工業(yè)環(huán)境中的設備，要考慮使用專門的保護方法，例如鍵盤保護膜；9、應保護處理敏感信息的設備，以減少由于輻射而導致信息泄露的風險；極其重要設 備應部署在不同位置。第十二條支持性設施（一）應有足夠的支持性設施（例如電、供水、排污、加熱/通風和空調）來支持系統(tǒng)。 支持性設施應定期檢查并適當?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來 的風險.應按照設備制造商的說明提供合適的供電.（二）對支持關鍵業(yè)務操作的設備，推薦使用支持有序關機或連續(xù)運行的不間

7、斷電源 （UPS）.電源應急計劃要包括UPS故障時要采取的措施。如果電源故障延長，而處理要繼續(xù) 進行，則要考慮備份發(fā)電機。應提供足夠的燃料供給，以確保在延長的時間內發(fā)電機可以 進行工作。UPS設備和發(fā)電機要定期地檢查，以確保它們擁有足夠能力，并按照制造商的 建議予以測試。另外，如果辦公場所很大，則應考慮使用多來源電源或一個單獨變電站。（三）另外，應急電源開關應位于設備房間應急出口附近，以便緊急情況時快速切斷電 源.萬一主電源出現(xiàn)故障時要提供應急照明。（四）要有穩(wěn)定足夠的供水以支持空調、加濕設備和滅火系統(tǒng)（當使用時），供水系統(tǒng) 的故障可能破壞設備或阻止有效的滅火.如果需要還應有告警系統(tǒng)來指示水壓

8、的降低。（五）連接到公共提供商的通信設備應至少有兩條不同線路以防止在一條連接路徑發(fā) 生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。（六）實現(xiàn)連續(xù)供電的選項包括多路供電，以避免供電的單一故障點。第十三條電纜安全（一）敷設到我行內各個區(qū)域的電纜線的保護方式如下：1、進入信息處理設施的電源和通信線路宜在地下，若可能，應提供足夠的可替換的保 護；2、網(wǎng)絡布纜要免受未授權竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開；4、使用清晰的可識別的電纜和設備記號，以使處理失誤最小化，例如，錯誤網(wǎng)絡電纜 的意外配線；5、使用文件化配線列表

9、減少失誤的可能性；6、對于敏感的或關鍵的系統(tǒng)，更進一步的控制考慮應包括：（1）在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子；（2）使用可替換的路由選擇和/或傳輸介質，以提供適當?shù)陌踩胧?；?）使用纖維光纜；（4）使用電磁防輻射裝置保護電纜；（5）對于電纜連接的未授權裝置要主動實施技術清除、物理檢查；（6）控制對配線盤和電纜室的訪問；第十四條設備維護（一）應按照供應商推薦的服務時間間隔和規(guī)范對設備進行維護。（二）由供貨商維護的設備。各種維護活動要按照合同協(xié)議或設備購買時的維護計劃 進行.（三）只有已授權的維護人員才可對設備進行修理和服務（四）原則上應保存所有維護記錄（五）要保證所有可疑

10、的或實際的故障以及所有預防和糾正維護的記錄；（六）設備資產(chǎn)的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄（七）設備資產(chǎn)的管理部門和行政服務公司定期審核維護記錄和計劃。（八）當對設備安排維護時，應實施適當?shù)目刂?，要考慮維護是由內部人員執(zhí)行還是由 外部人員執(zhí)行；當需要時，敏感信息需要從設備中刪除或者維護人員應該是足夠可靠的；（九）應遵守由保險策略所施加的所有要求.第十五條場外設備的安全（一）離開辦公場所的設備的保護應考慮下列措施：1、離開建筑物的設備和介質在公共場所不應無人看管。在旅行時便攜式計算機要作為 手提行李攜帶，若可能宜偽裝起來；2、制造商的設備保護說明要始終加以遵守，例如，

11、防止暴露于強電磁場內；3、家庭工作的控制措施應根據(jù)風險評估確定，當適合時，要施加合適的控制措施，例 如，可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信；4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設備.安全風險在不同場所可 能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家 庭工作或從正常工作地點運走的信息存儲和處理設備包括所有形式的個人計算機、管理設 備、移動電話、智能卡、紙張及其他形式的設備。第十六條設備的安全處置與重新使用（一）設備報廢處置時，存有敏感信息的存儲設備要從物理上加以銷毀或用安全方式 對信息加以覆蓋，而不能采用常用

12、的標準刪除功能來刪除（二）所有帶有諸如硬盤等儲存媒介的設備在報廢前都要對其檢查，以確保其內存儲 的敏感信息和授權專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲設備要對其進 行風險評估，以決定是否對其銷毀、修理或遺棄。（三）為保證信息安全，必須在處理介質前擦除有關的敏感信息：1、用碎紙機銷毀所有的敏感紙質記錄。廢紙可在碎紙后立即處置掉。2、我行內部不應積累過量紙質記錄。所有的紙質記錄都必須在處置前銷毀3、磁帶和磁盤必須在處置前實際銷毀和核對。4、數(shù)據(jù)存儲光盤應在處置前實際銷毀.（四）凡敏感性介質的處置都必須填寫信息介質處置申請表，經(jīng)部門負責人同意 后，方可進行處置.并記錄在信息介質處置記錄表，留待審計時備查.第十七條設備的移動（一）應考慮如下措施：1、在未經(jīng)事先授權的情況下，不應讓設備、信息或軟件離開辦公場所；2、明確識別有權允許資產(chǎn)移動，離開辦公場所的雇員、承包方人員和第三方人員；3、應設置設備移動的時間限制，