09-物理和環(huán)境安全控制程序

1、第一章 綜述第一條 本公司員工應(yīng)根據(jù)本公司運(yùn)營需要對信息資產(chǎn)進(jìn)行保護(hù)。本公司的信 息資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實現(xiàn)：（ 一） 確保所有信息資產(chǎn)的物理和環(huán)境保護(hù)能得到本公司的有效控制。（ 二） 減少擅自訪問或損壞或影響本公司控制的信息資產(chǎn)的風(fēng)險。（ 三） 防止本公司控制的信息資產(chǎn)被人擅自刪除或移動。第二條 安全控制措施包括以下各項：（一） 本公司的場地（各生產(chǎn)車間，市場營銷部，技術(shù)保障部）的 信息處理設(shè)施周圍設(shè)置實際安全隔離措施，如門禁系統(tǒng)等。（ 二 ） 本公司的實際入口安全防范措施。（三） 防護(hù)設(shè)備避免發(fā)生火、 水、極端溫度 / 濕度、灰塵和電產(chǎn)生的危害（ 四 ） 設(shè)備維護(hù)。（ 五 ） 清

2、理信息資產(chǎn)。第二章 安全區(qū)域第三條 本公司按人員活動區(qū)域管理辦法進(jìn)行信息安全區(qū)域劃分。第四條 物理安全邊界所有進(jìn)入本公司的人員都需經(jīng)過授權(quán)， 本公司員工之外的人員進(jìn)入本公司 必須登記換取來賓卡才能進(jìn)入 （得到被訪者允許 ）。第五條 安全區(qū)域出入控制措施（ 一 ） 物理控制措施 本公司物理控制措施執(zhí)行人員活動區(qū)域管理辦法。（ 二 ） 合同方及第三方一般來說，非本公司人員必須：1、要在主要出入口處填寫外單位人員進(jìn)入封閉區(qū)域?qū)徟恚?、在顯眼處佩戴本公司發(fā)出的來賓卡。（ 三 ） 本公司工作人員的控制措施1、本公司工作人員都必須在顯眼處佩帶胸卡；2、本公司工作人員調(diào)離本公司時，其實際進(jìn)入權(quán)也同時相應(yīng)取

3、消；（ 四） 訪問申請1、任何人如需要申請使用本公司感應(yīng)卡門禁， 申請人必須先填寫 員工卡申請（變更）審批表并獲得總經(jīng)理辦公室或其授權(quán) 代表的批準(zhǔn)。2、總經(jīng)理辦公室應(yīng)定期 （每三個月 ）審查訪問本公司的人員名單 并將進(jìn)出權(quán)限過期或作廢的人員從名單上劃掉。 同時審查門禁 系統(tǒng)控制權(quán)限分配，確保門禁權(quán)限控制正確。（ 五） 外部和環(huán)境威脅的安全防護(hù)1、危險或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。 大 批供應(yīng)品（例如文具等）不應(yīng)存放于特殊安全區(qū)域內(nèi)；2、恢復(fù)設(shè)備和備份介質(zhì)的存放地點應(yīng)與主場地有一段安全的距 離，以避免影響主場地的災(zāi)難產(chǎn)生的破壞；3、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點。第六

4、條 交接區(qū)安全（ 一 ） 本公司應(yīng)設(shè)立交接區(qū)，同時：1、向本公司發(fā)送貨物必須預(yù)先通知市場營銷部或其授權(quán)代表；2、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由監(jiān)督人員確 認(rèn)；3、送貨公司在進(jìn)入本公司區(qū)域之前要經(jīng)過工作人員鑒別確認(rèn)；4、技 術(shù)保障部或其授權(quán)代表應(yīng)安排人員檢驗貨物， 以保證沒有潛 在的危害。第三章 設(shè)備安全第七條 設(shè)備安置與保護(hù)（ 一 ） 本公司中應(yīng)考慮以下控制措施：1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，盡量減少不必要的對工作區(qū)域的訪問；2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險， 還應(yīng)保護(hù)儲存設(shè) 施以防止未授權(quán)訪問；3、要求專門保護(hù)的部件要予以隔

5、離， 以降低所要求的總體保護(hù)等 級；4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險， 例如偷竊、火 災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動、化學(xué)影響、 電源干擾、通信干擾、電磁輻射和故意破壞；5、在信息處理設(shè)施附近禁止進(jìn)食、喝飲料和抽煙；6、對于可能對信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件 （例如溫度和濕度）要予以監(jiān)視；7、所有建筑物都應(yīng)采用避雷保護(hù)， 所有進(jìn)入的電源和通信線路都 應(yīng)裝配雷電保護(hù)過濾器；8、應(yīng)保護(hù)處理敏感信息的設(shè)備， 以減少信息泄露的風(fēng)險； 極其重 要設(shè)備應(yīng)部署在不同位置。第八條 支持性設(shè)施（一） 應(yīng)有足夠的支持性設(shè)施 （例如電、供水、排污、加熱/ 通風(fēng)和空調(diào)） 來支持

6、系統(tǒng)。 支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能， 減少由 于他們的故障或失效帶來的風(fēng)險。應(yīng)按照設(shè)備制造商的說明提供合適的供電。（ 二 ） 對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行 的不間斷電源（UPS。電源應(yīng)急計劃要包括UPS故障時要采取的措施。如果 電源故障延長，而處理要繼續(xù)進(jìn)行， 則要考慮備份發(fā)電機(jī)。 應(yīng)提供足夠的燃料 供給，以確保在延長的時間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。（三）應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時快 速切斷電源。萬一主電源出現(xiàn)故障時要提供應(yīng)急照明。（四）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用 時），供水系統(tǒng)的故障可能破

7、壞設(shè)備或阻止有效的滅火。 如果需要還應(yīng)有告警 系統(tǒng)來指示水壓的降低。（ 五） 連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一 條連接路徑發(fā)生故障時語音服務(wù)失效。 要有足夠的語音服務(wù)以滿足地方法規(guī)對 于應(yīng)急通信的要求。（ 六） 實現(xiàn)連續(xù)供電的選項包括多路供電，以避免供電的單一故障點。 第九條 電纜安全（ 一） 敷設(shè)到本公司內(nèi)各個區(qū)域的其它電纜線的保護(hù)方式如下：1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下， 若可能，或提 供足夠的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞， 例如，利用電纜管道或使 路由避開公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開；4、使用清晰的可識別的

8、電纜和設(shè)備記號，以使處理失誤最小化， 例如，錯誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：1）在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或 盒子；2）使用可替換的路由選擇和 / 或傳輸介質(zhì)，以提供適當(dāng)?shù)陌?全措施；3）使用纖維光纜；4）使用電磁防輻射裝置保護(hù)電纜；5）對于電纜連接的未授權(quán)裝置要主動實施技術(shù)清除、物理檢 查；6）控制對配線盤和電纜室的訪問； 第十條 設(shè)備維護(hù)（ 一） 應(yīng)按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范對設(shè)備進(jìn)行維護(hù)，應(yīng)遵 守由保險策略所施加的所有要求。（ 二） 由供貨商維護(hù)的設(shè)備。各種維護(hù)活動要按照合同

9、協(xié)議或設(shè)備購買 時的維護(hù)計劃進(jìn)行。（三） 設(shè)備維護(hù)可分為日常維護(hù)（一級維護(hù)） 、年度維護(hù)（二級維護(hù)） 。（ 四） 日常維護(hù)由設(shè)備使用者在日常使用時進(jìn)行，維護(hù)項目限于查看設(shè) 備外觀有無明顯損壞、是否正常工作、是否通電正常等內(nèi)容。（ 五） 年度維護(hù)一般由供應(yīng)商進(jìn)行，在專業(yè)性上要求比日常維護(hù)都要強(qiáng)， 包括一年一次或幾年一次不等， 年度維護(hù)側(cè)重于設(shè)備潛在故障的及早發(fā)現(xiàn)和處 理。（ 六） 只有已授權(quán)的維護(hù)人員才可對設(shè)備進(jìn)行修理和服務(wù)，授權(quán)人員包 括本公司內(nèi)部人員， 也包括供應(yīng)商。 無論內(nèi)部人員還是外部人員， 都必須具備 相應(yīng)的能力，并遵守安裝維護(hù)操作步驟和安全保護(hù)規(guī)則。（ 七） 在對設(shè)備進(jìn)行維護(hù)時，要根

10、據(jù)不同的維護(hù)內(nèi)容及可能產(chǎn)生的風(fēng)險， 考慮是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行，在外部人員對設(shè)備進(jìn)行維護(hù)時， 應(yīng)實施適當(dāng)?shù)目刂疲?需要時，敏感信息需要從設(shè)備中刪除或確保維護(hù)人員對其 不具有訪問權(quán)限。（ 八） 對于由內(nèi)部人員維護(hù)的設(shè)備，要依據(jù)設(shè)備供應(yīng)商推薦的間隔和規(guī) 范對設(shè)備進(jìn)行維護(hù)。（ 九） 在設(shè)備維護(hù)過程中，要保存所有可疑的或?qū)嶋H的故障和所有預(yù)防、 糾正維護(hù)的記錄，這些記錄包括日志、故障報告記錄等。 詳見設(shè)備維修保養(yǎng)制度第十一條 場外設(shè)備的安全（ 一） 如需要供應(yīng)商將設(shè)備移出本公司物理環(huán)境進(jìn)行維修時，在設(shè)備移 出前，設(shè)備管理人員要將設(shè)備中敏感信息從設(shè)備中刪除或確保維護(hù)人員對其不 可訪問或獲取。（

11、 二） 離開建筑物的信息設(shè)備和移動介質(zhì)在公共場所要有專人看護(hù)和保 管，不允許無人值守，適當(dāng)時，還要施加其它措施進(jìn)行控制，例如上鎖，以防 止損壞、盜竊等事件發(fā)生。（ 三 ） 離開辦公場所的設(shè)備的保護(hù)應(yīng)考慮下列措施：1、 離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。 在旅行時 便攜式計算機(jī)要作為手提行李攜帶，若可能宜偽裝起來；2、 制造商的設(shè)備保護(hù)說明要始終加以遵守， 例如，防止暴露于強(qiáng) 電磁場內(nèi)；3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險評估確定， 當(dāng)適合時， 要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、 對計算機(jī)的訪問控制以及與辦公室的安全通信；4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開

12、辦公場所的設(shè)備。安全風(fēng)險在不同場所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運(yùn)走的信息存儲和處理設(shè)備包括所有形式的個人計算機(jī)、管理設(shè)備、移動電話、智能卡、紙張及其 他形式的設(shè)備。第十二條 設(shè)備的安全處置與重新使用（一） 設(shè)備報廢處置時， 存有敏感信息的存儲設(shè)備要從物理上加以銷毀， 或用安全方式對信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。（ 二） 所有帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查，以 確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或覆蓋。 存有敏感數(shù)據(jù)的已 損壞的存儲設(shè)備要對其進(jìn)行風(fēng)險評估，以決定是否對其銷毀、修理或遺棄。（ 三） 為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：1、 用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。 廢紙可在碎紙后立即處置 掉。2、 本公司里面不應(yīng)積累過量紙質(zhì)記錄。 所有的紙質(zhì)記錄都必須在 處置前銷毀。3、磁帶和磁盤必須在處置前實際銷毀和核對。4、數(shù)據(jù)存儲光盤應(yīng)在處置前實際銷毀。第十三條 設(shè)備的移動（ 一） 應(yīng)考慮如下措施：1、在未經(jīng)事先授權(quán)的情況下， 不應(yīng)讓設(shè)備、 信息或軟件離開辦公 場所；2、 明確識別有權(quán)允許信