物理安全區(qū)域管理細(xì)則(暫行)

1、第一章總則第一條為加強對本公司物理和環(huán)境安全的管理，制定本文件。第二條本文件適用于本公司所有物理區(qū)域和設(shè)備設(shè)施的管理。第二章安全區(qū)域第三條本公司的安全區(qū)域包括信息機房、檔案室、領(lǐng)導(dǎo)辦公室和公用辦公區(qū)域、來訪接待區(qū)域等。第四條安全區(qū)域的劃分與管理參見物理安全區(qū)域管理細(xì)則。第五條物理安全邊界所有進(jìn)入本公司物理安全區(qū)域的人員都需經(jīng)過授權(quán)，本公司員工之外的人員進(jìn)入本公司必須登記并領(lǐng)取身 份識別卡后才能進(jìn)入。第六條 安全區(qū)域出入控制措施 （一 ）物理控制措施 1 、應(yīng)有明確的人員負(fù)責(zé)機房、辦公職場的安全管理工作；2、總公司的信息機房的門禁系統(tǒng)必須啟用，任何人都必須刷卡或登記后才可進(jìn)入機房；3、分支機構(gòu)的

2、機房至少要能夠上鎖，不需要頻繁進(jìn)出時，機房應(yīng)上鎖；4、出入機房必須登記機房進(jìn)出登記表，記錄姓名、出入時間、攜帶物品、事由等；5、機房和職場的重要位置應(yīng)安裝閉路電視監(jiān)控；6、人員來訪或裝卸貨物應(yīng)該在指定的區(qū)域進(jìn)行；7、檔案室、保險柜、文件柜等文件存儲設(shè)備設(shè)施在使用后及時上鎖。（二 ）承包方和第三方1 、要在主要出入口處登記來訪人員登記表；2、在胸前明顯位置佩帶本公司發(fā)出的身份識別卡。（三 ）本公司工作人員的控制措施1 、本公司工作人員都必須在胸前明顯位置佩帶身份識別卡；2、防止不明身份人員尾隨進(jìn)入本公司物理安全區(qū)域；3、工作人員調(diào)動或離職時，其實際進(jìn)入權(quán)也同時相應(yīng)變化或取消。（ 四 ）訪問申請1

3、 、本公司的門禁卡由人力資源部負(fù)責(zé)制作、發(fā)放和管理工作，對門禁卡的發(fā)放和回收情況，人力資源部要進(jìn)行登記；同時要定期審查門禁系統(tǒng)控制權(quán)限分配，確保門禁權(quán)限控制正確；2、新員工入職后，由人力資源部為其制作并發(fā)放身份識別卡；3、外來人員的身份識別卡，由外來人員接待部門根據(jù)實際需要填寫身份識別卡申請表向人力資源部提出申請，由人力資源部批準(zhǔn)后予以發(fā)放。（五）外部和環(huán)境威脅的安全防護(hù)1 、信息機房建設(shè)應(yīng)符合GB 9361 中 A 類安全機房的要求；各分支機構(gòu)的機房應(yīng)該參照 GB 9361 的要求進(jìn)行；2、危險或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于高級別安全區(qū)域內(nèi)

4、；3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點應(yīng)與主場地有一段安全的距離；4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點。第七條交接區(qū)安全（一 ）本公司應(yīng)設(shè)立交接區(qū)，同時：1 、向本公司發(fā)送貨物必須預(yù)先通知貨物接收人；2、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由貨物接收人確認(rèn)；3、送貨公司在進(jìn)入本公司區(qū)域之前要經(jīng)過前臺人員鑒別確認(rèn)；4、貨物資產(chǎn)接收人員應(yīng)組織檢驗貨物，以保證符合驗收標(biāo)準(zhǔn)且沒有潛在的危害。第三章設(shè)備安全第八條設(shè)備安置與保護(hù)（一 ）應(yīng)考慮以下控制措施：1 、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少對工作區(qū)域不必要的訪問；2 、 應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置， 以減少在其使用期間

5、信息被非授權(quán)訪問的風(fēng)險；3、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞等；4、應(yīng)禁止在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙等行為；5、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；6、所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；7、對于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤保護(hù)膜；8 、 應(yīng)保護(hù)處理敏感信息的設(shè)備， 以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險； 極其重要設(shè)備應(yīng)部署在不同位置。第九條支持性設(shè)施（一）應(yīng)有足

6、夠的支持性設(shè)施（例如電、供水、UPS 、通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險。應(yīng)按照設(shè)備制造商的說明提供合適的供電。（二 ）對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機或連續(xù)運行的不間斷電源（UPS ）。電源應(yīng)急計劃要包括 UPS 故障時要采取的措施。如果電源故障延長，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機。應(yīng)提供足夠的燃料供給， 以確保在延長的時間內(nèi)發(fā)電機可以進(jìn)行工作。 UPS 設(shè)備和發(fā)電機要定期地檢查， 以確保它們擁有足夠能力，并按照制造商的建議予以測試。（三 ）應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時快

7、速切斷電源。萬一主電源出現(xiàn)故障時要提供應(yīng)急照明。（ 四 ）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。（五 ）連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務(wù)失效。（六 ）采用多路供電，以避免供電的單一故障點。第十條電纜安全（一 ）敷設(shè)到本公司內(nèi)各個區(qū)域的其它電纜線的保護(hù)方式如下：1 、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，或提供足夠的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；3、為了防止干擾，電源

8、電纜要與通信電纜分開；4、使用清晰的可識別的電纜和設(shè)備記號，以使處理失誤最小化，例如，錯誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：1） 在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子；2）使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?）使用纖維光纜；4）使用電磁防輻射裝置保護(hù)電纜；5）對于電纜連接的未授權(quán)裝置要主動實施技術(shù)清除、物理檢查；6）控制對配線柜的訪問。第十一條設(shè)備維護(hù)（一 ）應(yīng)按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范對設(shè)備進(jìn)行維護(hù)；（二）由供貨商維護(hù)的設(shè)備，各種維護(hù)活動要按照合同協(xié)議或設(shè)備購買時的

9、維護(hù)計劃進(jìn)行；（三 ）只有已授權(quán)的維護(hù)人員才可對設(shè)備進(jìn)行修理和服務(wù)；（ 四 ）設(shè)備資產(chǎn)的管理部門和辦公室定期審核維護(hù)計劃和記錄；應(yīng)保存所有維護(hù)記錄；（五）設(shè)備資產(chǎn)的管理部門和辦公室應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計劃和記錄；（六）當(dāng)對設(shè)備安排維護(hù)時，應(yīng)實施適當(dāng)?shù)目刂疲紤]維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；維護(hù)工作交由外部人員執(zhí)行時，首先需要選擇可靠的外部維護(hù)方和維護(hù)人員，與維護(hù)方及維護(hù)人員簽訂保密協(xié)議。必要時，敏感信息需要事先從設(shè)備中清除刪除、第十二條場外設(shè)備的安全（一 ）離開辦公場所的設(shè)備的保護(hù)應(yīng)考慮下列措施：1 、 離開辦公場所的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管， 在旅行時便攜式計算機要

10、作為手提行李攜帶， 若可能宜偽裝起來；2、制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，防止暴露于強電磁場內(nèi)；3、在家辦公時的信息安全控制措施可包括：清理桌面、對計算機的訪問控制以及注意通信安全等；4、使用掩蔽物保護(hù)離開辦公場所的設(shè)備。第十三條設(shè)備的安全處置與重新使用（一 ）設(shè)備報廢處置時，存儲在設(shè)備中的敏感信息要從物理上加以銷毀，或用安全方式對信息加以覆蓋，限制采用常用的標(biāo)準(zhǔn)刪除功能。（二）所有帶有諸如硬盤等存儲介質(zhì)的設(shè)備在報廢前都要對其檢查，以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或覆蓋。（三 ）凡敏感性介質(zhì)的處置都必須經(jīng)過部門負(fù)責(zé)人的批準(zhǔn)。第十四條設(shè)備的移動（一 ）應(yīng)考慮如下措施：1 、在未經(jīng)部門負(fù)責(zé)人或相關(guān)職能部門批準(zhǔn)或授權(quán)的情況下