物理與環(huán)境安全iso27001培訓(xùn)資料

1、2022-1-291A9.1安全區(qū)域安全區(qū)域 目標(biāo)：目標(biāo)： 防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾。 關(guān)鍵或敏感的信息處理設(shè)施要放置在安全區(qū)域內(nèi)，并受到確定的安全邊界的保護(hù)，包括適當(dāng)?shù)陌踩琳虾腿肟诳刂?。這些設(shè)施要在物理上避免未授權(quán)訪問、損壞和干擾。 所提供的保護(hù)要與所識(shí)別的風(fēng)險(xiǎn)相匹配。2022-1-292A9.1.1A9.1.1物理安全周邊物理安全周邊 控制措施控制措施 應(yīng)使用安全邊界（諸如墻、卡控制的入口或有人管理的接待臺(tái)等屏障）來保護(hù)包含信息和信息處理設(shè)施的區(qū)域。2022-1-293A9.1.1A9.1.1物理安全周邊物理安全周邊實(shí)施指南實(shí)施指南對(duì)于物理安全邊界，若合適，下列指

2、南應(yīng)予以考慮和實(shí)施：a)安全邊界應(yīng)清晰地予以定義，各個(gè)邊界的設(shè)置地點(diǎn)和強(qiáng)度取決于邊界內(nèi)資產(chǎn)的安全要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果；b)包含信息處理設(shè)施的建筑物或場(chǎng)地的邊界應(yīng)在物理上是安全的（即，在邊界或區(qū)域內(nèi)不應(yīng)存在可能易于闖入的任何缺口）；場(chǎng)所的外墻應(yīng)是堅(jiān)固結(jié)構(gòu)，所有外部的門要使用控制機(jī)制來適當(dāng)保護(hù)，以防止未授權(quán)進(jìn)入，例如，門閂、報(bào)警器、鎖等；無人看管的門和窗戶應(yīng)上鎖，還要考慮窗戶的外部保護(hù)，尤其是地面一層的窗戶；c)對(duì)場(chǎng)所或建筑物的物理訪問手段要到位（如有人管理的接待區(qū)域或其他控制）；進(jìn)入場(chǎng)所或建筑物應(yīng)僅限于已授權(quán)人員；d)如果可行，應(yīng)建立物理屏障以防止未授權(quán)進(jìn)入和環(huán)境污染；e)安全邊界的所有防火門應(yīng)

3、可發(fā)出報(bào)警信號(hào)、被監(jiān)視并經(jīng)過檢驗(yàn)，和墻一起按照合適的地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立所需的防衛(wèi)級(jí)別；他們應(yīng)使用故障保護(hù)方式按照當(dāng)?shù)胤阑鹨?guī)則來運(yùn)行。f)應(yīng)按照地方、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測(cè)系統(tǒng)，并定期檢測(cè)以覆蓋所有的外部門窗；要一直警惕空閑區(qū)域；其他區(qū)域要提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；g)組織管理的信息處理設(shè)施應(yīng)在物理上與第三方管理的設(shè)施分開。2022-1-294A9.1.2物理入口控制物理入口控制 控制措施控制措施 安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。2022-1-295A9.1.2物理入口控制物理入口控制實(shí)施指南實(shí)施指南下列指南應(yīng)予以考慮：a)記錄訪問者進(jìn)

4、入和離開的日期和時(shí)間，所有的訪問者要予以監(jiān)督，除非他們的訪問事前已經(jīng)經(jīng)過批準(zhǔn)；只能允許他們?cè)L問特定的、已授權(quán)的目標(biāo)，并要向他們宣布關(guān)于該區(qū)域的安全要求和應(yīng)急程序的說明。b)訪問處理敏感信息或儲(chǔ)存敏感信息的區(qū)域要受到控制，并且僅限于已授權(quán)的人員；認(rèn)證控制（例如，訪問控制卡加個(gè)人識(shí)別號(hào)）應(yīng)用于授權(quán)和確認(rèn)所有訪問；所有訪問的審核蹤跡要安全地加以維護(hù)。c)所有雇員、承包方人員和第三方人員以及所有訪問者要佩帶某種形式的可視標(biāo)識(shí)，如果遇到無人護(hù)送的訪問者和未佩帶可視標(biāo)識(shí)的任何人應(yīng)立即通知保安人員。d)第三方支持服務(wù)人員只有在需要時(shí)才能有限制的訪問安全區(qū)域或敏感信息處理設(shè)施；這種訪問應(yīng)被授權(quán)并受監(jiān)視；e)對(duì)

5、安全區(qū)域的訪問權(quán)要定期地予以評(píng)審和更新，并在需要時(shí)廢除（見A8.3.3）。2022-1-296A9.1.3A9.1.3辦公室、房間和設(shè)施的安全保護(hù)辦公室、房間和設(shè)施的安全保護(hù) 控制措施控制措施 應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施。2022-1-297A9.1.3A9.1.3辦公室、房間和設(shè)施的安全保護(hù)辦公室、房間和設(shè)施的安全保護(hù) 實(shí)施指南實(shí)施指南 應(yīng)考慮下列指南以保護(hù)辦公室、房間和設(shè)施： a)相關(guān)的健康和安全法規(guī)、標(biāo)準(zhǔn)要考慮在內(nèi)； b)關(guān)鍵設(shè)施應(yīng)坐落在可避免公眾進(jìn)行訪問的場(chǎng)地； c)如果可行，建筑物要不引人注目，并且在建筑物內(nèi)側(cè)或外側(cè)用不明顯的標(biāo)記給出其用途的最少指示，以標(biāo)識(shí)信息處理

6、活動(dòng)的存在； d)標(biāo)識(shí)敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不要輕易被公眾得到。2022-1-298A9.1.4外部和環(huán)境威脅的安全防護(hù)外部和環(huán)境威脅的安全防護(hù) 控制措施控制措施 為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。2022-1-299A9.1.4外部和環(huán)境威脅的安全防護(hù)外部和環(huán)境威脅的安全防護(hù) 實(shí)施指南實(shí)施指南 要考慮任何鄰近區(qū)域所帶來的安全威脅，例如，鄰近建筑物的火災(zāi)、屋頂漏水或地下室地板滲水或者街上爆炸。 要避免火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然災(zāi)難或人為災(zāi)難的破壞，應(yīng)考慮以下因素： a)危險(xiǎn)或易燃材料應(yīng)在離

7、安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具）不應(yīng)存放于安全區(qū)域內(nèi)； b)備份設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主要場(chǎng)所有一段安全的距離，以避免影響主要場(chǎng)所的災(zāi)難產(chǎn)生的破壞； c)應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。2022-1-2910A9.1.5在安全區(qū)域工作在安全區(qū)域工作 控制措施控制措施 應(yīng)設(shè)計(jì)和運(yùn)用用于安全區(qū)域工作的物理保護(hù)和指南。2022-1-2911A9.1.5在安全區(qū)域工作在安全區(qū)域工作 實(shí)施指南實(shí)施指南 下列指南應(yīng)予以考慮： a)只在有必要知道的基礎(chǔ)上，員工才應(yīng)知道安全區(qū)域的存在或其中的活動(dòng)； b)為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，均應(yīng)避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工

8、作； c)未使用的安全區(qū)域在物理上要上鎖并周期地予以檢查； d)除非授權(quán)，不允許攜帶攝影、視頻、聲頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的照相機(jī)。在安全區(qū)域工作的安排包括對(duì)工作在安全區(qū)域內(nèi)的雇員、承包方人員和第三方人員的控制，以及對(duì)其他發(fā)生在安全區(qū)域的第三方活動(dòng)的控制。2022-1-2912A9.1.6公共訪問、交接區(qū)安全公共訪問、交接區(qū)安全 控制措施 訪問點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以控制，如果可能，要與信息處理設(shè)施隔離，以避免未授權(quán)訪問。2022-1-2913A9.1.6公共訪問、交接區(qū)安全公共訪問、交接區(qū)安全 實(shí)施指南實(shí)施指南 下列指南應(yīng)予以考慮： a)由建筑物外進(jìn)入

9、交接區(qū)的訪問應(yīng)局限于已標(biāo)識(shí)的和已授權(quán)的人員； b)交接區(qū)應(yīng)設(shè)計(jì)成在無需交貨人員獲得對(duì)本建筑物其他部分的訪問權(quán)的情況下就能卸下物資； c)當(dāng)內(nèi)部的門打開時(shí)，交接區(qū)的外部門應(yīng)得到安全保護(hù)； d)在進(jìn)來的物資從交接區(qū)運(yùn)到使用地點(diǎn)之前，要檢查是否存在潛在威脅（見A9.2.1）； e)進(jìn)來的物資應(yīng)按照資產(chǎn)管理程序（見A7.1.1）在場(chǎng)所的入口處進(jìn)行登記； f)如果可能，進(jìn)入和外出的貨物應(yīng)在物理上予以隔離。2022-1-2914A9.2設(shè)備安全設(shè)備安全 目標(biāo)：目標(biāo)： 防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷。 應(yīng)保護(hù)設(shè)備免受物理的和環(huán)境的威脅。 對(duì)設(shè)備（包括離開組織使用和財(cái)產(chǎn)移動(dòng)）的保護(hù)

10、是減少未授權(quán)訪問信息的風(fēng)險(xiǎn)和防止丟失或損壞所必需的。這樣做還要考慮設(shè)備安置和處置?？赡苄枰獙ｉT的控制用來防止物理威脅以及保護(hù)支持性設(shè)施，諸如供電和電纜設(shè)施。2022-1-2915A9.2.1設(shè)備安置和保護(hù)設(shè)備安置和保護(hù) 控制措施 應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會(huì)。2022-1-2916A9.2.1設(shè)備安置和保護(hù)設(shè)備安置和保護(hù)實(shí)施指南實(shí)施指南下列指南應(yīng)予以考慮以保護(hù)設(shè)備：a)設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問；b)應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)

11、訪問；c)要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；d)應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；e)應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；f)對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；g)所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；h)對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤保護(hù)膜；i)應(yīng)保護(hù)處理敏感信息的設(shè)備，以最小化因輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；2022-1-2917A

12、9.2.2支持性設(shè)施支持性設(shè)施 控制措施控制措施 應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。2022-1-2918A9.2.2支持性設(shè)施支持性設(shè)施實(shí)施指南實(shí)施指南應(yīng)有足夠的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（UPS）。電源應(yīng)急計(jì)劃要包括UPS故障時(shí)要采取的措施。如果電源故障延長(zhǎng)，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給，以確保在延長(zhǎng)的時(shí)間

13、內(nèi)發(fā)電機(jī)可以進(jìn)行工作。UPS設(shè)備和發(fā)電機(jī)要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測(cè)試。另外，如果辦公場(chǎng)所很大，則應(yīng)考慮使用多來源電源或一個(gè)單獨(dú)變電站。另外，應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時(shí)），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。2022-1-2919A9.2.

14、3布纜安全布纜安全 控制措施控制措施 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。2022-1-2920A9.2.3A9.2.3布纜安全布纜安全實(shí)施指南實(shí)施指南布纜安全的下列指南應(yīng)予以考慮：a)進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，提供足夠的可替換的保護(hù)；b)網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；c)為了防止干擾，電源電纜要與通信電纜分開；d)使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；e)使用文件化配線列表減少失誤的可能性；f)對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：在檢查點(diǎn)和

15、終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧皇褂美w維光纜；使用電磁防輻射裝置保護(hù)電纜；對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；控制對(duì)配線盤和電纜室的訪問；2022-1-2921A9.2.4設(shè)備維護(hù)設(shè)備維護(hù)控制措施控制措施設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。實(shí)施指南實(shí)施指南設(shè)備維護(hù)的下列指南應(yīng)予以考慮：a)要按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)；b)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)；c)要保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；d)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂疲?/p>

16、要考慮維護(hù)是由場(chǎng)所內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；e)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。2022-1-2922A9.2.5A9.2.5組織場(chǎng)所外的設(shè)備安全組織場(chǎng)所外的設(shè)備安全控制措施控制措施應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)。實(shí)施指南實(shí)施指南無論責(zé)任人是誰，在組織場(chǎng)所外使用任何信息處理設(shè)備都要通過管理者授權(quán)。離開辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列指南：a)離開建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來；b)制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，

17、防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；c)家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問控制以及與辦公室的安全通信；d)足夠的安全保障掩蔽物宜到位，以保護(hù)離開辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。2022-1-2923A9.2.6A9.2.6設(shè)備的安全處置和再利用設(shè)備的安全處置和再利用控制措施控制措施包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊(cè)軟件已被刪除或安全重寫。實(shí)施指南實(shí)施指南包含敏感信息的設(shè)備在物理上應(yīng)予以摧毀，或者采用使原始信息不可獲取的技術(shù)破壞、刪除、覆蓋信息，而不能采用標(biāo)準(zhǔn)的刪除或格式化功能。其它信息其它信息包含敏感信息的已損壞的設(shè)備可能需要實(shí)施風(fēng)險(xiǎn)評(píng)估，以確定這些設(shè)備是否要進(jìn)行銷毀、而不是送去修理或丟棄。信息可能通過對(duì)設(shè)備的草率處置或重用而被泄漏（見A10.7.2）。2022-1-2924A9.2.7A9.2.7資產(chǎn)的移動(dòng)資產(chǎn)的移動(dòng)控制措施控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所。實(shí)施指南實(shí)施指南下列指南應(yīng)予以考慮：a)在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息