信息技術(shù)設(shè)備物理環(huán)境安全管理辦法

Word版本，下載可自由編輯信息技術(shù)設(shè)備物理環(huán)境安全管理辦法信息技術(shù)設(shè)備物理環(huán)境平安管理方法之相關(guān)制度和職責(zé)，第一章總則第一條?目的:為了適應(yīng)公司物理與環(huán)境平安管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理方法。其次條?依據(jù):本管理方法按照《公司信息平安管理策略》制訂。第三條?...

第一章總則

第一條?目的:為了適應(yīng)公司物理與環(huán)境平安管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理方法。

其次條?依據(jù):本管理方法按照《公司信息平安管理策略》制訂。

第三條?范圍:本管理方法適用于公司。

其次章?基本要求

第四條?公司員工應(yīng)按照公司運(yùn)營需要對資產(chǎn)舉行庇護(hù)。公司的資產(chǎn)庇護(hù)要求利用完成以下目標(biāo)來實(shí)現(xiàn):

(一)確保全部資產(chǎn)的物理和環(huán)境庇護(hù)能得到公司的有效控制。

(二)削減擅自拜訪或損壞或影響公司控制的資產(chǎn)的風(fēng)險。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動。

第五條?平安控制措施包括以下各項(xiàng):

(一)公司的場地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際平安隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口平安防范措施。

(三)防護(hù)設(shè)備避開發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章平安區(qū)域

第六條?公司的平安區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條?平安區(qū)域的劃分與管理參見《物理平安區(qū)域管理細(xì)則》。

第八條?物理平安邊界

全部進(jìn)入公司平安區(qū)域的人員都需經(jīng)過授權(quán),公司員工之外的人員進(jìn)入公司平安區(qū)域必需記下?lián)Q取不同的授權(quán)卡或訪客證才干進(jìn)入(持有效證件,得到被訪者允許)。

第九條?平安區(qū)域出入控制措施

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必需啟用,任何人都必需刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必需記下《機(jī)房出入記下表》,記錄姓名、出入時光、事由等;

3、一段時光內(nèi)不會頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時由運(yùn)維人員開啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在全部平安區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫《來訪人員記下表》;

2、在惹眼處佩戴公司發(fā)出的暫時出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必需在惹眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時,其實(shí)際進(jìn)入權(quán)也同時相應(yīng)取消;

(四)審查拜訪

科技信息部應(yīng)定期(每三個月)審查拜訪公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威逼的平安防護(hù)

1、機(jī)房建設(shè)應(yīng)符合GB9361中A類平安機(jī)房的要求;

2、危急或易燃材料應(yīng)在離平安區(qū)域平安距離以外的地方存放。大批供給品(例如文具等)不應(yīng)存放于平安區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場地有一段平安的距離,以避開影響主場地的災(zāi)害產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第十條?交接區(qū)平安

(一)公司應(yīng)設(shè)立交接區(qū),同時:

1、向公司發(fā)送貨物必需預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息平安管理員;

2、送貨公司名稱和交貨時光應(yīng)該在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息平安管理員確認(rèn);

3、送貨公司在進(jìn)入平安區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息平安管理員應(yīng)檢驗(yàn)貨物,以保證沒有潛在的危害。

第四章設(shè)備平安

第十一條?設(shè)備安置與庇護(hù)

(一)公司中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)舉行適當(dāng)安置,以盡量削減不須要的對工作區(qū)域的拜訪;

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置,以削減在其使用期間信息被窺視的風(fēng)險,還應(yīng)庇護(hù)儲存設(shè)施以防止未授權(quán)拜訪;

3、要求特地庇護(hù)的部件要予以隔離,以降低所要求的總體庇護(hù)等級;

4、應(yīng)實(shí)行控制措施以減小潛在的物理威逼的風(fēng)險,例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和有意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對于可能對信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、全部建造物都應(yīng)采納避雷庇護(hù),全部進(jìn)入的電源和通信線路都應(yīng)裝配雷電庇護(hù)過濾器;

8、對于工業(yè)環(huán)境中的設(shè)備,要考慮使用特地的庇護(hù)辦法,例如鍵盤庇護(hù)膜;

9、應(yīng)庇護(hù)處理敏感信息的設(shè)備,以削減因?yàn)檩椛涠鴮?dǎo)致信息泄露的風(fēng)險;極其重要設(shè)備應(yīng)部署在不同位置。

第十二條?支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能,削減因?yàn)樗麄兊墓收匣蚴淼娘L(fēng)險。應(yīng)根據(jù)設(shè)備創(chuàng)造商的說明提供合適的供電。

(二)對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推舉使用支持有序關(guān)機(jī)或延續(xù)運(yùn)行的不間斷電源(UPS)。電源應(yīng)急方案要包括UPS故障時要實(shí)行的措施。假如電源故障延伸,而處理要繼續(xù)舉行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供應(yīng),以確保在延伸的時光內(nèi)發(fā)電機(jī)可以舉行工作。UPS設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并根據(jù)創(chuàng)造商的建議予以測試。另外,假如辦公場所很大,則應(yīng)考慮使用多來源電源或一個單獨(dú)變電站。

(三)另外,應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊張狀況時迅速切斷電源。萬一主電源浮現(xiàn)故障時要提供給急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時),供水系統(tǒng)的故障可能破壞設(shè)備或阻擋有效的滅火。假如需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。

(五)銜接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條銜接路徑發(fā)生故障時語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地辦法規(guī)對于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)延續(xù)供電的選項(xiàng)包括多路供電,以避開供電的單一故障點(diǎn)。

第十三條?電纜平安

(一)敷設(shè)到公司內(nèi)各個區(qū)域的電纜線的庇護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的庇護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞,例如,通過電纜管道或使路由避免公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開;

4、使用清楚的可識別的電纜和設(shè)備記號,以使處理失誤最小化,例如,錯誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表削減失誤的可能性;

6、對于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括:

(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房偶爾盒子;

(2)使用可替換的路由挑選和/或傳輸介質(zhì),以提供適當(dāng)?shù)钠桨泊胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置庇護(hù)電纜;

(5)對于電纜銜接的未授權(quán)裝置要主動實(shí)施技術(shù)清除、物理檢查;

(6)控制對配線盤和電纜室的拜訪;

第十四條?設(shè)備維護(hù)

(一)應(yīng)根據(jù)供給商推舉的服務(wù)時光間隔和規(guī)范對設(shè)備舉行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動要根據(jù)合同協(xié)議或設(shè)備購買時的維護(hù)方案舉行。

(三)惟獨(dú)已授權(quán)的維護(hù)人員才可對設(shè)備舉行維修和服務(wù)

(四)原則上應(yīng)保存全部維護(hù)記錄

(五)要保證全部可疑的或?qū)嶋H的故障以及全部預(yù)防和訂正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)該向外包維護(hù)單位索取維護(hù)方案和記錄。

(七)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和方案。

(八)當(dāng)對設(shè)備支配維護(hù)時,應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時,敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)當(dāng)是足夠牢靠的;

(九)應(yīng)遵守由保險策略所施加的全部要求。

第十五條?場外設(shè)備的平安

(一)離開辦公場所的設(shè)備的庇護(hù)應(yīng)考慮下列措施:

1、離開建造物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看守。在旅行時便攜式計算機(jī)要作為手提行李攜帶,若可能宜偽裝起來;

2、創(chuàng)造商的設(shè)備庇護(hù)說明要始終加以遵守,例如,防止裸露于強(qiáng)電磁場內(nèi);

3、家庭工作的控制措施應(yīng)按照風(fēng)險評估確定,當(dāng)適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機(jī)的拜訪控制以及與辦公室的平安通信;

4、足夠的平安保障掩蔽物宜到位,以庇護(hù)離開辦公場所的設(shè)備。平安風(fēng)險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲和處理設(shè)備包括全部形式的個人計算機(jī)、管理設(shè)備、移動電話、智能卡、紙張及其他形式的設(shè)備。

第十六條?設(shè)備的平安處置與重新使用

(一)設(shè)備報廢處置時,存有敏感信息的存儲設(shè)備要從物理上加以銷毀,或用平安方式對信息加以籠罩,而不能采納常用的標(biāo)準(zhǔn)刪除功能來刪除。

(二)全部帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查,以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或籠罩。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其舉行風(fēng)險評估,以打算是否對其銷毀、維修或遺落。

(三)為保證信息平安,必需在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機(jī)銷毀全部的敏感紙質(zhì)記錄。廢紙可在碎紙后立刻處置掉。

2、公司內(nèi)部不應(yīng)堆積過量紙質(zhì)記錄。全部的紙質(zhì)記錄都必需在處置前銷毀。

3、磁帶和磁盤必需在處置前實(shí)際銷毀和核對。

4、數(shù)據(jù)存儲光盤應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必需填寫《信息介質(zhì)處置申請表》,經(jīng)部門負(fù)責(zé)人同意后,方可舉行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計時備查。

第十七條?設(shè)備的移動

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的狀況下,不應(yīng)讓設(shè)備、信息或軟件離開辦公場所;

2、明確識別有權(quán)允許資產(chǎn)移動,離開辦公場所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動的時光限制,并在返還時執(zhí)行符合性檢查;

4、若需要并合適,要對設(shè)備作出移出記錄,當(dāng)返回