1、物理安全区域管理细则第一章总则第一条为加强对本公司物理和环境安全的管理,制定本文件。第二条本文件适用于本公司所有物理区域和设备设施的管理。第二章安全区域第三条本公司的安全区域包括信息机房、档案室、领导办公室和公用办公区域、来访接待区域等。第四条安全区域的划分与管理参见物理安全区域管理细则。第五条物理安全边界所有进入本公司物理安全区域的人员都需经过授权,本公司员工之外的人员进入本公司必须登记并领取身份识别卡后才能进入。第六条安全区域出入控制措施(一)物理控制措施、应有明确的人员负责机房、办公职场的安全管理工作;2、总公司的信息机房的门禁系统必须启用,任何人都必须刷卡或登记后才可进入机房;、分支机
2、构的机房至少要能够上锁,不需要频繁进出时,机房应上锁;4、出入机房必须登记机房进出登记表,记录姓名、出入时间、携带物品、事由等;5、机房和职场的重要位置应安装闭路电视监控;6、人员来访或装卸货物应该在指定的区域进行;、档案室、保险柜、文件柜等文件存储设备设施在使用后及时上锁。(二)承包方和第三方1、要在主要出入口处登记来访人员登记表;2、在胸前明显位置佩带本公司发出的身份识别卡。(三)本公司工作人员的控制措施1、本公司工作人员都必须在胸前明显位置佩带身份识别卡;、防止不明身份人员尾随进入本公司物理安全区域; 3、工作人员调动或离职时,其实际进入权也同时相应变化或取消。(四)访问申请 1、本公司
3、的门禁卡由人力资源部负责制作、发放和管理工作,对门禁卡的发放和回收情况,人力资源部要进行登记;同时要定期审查门禁系统控制权限分配,确保门禁权限控制正确;2、新员工入职后,由人力资源部为其制作并发放身份识别卡;3、外来人员的身份识别卡,由外来人员接待部门根据实际需要填写身份识别卡申请表向人力资源部提出申请,由人力资源部批准后予以发放。(五)外部和环境威胁的安全防护、信息机房建设应符合B 361中A类安全机房的要求;各分支机构的机房应该参照GB 36的要求进行;2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于高级别安全区域内;3、恢复设备和备份介质的存放地
4、点应与主场地有一段安全的距离;4、应提供适当的灭火设备,并应放在合适的地点。第七条交接区安全(一)本公司应设立交接区,同时:、向本公司发送货物必须预先通知货物接收人;、送货公司名称和交货时间应当在接收货物之前由货物接收人确认;3、送货公司在进入本公司区域之前要经过前台人员鉴别确认;4、货物资产接收人员应组织检验货物,以保证符合验收标准且没有潜在的危害。 第三章设备安全第八条设备安置与保护(一)应考虑以下控制措施:1、设备应进行适当安置,以尽量减少对工作区域不必要的访问;2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被非授权访问的风险;3、应采取控制措施以减小
5、潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏等;4、应禁止在信息处理设施附近进食、喝饮料和抽烟等行为;5、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;6、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;7、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;8、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。第九条支持性设施(一)应有足够的支持性设施(例如电、供水、UPS、通风和空调)来支持
6、系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(UP)。电源应急计划要包括UP 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。UPS设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。(三)应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。(四)要有稳定足够的供水以支持
7、空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。(六)采用多路供电,以避免供电的单一故障点。第十条电缆安全(一)敷设到本公司内各个区域的其它电缆线的保护方式如下: 1、进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护;2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;、为了防止干扰,电源电缆要与通信电缆分开;、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网
8、络电缆的意外配线;、使用文件化配线列表减少失误的可能性;6、对于敏感的或关键的系统,更进一步的控制考虑应包括:1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;3)使用纤维光缆;4)使用电磁防辐射装置保护电缆;)对于电缆连接的未授权装置要主动实施技术清除、物理检查;6)控制对配线柜的访问。第十一条设备维护(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护;(二)由供货商维护的设备,各种维护活动要按照合同协议或设备购买时的维护计划进行;(三)只有已授权的维护人员才可对设备进行修理和服务;(四)设备资产的管理部门和办公室定期
9、审核维护计划和记录;应保存所有维护记录;(五)设备资产的管理部门和办公室应当向外包维护单位索取维护计划和记录;(六)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;维护工作交由外部人员执行时,首先需要选择可靠的外部维护方和维护人员,与维护方及维护人员签订保密协议。必要时,敏感信息需要事先从设备中清除删除、第十二条场外设备的安全(一)离开办公场所的设备的保护应考虑下列措施:1、离开办公场所的设备和介质在公共场所不应无人看管,在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;3、在家办公时
10、的信息安全控制措施可包括:清理桌面、对计算机的访问控制以及注意通信安全等;、使用掩蔽物保护离开办公场所的设备。第十三条设备的安全处置与重新使用(一)设备报废处置时,存储在设备中的敏感信息要从物理上加以销毁,或用安全方式对信息加以覆盖,限制采用常用的标准删除功能。(二)所有带有诸如硬盘等存储介质的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。(三)凡敏感性介质的处置都必须经过部门负责人的批准。第十四条设备的移动(一)应考虑如下措施:、在未经部门负责人或相关职能部门批准或授权的情况下,不应让设备、信息或软件离开办公场所;2、可以设置设备移动的时间限制,并在返还时执行符合性检查;3、设备移出时本公司物理安全区域时,需要经过相关责任人审批。(二)应进行适当的检查,防止设备的非授权移动和危险物品进入本公司办公区域。第四章附则第十五条本文件由信息安全管理委员会负责解释。第十六条本文件自印发之日起施行。