第一章 總則
??????? 第一條?目的:為了適應(yīng)公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。
??????? 第二條?依據(jù):本管理辦法根據(jù)《公司信息安全管理策略》制訂。
??????? 第三條?范圍:本管理辦法適用于公司。
??????? 第二章?基本要求
??????? 第四條?公司員工應(yīng)根據(jù)公司運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn):
??????? (一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。
??????? (二)減少擅自訪問(wèn)或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。
??????? (三)防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。
??????? 第五條?安全控制措施包括以下各項(xiàng):
??????? (一)公司的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周?chē)O(shè)置實(shí)際安全隔離措施,如門(mén)禁系統(tǒng)等。
??????? (二)公司的大樓入口安全防范措施。
??????? (三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。
??????? (四)設(shè)備維護(hù)。
??????? (五)清理資產(chǎn)。
??????? 第三章 安全區(qū)域
??????? 第六條?公司的安全區(qū)域包括中心機(jī)房和敏感部門(mén)辦公區(qū)域。
??????? 第七條?安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。
??????? 第八條?物理安全邊界
??????? 所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過(guò)授權(quán),公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。
??????? 第九條?安全區(qū)域出入控制措施
??????? (一)物理控制措施
??????? 1、機(jī)房的門(mén)禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;
??????? 2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;
??????? 3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作,并確保辦公完成后鎖好;
??????? 4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。
??????? (二)合同方及第三方
??????? 1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》;
??????? 2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。
??????? (三)公司工作人員的控制措施
??????? 1、公司工作人員都必須在顯眼處佩帶胸卡;
??????? 2、公司工作人員調(diào)離公司時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;
??????? (四)審查訪問(wèn)
??????? 科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。
??????? (五)外部和環(huán)境威脅的安全防護(hù)
??????? 1、機(jī)房建設(shè)應(yīng)符合GB 9361中A類(lèi)安全機(jī)房的要求;
??????? 2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);
??????? 3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;
??????? 4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。
??????? 第十條?交接區(qū)安全
??????? (一)公司應(yīng)設(shè)立交接區(qū),同時(shí):
??????? 1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門(mén)的資產(chǎn)管理員和信息安全管理員;
??????? 2、送貨公司名稱(chēng)和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門(mén)的資產(chǎn)管理員和信息安全管理員確認(rèn);
??????? 3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門(mén)有關(guān)人員的鑒別確認(rèn);
??????? 4、貨物資產(chǎn)所屬部門(mén)的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒(méi)有潛在的危害。
??????? 第四章 設(shè)備安全
??????? 第十一條?設(shè)備安置與保護(hù)
??????? (一)公司中應(yīng)考慮以下控制措施:
??????? 1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn);
??????? 2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn);
??????? 3、要求專(zhuān)門(mén)保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);
??????? 4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;
??????? 5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;
??????? 6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;
??????? 7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器;
??????? 8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專(zhuān)門(mén)的保護(hù)方法,例如鍵盤(pán)保護(hù)膜;
??????? 9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。
??????? 第十二條?支持性設(shè)施
??????? (一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。
??????? (二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源(UPS)。電源應(yīng)急計(jì)劃要包括UPS 故障時(shí)要采取的措施。如果電源故障延長(zhǎng),而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。UPS 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。