《网络信息物理和环境安全制度.doc》由会员分享,可在线阅读,更多相关《网络信息物理和环境安全制度.doc(4页珍藏版)》请在启牛文库网上搜索。
1、网络信息物理和环境安全制度 8.1 安全区域 8.1.1 物理安全边界 第55条 在公司的物理环境里,应该对需要保护的区域根据其重要性划分为不同的安全区域。特别是有重要设备的安全区域(比如机房)应该部署相应的物理安全控制。 第56条 在机房的统一入口处必须设立有专人值守的接待区域,在特别重要的安全区域也应该设立类似的接待区域。 第57条 在非办公时间内,重要的安全区域必须安排保安定时巡视。任何时候,机房必须至少有一位保安值班。 保安值班表应最少每月调整一次。 8.1.2 安全区域访问控制 第58条 在非办公时间,所有进入安全区域的入口都应该受到控制,比如实施电子门禁或者上锁。任何时候,重要安全
2、区域的所有出入口必须受到严格的访问控制,确保只有授权的员工才可以进入此区域。 第59条 对于设有访问控制的安全区域,必须定期审核并及时更新其访问权限。所有员工都必须佩戴一个身份识别通行证,有责任确保通行证的安全并不得转借他人。员工离职时必须交还通行证,同时取消其所有访问权限。 第60条 所有来宾的有关资料都必须详细记载在来宾进出登记表中,并向获准进入的来宾发放来宾通行证。同时,必须有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必须至少保留1年,记录内容应包括但不限于: 1)来宾姓名 2)来宾身份 3)来宾工作单位 4)来访事由 5)负责接待的员工 6)来宾通行证号码 7)进入的日期和
3、时间 8)离开的日期和时间 8.1.3 办公场所和设施安全 第61条 放臵敏感或重要设备的区域(例如机房)应尽量不引人注目,给外面的信息应尽量最少,不应该有明显的标志指明敏感区域的所在位臵和用途。这些区域还应该被给予相应的保护,保护措施包括但不限于: 1)所有出入口必须安装物理访问控制措施 2)使用来宾登记表以便记录来访信息 3)严禁吸烟 第62条 必须对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必须通过闭路电视进行监控。普通会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候,办公区中的信息处理设备必须从物理上进行保护。门和窗户必须锁好。 8.1.4 防范外部
4、和环境威胁 第63条 办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难,并采取额外的控制措施加以保护。 第64条 机房必须增加额外的物理控制,选取的场地应尽量安全,并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。 第65条 机房建设必须符合国标GB2887-89计算机场地技术条件和GB9361-88计算站场地安全要求中的要求。 第66条 机房的消防措施必须满足以下要求: 1) 必须安装消防设备,并定期检查。 2) 应该指定消防指挥员。 3) 机房内严禁存放易燃材料,每周例行检查一次。 4) 必须安装烟感及其他火警探测器和灭火装臵
5、。应每季度定期检查这些装备,确保它们能有效运作。 5) 必须在明显位臵张贴火灾逃生路线图、灭火设备平面放臵图以及安全出口的位臵。 6) 安全出口必须有明显标识。 7) 应该训练员工熟悉使用消防设施。 8) 紧急事件发生时必须提供紧急照明。 9) 所有疏散路线都必须时刻保持通畅。 10)必须保证防火门在火灾发生时能够开启。 11)每年应至少举行一次火灾撤离演习,使工作人员熟知火灾撤离的过程。 8.1.5 在安全区域工作 第67条 员工进入机房的访问授权,不能超过其工作所需的范围。必须定期检查访问权限的分配并及时更新。机房的访问权限应不同于进入大楼其它区域的权限。 第68条 所有需要进入机房的来宾
6、都必须提前申请。必须维护和及时更新来宾记录,以掌握来宾进入机房的详细情况。记录中应详细说明来宾的姓名、进入与离开的日期与时间,申请者以及进入的原因。机房来宾记录至少保存一年。来宾必须得到明确许可后,在专人陪同下才能进入机房。 第69条 机房的保护应在专家的指导下进行,必须安装合适的安全防护和检测装臵。机房内严禁吸烟、饮食和拍摄。 8.1.6 机房操作日志 第70条 必须记录机房管理员的操作行为,以便其行为可以追踪。操作记录必须备份和维护并妥善保管,防止被破坏。 第71条 在机房值班人员交接时,上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班,保证相关操作的延续性。 8.2 设备安全
7、8.2.1 设备的安置及保护 第72条 必须对设备实施安全控制,以减少环境危害和非法的访问。应该考虑的因素包括但不限于: 1) 水、火 2) 烟雾、灰尘 3) 震动 4) 化学效应 5) 电源干扰、电磁辐射 第73条 设备必须放臵在远离水灾的地方,并根据需要考虑安装漏水警报系统。 应急开关如电闸、煤气开关和水闸等都必须清楚地做好标识,并且能容易访问。 设备都应该装有合适的漏电保险丝或断路器进行保护。 放臵设备的区域必须满足厂商提供的设备环境要求。 设备的操作必须遵守厂商提供的操作规范。 通信线路和电缆必须从物理上进行保护。 8.2.2 支持设施 第74条 支持设施能够支持物理场所、设备等的正常
8、运作,比如:电力设施、空调、排水设施、消防设施、静电保护设施等。必须采取保护措施使设备免受电源故障或电力异常的破坏。必须验证电力供应是否满足厂商设备对电源的要求。每年应至少对支持设施进行一次安全检查。工作环境中增加新设备时,必须对电力、空调、地板等支持设施的负荷进行审核。必须设臵后备电源,例如不间断电源(UPS)或发电机。对需要配备后备电源的设备装臵进行审核,确保后备电源能够满足这些设备的正常工作。每年必须至少对备用电源/进行一次测试。应急电源开关应位于机房的紧急出口附近,以便紧急状况发生时可以迅速切断电源。电缆应根据供电电压和频率的不同而相互隔离。所有电缆都应带有标签,标签上的编码应记录归档
9、。电缆应从物理上加以保护。 8.2.3 设备维护 第75条 所有生产设备必须有足够的维护保障,关键设备必须提供7x24的现场维护支持。所有生产设备必须定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。如果设备需要搬离安全区域进行修理,必须获得批准并卸载其存储介质。 第76条 必须建立设备故障报告流程。对于需要进行重大维修的设备,流程还应该包含设备检修的报告,及换用备用设备的流程。 8.2.4 管辖区域外设备安全 第77条 笔记本电脑用户必须保护好笔记本电脑的安全,防止笔记本电脑损坏或被偷窃。 第78条 如果将设备带出公司,设备拥有者必须亲自或指定专人保护设备的安全。设备拥有者必须对设备在公司场所外的安全负责。 8.2.5 设备的安全处理或再利用 第79条 再利用或报废之前,设备所含有的所有存储装臵(比如硬盘等)都必须通过严格检查,确保所有敏感数据和软件已被删除或改写,并且不可能被恢复。应该通过风险评估来决定是否彻底销毁、送修还是丢弃含有敏感数据的已损坏设备。