ISO27001认证培训——ISO27002:2013信息安全控制实用守则之物理和环境安全

来源:本站 作者:ADMIN 发布时间:2017-08-10

11 物理和环境安全

11.1 安全区域

目标:防止对组织的信息和信息处理设施的未授权物理访问、损坏和干扰。

11.1.1 物理安全边界(原 9.1.1)

控制措施

安全边界应被定义,来保护包含敏感信息、关键信息和信息处理设施的区域。

实施指南

对于物理安全边界,若合适,下列指南应予以考虑和实施:

a) 安全边界应被定义,各个边界的设置地点和强度取决于边界内资产的安全要求和风险评估的结果;

b) 包含信息处理设施的建筑物或场地的边界应在物理上是安全的(即,在边界或区域内不应存在可能易于闯入的任何缺口);场所的外部屋顶、墙和地板应是坚固结构,所有外部的门要使用控制机制来适当保护,以防止未授权进入,(如,门闩、报警器、锁);无人看管的门和窗户应上锁,还要考虑窗户的外部保护,尤其是地面一层的窗户;

c) 对场所或建筑物的物理访问应安置有人接待区或其他控制方法来控制;进入场所或建筑物应仅限于已授权人员;

d) 如果可行,应建立物理屏障以防止未授权进入和环境污染;

e) 安全边界的所有防火门应可发出报警、被监视并被检验,和墙一起按照合适的地方、国家和国际标准建立所需的抗力级别;他们应以一种安全的方式按照当地防火规范来运行。

f)应按照地方、国家和国际标准建立适当的入侵检测系统,并定期检测以覆盖所有的对外的门和易接近的窗;要一直警惕空闲区域;其他区域要提供掩护方法,例如计算机室或通信室;

g) 组织管理的信息处理设施应在物理上与外部团体管理的设施分开。

其它信息

物理保护可以通过在组织边界和信息处理设施周围设置一个或多个物理屏障来实现。多重屏障的使用将提供附加保护,单个屏障的失效不意味着立即危及到安全。一个安全区域可以是一个可上锁的办公室,或是被连续的内部物理安全屏障包围的几个房间。在安全边界内具有不同安全要求的区域之间需要控制物理访问附加屏障和边界。

特别注意物理访问安全应给出多组织对建筑物资产的所有权的情况。

物理控制的应用,尤其安全区域,应适应于组织的技术、经济环境和风险评估的规定。

11.1.2物理入口控制(原 9.1.2)

控制措施

安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。

实施指南

下列指南应予以考虑:

a) 记录访问者进入和离开的日期和时间,所有的访问者要予以监督,除非他们的访问事前已经经过批准;只能允许他们访问特定的、已授权的目标,并要向他们宣布关于该区域的安全要求和应急程序的说明。访问者的身份应由合适的方法进行验证。

b) 访问处理或储存保密信息的区域要受到限制,并且仅限于已执行了合适的访问控制措施后的授权人员,如,执行了一个双因素身份认证机制,一个访问卡和 PIN密码。

c) 所有访问的物理记录簿或电子审计追踪应被安全的维护和监视;

d) 所有雇员、承包方人员和外部团体人员应被要求穿着一些可视标识的衣物,如果遇到无人陪同的访问者和未佩带可视标识的任何人应立即通知安全人员。

e) 外部团体支持服务人员只有在需要时才能有限制的访问安全区域或秘密信息处理设施;这种访问应被授权并受监视;

f)11.1.3

对安全区域的访问权要定期地予以评审和更新,并在需要时废除(见 9.2.5 和9.2.6)。办公室、房间和设施的安全保护(原 9.1.3)

控制措施

办公室、房间和设施的物理安全应被设计并实施。

实施指南

应考虑下列指南以保护办公室、房间和设施:

a) 关键设施应坐落在可避免公众进行访问的场地;

b) 如果可行,建筑物要不引人注目,并且在建筑物内侧或外侧用不明显的标记给出其用途的最少指示,不用明显的标记,以标识信息处理活动的存在;

c) 设施应被配置,以预防保密信息或活动被从外面看到或听到。电磁屏蔽也被考虑作为适当的选择;

d) 标识保密信息处理设施的位置的目录和内部电话簿不要轻易被非授权人员得到。

11.1.4 外部和环境威胁的安全防护(原 9.1.4)

控制措施

应设计并采取物理安全措施来防范自然灾害、恶意攻击或事故。

实施指南

如何避免火灾、洪水、地震、爆炸、市民动荡和其它自然或人为灾难的专家建议应被获得。

11.1.5 在安全区域工作(原 9.1.5)

控制措施

在安全区域工作的程序应被设计和运用。

实施指南

下列指南应予以考虑:

a) 只有必须知道的基础上,员工才应知道安全区域的存在或其中的活动;

b) 为了安全原因和减少恶意活动的机会,均应避免在安全区域内进行不受监督的工作;

c) 未使用的安全区域在物理上要上锁并周期地予以检查;

d) 除非授权,不允许携带摄影、视频、声频或其他记录设备,例如移动设备中的照相机。在安全区域工作的安排包括对工作在安全区域内的雇员、外部团体用户的控制,并涵盖他们在安全区域发生的所有活动的控制。

11.1.6 交接区(原 9.1.6)

控制措施

诸如交接区和未经授权人员可能进行房屋的其它点的访问点应被控制,如果可能,隔离信息处理设施,以避免未授权访问。

实施指南

下列指南应予以考虑:

a) 由建筑物外进入交接区的访问应局限于已标识的和已授权的人员;

b) 交接区应设计,以至于物品能被装卸而无需交付人员访问建筑物的其他部分;

c) 当内部的门打开时,交接区的外部门应得到安全保护;

d) 在进来的物资从交接区运到使用地点之前,应被检查并检验爆炸物、化学药品或其它的危险材料;

e) 进来的物资应按照资产管理程序(见 8)在场所的入口处进行登记;

f) 如果可能,进入和外出的货物应在物理上予以隔离;

g) 进料应被检查途中被篡改的证据。如果这些篡改被发现应立即报告给安全人员。

11.2 设备

目标:防止资产的丢失、损坏、失窃或损害和组织的支行的中断。

11.2.1设备安放和保护(原 9.2.1)

控制措施

应妥善安放或保护设备,以减少来自环境威胁、危害以及未授权访问的机会。

实施指南

下列指南应予以考虑以保护设备:

a) 设备应被安放,以尽量减少不必要的在工作区域的访问;

b) 处理敏感数据的信息处理设施应被仔细地放到适当的位置,以减少非授权人员在使用期间窥视到信息的风险;

c) 存储设施应被保护,避免非授权访问;

d) 要求专门保护的部件要被保护,以降低所要求的一般保护等级;

e) 控制措施应被采用,以减小潜在的物理和环境威胁的风险,如,偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;

f) 应建立在信息处理设施附近进食、喝饮料和抽烟的指南;

g) 对于可能对信息处理设施运行状态产生负面影响的环境条件,如,温度和湿度,要予以监视;

h) 防雷保护应被应用于所有建筑,防雷保护过滤器应被安装在所有进入的电源和通信线路;

i) 对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;

j) 处理保密信息的设备应被保护,以减少由于电磁辐射而导致信息泄露的风险;

11.2.2 配套设施(原 9.2.2)

控制措施

应保护设备使其免于由配套设施的失效而引起的电源故障和其他中断。

实施指南

配套设施(如电力、通讯、供水、气体、排污、通风和空调)应:

a) 符合设备制造商的规格说明和本地法律要求;

b) 定期评价满足业务增长的容量和其它配套设施的相互影响;

c) 定期的检查和测试以确保它们的正常功能;

d) 如果需要,检测到的故障被告警;

e) 如果需要,注入多条物理布线。

紧急照明和通讯设施应被提供。切断电源、水、气体或其它的设施的紧急转换开关,应被安放在紧急出口附近或设备间。

其它信息

网络连接的附加冗余应由多个提供商的多路由的方式获得。

11.2.3 布缆安全(原 9.2.3)

控制措施

传输数据或支持信息服务的电力及通信布缆应被保护,免遭拦截、干扰或破坏。

实施指南

布缆安全的下列指南应予以考虑:

a) 进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护;

b) 为了防止干扰,电源电缆要与通信电缆分开;

c) 对于敏感的或关键的系统,更进一步的控制考虑应包括:

1)在检查点和终结点安装导管和上锁的房间或盒子;

2)使用电磁防辐射装置保护电缆;

3)对于电缆连接的未授权装置要主动实施技术清除和物理检查;

4)控制对配线盘和电缆室的访问;

11.2.4 设备维护(原 9.2.4)

控制措施

设备应予以正确地维护,以确保其持续的可用性和完整性。

实施指南

设备维护的下列指南应予以考虑:

a) 要按照供应商推荐的服务时间间隔和规范对设备进行维护;

b) 只有已授权的维护人员才可对设备进行修理和服务;

c) 要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录;

d) 当对设备安排维护时,应实施适当的控制措施,要考虑维护是由场所内部人员执行还是由外部人员执行;当需要时,保密信息需要从设备中删除或者维护人员应该是足够可靠的;

e) 应遵守由保险策略所施加的所有要求;

f)对设备维护之后,将设备放回运行环境之前,它应被检查,确保设备没被损坏并没有故障。

11.2.5 资产的移动(原 9.2.7)

控制措施

设备、信息或软件在授权之前不应带出组织场所。

实施指南

下列指南应予以考虑:

a) 雇员和外部团体用户在授权之后,允许将资产带离场所,并应被标识;

b) 应设置设备移动的时间限制,并在返还时执行符合性检查;

c) 若需要并合适,要对设备作出移出记录和返回记录;

d) 处理和使用资产的任何人的身份、角色和隶属关系应被文档化,且这个文档与设备、信息或软件一直归还。

其它信息

现场检查、保证检测未授权资产的移动,也能被执行来检测非授权记录装置、武器等等,防止他们进入和出去办公场所。这样的现场检查应按照相关法律法规执行。应让每个人都知道将进行现场检查,并且只能在法律法规要求的适当授权下执行证实。

11.2.6 场外设备和资产安全(原 9.2.5)

控制措施

应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。

实施指南

组织场所外的任何信息存储和处理设备的使用,应由管理者授权。这个应用于组织拥有的设备和被使用于组织支持的私人拥有的设备。

离开办公场所的设备的保护应考虑下列指南:

a)离开建筑物的设备和介质在公共场所不应无人看管。

b)制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;

c)离开场所边界的控制措施应被确定,如家庭工作、遥控工作、临时场所,通过实施风险评估和适当的控制措施,如,封闭文档柜、清理桌面策略、计算机访问控制和与办公室安全通讯(见 ISO/IEC 27033);

d)当离开场所的设备被转移到不同的个人或外部团体时,应维护定义一个设备的监管链且至少包括那些负责设备的组织和人名的日志。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。

其它信息

用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、备忘记事簿、移动电话、智能卡、纸张及其他形式的设备。关于保护移动设备的其他方面的更多信息在 6.2 中可以找到。可以适当的避免风险,由阻止某个雇员离开办公场所或限制他们使用便携式 IT 设备;

11.2.7 设备的安全处置和再利用(原 9.2.6)

控制措施

包含储存介质设备的所有部件应被检查,以确保在处置或再利用之前,任何敏感信息和许可软件已被删除或安全重写。

实施指南

设备应被检查以确保在处置或重利用之前,是否或没有存储介质被包含。包含保密或版权信息的存储介质应被物理破坏或信息应采用使原始信息不可获取的技术来破坏、删除或重写,而不是使用标准删除或格式化功能。

其它信息

包含敏感信息的已损坏的设备可能需要实施风险评估,以确定这些部件是否要进行销毁、而不是送去修理或丢弃。信息可能被损害通过粗心地处置或再利用设备。除磁盘安全擦除之外,全部磁盘加密以减小保密信息的泄漏风险,当设备被处置或再利用时,假如:

a) 加密过程足够强壮并包括整个磁盘(包括不活跃的空间、替代文件等);

b) 加密密钥足够长以抵抗强力破解;

c) 加密密钥自己保持秘密(如,从不存储在相同的磁盘)。

更多的密码学建议(见 10)。

安全重写存储介质的技术随存储介质技术不同而不同。重写工具应被检查确保它们是存储介质适合的技术。

11.2.8 无人值守的用户设备(原 11.3.2)

控制措施

用户应确保无人值守的用户设备有适当的保护。

实施指南

所有用户应了解保护无人值守的设备的安全要求和程序,以及他们对实现这种保护所负有的职责。建议用户应:

a)结束时终止活动的会话,除非采用一种合适的锁定机制保证其安全,如,有口令保护的屏幕保护程序;

b)当不再需要时,应从应用或网络服务注销;

c)当不使用设备时,用带钥匙的锁或与之效果等同的控制措施来保护计算机或移动设备免遭未授权使用,例如,口令访问。

11.2.9清除桌面和清除屏幕策略(原 11.3.3)

控制措施

应采用清除桌面上纸张、可移动存储介质策略和清除信息处理设施屏幕策略。

实施指南

清除桌面和清除屏幕策略应考虑信息分类(见 8.2)、法律和合同要求(见 18.1)、相应风险和组织的文化方面。下列指南应予以考虑:

a)当不需要时,特别是当空出办公室时,应将敏感或关键业务信息(如在纸质或电子存储介质上的)锁起来(理想情况下,在保险柜或保险箱或其他形式的安全设备中);

b) 当无人值守时,计算机和终端应注销、或使用屏幕和由口令、令牌或类似于用户身份认证合机制控制的键盘机制保护;当不使用时,应使用带钥匙的锁、口令或其他控制措施进行保护;

c)应防止复印机或其他复制技术(例如扫描仪、数字照相机)的未授权使用;

d) 包含敏感或机密信息的介质应立即从打印机中清除。

其它信息

清除桌面/清除屏幕策略降低了正常工作时间之中和之外对信息的未授权访问、丢失、破坏的风险。保险箱或其他形式的安全存储设施也可保护存储于其中的信息免受灾难(例如火灾、地震、洪水或爆炸)的影响。

要考虑使用带 PIN 码功能的打印机,使得原始操作人员仅当站在打印机旁边的时候是,才能获得打印的输出。

凡来源为本站的文章,版权为本站所有,转载请注明出处!
肯达信,中国最专业的威廉希尔手机版咨询威廉希尔手机版辅导机构,助您顺利通过威廉希尔手机版
客服中心

您好,我是肯达信管理顾问公司客服,欢迎咨询!

廖幼灵

您好,我是肯达信管理顾问公司客服,欢迎咨询!

陈容珍

您好,我是肯达信管理顾问公司客服,欢迎咨询!

杨老师

您好,我是肯达信管理顾问公司客服,欢迎咨询!

王老师

面向全国客户服务热线

400-690-0031

24小时热线

18575592846


展开客服