物理安全管理8篇

第1篇 信息技術(shù)設(shè)備物理與環(huán)境安全管理規(guī)定

第一章 總則

第一條 目的：為了適應(yīng)公司物理與環(huán)境安全管理的需要，保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行，特制定本管理辦法。

第二條 依據(jù)：本管理辦法根據(jù)《信息安全管理策略》制訂。

第三條 范圍：本管理辦法適用于公司。

第二章 基本要求

第四條 公司員工應(yīng)根據(jù)公司運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn)：

（一）確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

（二）減少擅自訪問(wèn)或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

（三）防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條 安全控制措施包括以下各項(xiàng)：

（一）公司的場(chǎng)地（機(jī)房、辦公室）的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施，如門禁系統(tǒng)等。

（二）公司的大樓入口安全防范措施。

（三）防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

（四）設(shè)備維護(hù)。

（五）清理資產(chǎn)。

第三章 安全區(qū)域

第六條 公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條 安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。

第八條 物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過(guò)授權(quán)，公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入（持有效證件，得到被訪者允許）。

第九條 安全區(qū)域出入控制措施

（一）物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用，任何人都必須刷卡后才可進(jìn)入機(jī)房；

2、出入機(jī)房必須登記《機(jī)房出入登記表》，記錄姓名、出入時(shí)間、事由等；

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖，需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作，并確保辦公完成后鎖好；

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

（二）合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》；

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

（三）公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡；

2、公司工作人員調(diào)離公司時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消；

（四）審查訪問(wèn)

信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

（五）外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求；

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞；

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。

第十條 交接區(qū)安全

（一）公司應(yīng)設(shè)立交接區(qū)，同時(shí)：

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn)；

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物，以保證沒(méi)有潛在的危害。

第四章 設(shè)備安全

第十一條 設(shè)備安置與保護(hù)

（一）公司中應(yīng)考慮以下控制措施：

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn)；

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn)；

3、要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；

7、所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器；

8、對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤(pán)保護(hù)膜；

9、應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；極其重要設(shè)備應(yīng)部署在不同位置。

第十二條 支持性設(shè)施

（一）應(yīng)有足夠的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能，減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。

（二）對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（ups）。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長(zhǎng)，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給，以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測(cè)試。另外，如果辦公場(chǎng)所很大，則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。

（三）另外，應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

（四）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時(shí)），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

（五）連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

（六）實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電，以避免供電的單一故障點(diǎn)。

第十三條 電纜安全

（一）敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下：

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，應(yīng)提供足夠的可替換的保護(hù)；

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞，例如，利用電纜管道或使路由避開(kāi)公眾區(qū)域；

3、為了防止干擾，電源電纜要與通信電纜分開(kāi)；

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；

5、使用文件化配線列表減少失誤的可能性；

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：

（1）在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；

（2）使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?/p>

（3）使用纖維光纜；

（4）使用電磁防輻射裝置保護(hù)電纜；

（5）對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；

（6）控制對(duì)配線盤(pán)和電纜室的訪問(wèn)；

第十四條 設(shè)備維護(hù)

（一）應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

（二）由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。

（三）只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

（四）原則上應(yīng)保存所有維護(hù)記錄

（五）要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；

（六）設(shè)備資產(chǎn)的管理部門和人事部應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

（七）設(shè)備資產(chǎn)的管理部門和人事部定期審核維護(hù)記錄和計(jì)劃。

（八）當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂疲紤]維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；

（九）應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條 場(chǎng)外設(shè)備的安全

（一）離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施：

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來(lái)；

2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信；

4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條 設(shè)備的安全處置與重新使用

（一）設(shè)備報(bào)廢處置時(shí)，存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀，或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。

（二）所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。

（三）為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤(pán)必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷毀。

（四）凡敏感性介質(zhì)的處置都必須填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》，經(jīng)部門負(fù)責(zé)人同意后，方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》，留待審計(jì)時(shí)備查。

第十七條 設(shè)備的移動(dòng)

（一）應(yīng)考慮如下措施：

1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所；

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員；

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；

4、若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄。

（二）應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查，以檢測(cè)未授權(quán)的記錄裝置、武器等等，防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條 本管理辦法由信息部負(fù)責(zé)解釋和修訂。

第十九條 本管理辦法自發(fā)布之日起施行。

第2篇 物理與環(huán)境安全管理辦法

第一章 總則

第一條?目的：為了適應(yīng)__銀行（以下簡(jiǎn)稱我行）物理與環(huán)境安全管理的需要，保障我行生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行，特制定本管理辦法。

第二條?依據(jù)：本管理辦法根據(jù)《__銀行信息安全管理策略》制訂。

第三條?范圍：本管理辦法適用于我行及所轄分、支行。

第二章?基本要求

第四條?我行員工應(yīng)根據(jù)我行運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。我行的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn)：

（一）確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到我行的有效控制。

（二）減少擅自訪問(wèn)或損壞或影響我行控制的資產(chǎn)的風(fēng)險(xiǎn)。

（三）防止我行控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條?安全控制措施包括以下各項(xiàng)：

（一）我行的場(chǎng)地（機(jī)房、辦公室）的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施，如門禁系統(tǒng)等。

（二）我行的大樓入口安全防范措施。

（三）防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

（四）設(shè)備維護(hù)。

（五）清理資產(chǎn)。

第三章 安全區(qū)域

第六條?我行的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條?安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。

第八條?物理安全邊界

所有進(jìn)入我行安全區(qū)域的人員都需經(jīng)過(guò)授權(quán)，我行員工之外的人員進(jìn)入我行安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入（持有效證件，得到被訪者允許）。

第九條?安全區(qū)域出入控制措施

（一）物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用，任何人都必須刷卡后才可進(jìn)入機(jī)房；

2、出入機(jī)房必須登記《機(jī)房出入登記表》，記錄姓名、出入時(shí)間、事由等；

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖，需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作，并確保辦公完成后鎖好；

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

（二）合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》；

2、在顯眼處佩戴我行發(fā)出的臨時(shí)出入卡或訪客證。

（三）我行工作人員的控制措施

1、我行工作人員都必須在顯眼處佩帶胸卡；

2、我行工作人員調(diào)離我行時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消；

（四）審查訪問(wèn)

科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)我行中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

（五）外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求；

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞；

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。

第十條?交接區(qū)安全

（一）我行應(yīng)設(shè)立交接區(qū)，同時(shí)：

1、向我行發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn)；

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物，以保證沒(méi)有潛在的危害。

第四章 設(shè)備安全

第十一條?設(shè)備安置與保護(hù)

（一）我行中應(yīng)考慮以下控制措施：

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn)；

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn)；

3、要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；

7、所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器；

第3篇 物理與環(huán)境安全管理辦法范本

第一章 總則

第一條目的:為了適應(yīng)__銀行(以下簡(jiǎn)稱我行)物理與環(huán)境安全管理的需要,保障我行生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。

第二條依據(jù):本管理辦法根據(jù)《__銀行信息安全管理策略》制訂。

第三條范圍:本管理辦法適用于我行及所轄分、支行。

第二章基本要求

第四條我行員工應(yīng)根據(jù)我行運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。我行的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到我行的有效控制。

(二)減少擅自訪問(wèn)或損壞或影響我行控制的資產(chǎn)的風(fēng)險(xiǎn)。

(三)防止我行控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條安全控制措施包括以下各項(xiàng):

(一)我行的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施,如門禁系統(tǒng)等。

(二)我行的大樓入口安全防范措施。

(三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條我行的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。

第八條物理安全邊界

所有進(jìn)入我行安全區(qū)域的人員都需經(jīng)過(guò)授權(quán),我行員工之外的人員進(jìn)入我行安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第九條安全區(qū)域出入控制措施

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》;

2、在顯眼處佩戴我行發(fā)出的臨時(shí)出入卡或訪客證。

(三)我行工作人員的控制措施

1、我行工作人員都必須在顯眼處佩帶胸卡;

2、我行工作人員調(diào)離我行時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問(wèn)

科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)我行中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求;

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第十條交接區(qū)安全

(一)我行應(yīng)設(shè)立交接區(qū),同時(shí):

1、向我行發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn);

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒(méi)有潛在的危害。

第四章 設(shè)備安全

第十一條設(shè)備安置與保護(hù)

(一)我行中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn);

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn);

3、要求專門保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器;

8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護(hù)方法,例如鍵盤(pán)保護(hù)膜;

9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。

第十二條支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源(ups)。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長(zhǎng),而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。

(三)另外,應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以避免供電的單一故障點(diǎn)。

第十三條電纜安全

(一)敷設(shè)到我行內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞,例如,利用電纜管道或使路由避開(kāi)公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開(kāi);

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括:

(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當(dāng)?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護(hù)電纜;

(5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查;

(6)控制對(duì)配線盤(pán)和電纜室的訪問(wèn);

第十四條設(shè)備維護(hù)

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。

(三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

(四)原則上應(yīng)保存所有維護(hù)記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計(jì)劃。

(八)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條場(chǎng)外設(shè)備的安全

(一)離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施:

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來(lái);

2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條設(shè)備的安全處置與重新使用

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀,或用安全方式對(duì)信息加以覆蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。

(二)所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以決定是否對(duì)其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、我行內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤(pán)必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。

第十七條設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所;

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;

4、若需要并合適,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí),要作出送回記錄。

(二)應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查,以檢測(cè)未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查,并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條本管理辦法由科技信息部負(fù)責(zé)解釋和修訂。

第十九條本管理辦法自發(fā)布之日起施行。

第4篇 信息技術(shù)設(shè)備物理與環(huán)境安全管理辦法

第一章 總則

第一條?目的：為了適應(yīng)公司物理與環(huán)境安全管理的需要，保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行，特制定本管理辦法。

第二條?依據(jù)：本管理辦法根據(jù)《公司信息安全管理策略》制訂。

第三條?范圍：本管理辦法適用于公司。

第二章?基本要求

第四條?公司員工應(yīng)根據(jù)公司運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn)：

（一）確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

（二）減少擅自訪問(wèn)或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

（三）防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條?安全控制措施包括以下各項(xiàng)：

（一）公司的場(chǎng)地（機(jī)房、辦公室）的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施，如門禁系統(tǒng)等。

（二）公司的大樓入口安全防范措施。

（三）防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

（四）設(shè)備維護(hù)。

（五）清理資產(chǎn)。

第三章 安全區(qū)域

第六條?公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條?安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。

第八條?物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過(guò)授權(quán)，公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入（持有效證件，得到被訪者允許）。

第九條?安全區(qū)域出入控制措施

（一）物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用，任何人都必須刷卡后才可進(jìn)入機(jī)房；

2、出入機(jī)房必須登記《機(jī)房出入登記表》，記錄姓名、出入時(shí)間、事由等；

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖，需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作，并確保辦公完成后鎖好；

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

（二）合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》；

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

（三）公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡；

2、公司工作人員調(diào)離公司時(shí)，其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消；

（四）審查訪問(wèn)

科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

（五）外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求；

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離，以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞；

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。

第十條?交接區(qū)安全

（一）公司應(yīng)設(shè)立交接區(qū)，同時(shí)：

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn)；

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物，以保證沒(méi)有潛在的危害。

第四章 設(shè)備安全

第十一條?設(shè)備安置與保護(hù)

（一）公司中應(yīng)考慮以下控制措施：

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn)；

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn)；

3、要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；

7、所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器；

8、對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤(pán)保護(hù)膜；

9、應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)；極其重要設(shè)備應(yīng)部署在不同位置。

第十二條?支持性設(shè)施

（一）應(yīng)有足夠的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能，減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。

（二）對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（ups）。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長(zhǎng)，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給，以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測(cè)試。另外，如果辦公場(chǎng)所很大，則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。

（三）另外，應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

（四）要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時(shí)），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

（五）連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

（六）實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電，以避免供電的單一故障點(diǎn)。

第十三條?電纜安全

（一）敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下：

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，應(yīng)提供足夠的可替換的保護(hù)；

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞，例如，利用電纜管道或使路由避開(kāi)公眾區(qū)域；

3、為了防止干擾，電源電纜要與通信電纜分開(kāi)；

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；

5、使用文件化配線列表減少失誤的可能性；

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：

（1）在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；

（2）使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?/p>

（3）使用纖維光纜；

（4）使用電磁防輻射裝置保護(hù)電纜；

（5）對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；

（6）控制對(duì)配線盤(pán)和電纜室的訪問(wèn)；

第十四條?設(shè)備維護(hù)

（一）應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

（二）由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。

（三）只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

（四）原則上應(yīng)保存所有維護(hù)記錄

（五）要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；

（六）設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

（七）設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計(jì)劃。

（八）當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂?，要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；

（九）應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條?場(chǎng)外設(shè)備的安全

（一）離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施：

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來(lái)；

2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信；

4、足夠的安全保障掩蔽物宜到位，以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條?設(shè)備的安全處置與重新使用

（一）設(shè)備報(bào)廢處置時(shí)，存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀，或用安全方式對(duì)信息加以覆蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。

（二）所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查，以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以決定是否對(duì)其銷毀、修理或遺棄。

（三）為保證信息安全，必須在處理介質(zhì)前擦除有關(guān)的敏感信息：

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤(pán)必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷毀。

（四）凡敏感性介質(zhì)的處置都必須填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》，經(jīng)部門負(fù)責(zé)人同意后，方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》，留待審計(jì)時(shí)備查。

第十七條?設(shè)備的移動(dòng)

（一）應(yīng)考慮如下措施：

1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所；

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員；

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；

4、若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送回記錄。

（二）應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查，以檢測(cè)未授權(quán)的記錄裝置、武器等等，防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查，并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條?本管理辦法由科技信息部負(fù)責(zé)解釋和修訂。

第十九條?本管理辦法自發(fā)布之日起施行。

第5篇 建筑物物理安全管理程序

1.0 目的：本程序的目的是使各建筑物、大門、圍墻及門窗等得到有效的管理，防止損壞失修，及公司貨物被盜竊，以確保所有產(chǎn)品、物料和人員處于安全的儲(chǔ)存環(huán)境。

2.0 范圍：本程序適用于我公司各建筑物、大門、圍墻及門窗等實(shí)體的管理活動(dòng)。

3.0 職責(zé)：

1）行政部：負(fù)責(zé)各建筑物、大門、圍墻的管理；

2）各部門主管人員負(fù)責(zé)各自部門的門窗管理安排。

4.0 程序

4.1 窗戶的開(kāi)、關(guān)

4.1.1 窗戶的開(kāi)關(guān)必須由指定人員負(fù)責(zé)，在車間內(nèi)依工作位的就近原則來(lái)劃分各組長(zhǎng)的責(zé)任區(qū)域，明確各自職責(zé)。

4.1.2 上班可按天氣的或車間內(nèi)的空氣狀況決定是否對(duì)窗戶的開(kāi)啟，可由就近員工對(duì)該窗開(kāi)啟，下班時(shí)各生產(chǎn)組長(zhǎng)必須對(duì)管轄區(qū)域內(nèi)的窗戶進(jìn)行檢查，將窗關(guān)好并上插銷后方可離開(kāi)車間。

4.1.3 如所管轄區(qū)域內(nèi)的組長(zhǎng)請(qǐng)假或離職，部門主任應(yīng)立即安排指定人員進(jìn)行對(duì)該區(qū)域內(nèi)的窗戶進(jìn)行管理（開(kāi)、關(guān)）。

4.2 車間大門

4.2.1 所有大門的鎖匙應(yīng)由該部門的主任或主管持有，不得隨意擺放，并對(duì)部門內(nèi)的大門上班開(kāi)鎖及下班關(guān)閉，確保大門處于安全的狀態(tài)。

4.2.2 部門主任和主管不得同時(shí)請(qǐng)假或脫離對(duì)管轄部門的管理，如出現(xiàn)該特殊情況，部門的大門鎖匙應(yīng)由行政部安排，由安保經(jīng)理或指定人員進(jìn)行監(jiān)管。

4.2.3 所有大門的鎖具在下列任何一種情況下應(yīng)當(dāng)進(jìn)行更換：

a) 鎖具使用期已超過(guò)一年或老化；

b) 鎖具出現(xiàn)損壞；

c) 主任或主管其中之一調(diào)任該部門或離職；

d) 主任或主管丟失鎖匙；

4.3 建筑物、公司大門和圍墻管

4.3.1 行政部應(yīng)指派人員專門負(fù)責(zé)對(duì)各建筑物、圍墻的管理，每個(gè)月定期檢查各建筑物和圍墻的狀況，以確保各建筑物和圍墻的完整、安全，確保公司財(cái)產(chǎn)、貨物和人員的安全；

4.3.2 建筑物、圍墻如有破損應(yīng)立即上報(bào)，并在規(guī)定的期限內(nèi)修復(fù)；

4.3.3 公司大門由保安負(fù)責(zé)管理，每天值班的保安人員都應(yīng)檢查大門狀況，如有破損，應(yīng)盡快聯(lián)系行政部派人修復(fù)，以確保公司安全。

第6篇 信息科技物理環(huán)境安全管理辦法

第一章 總則

第一條 目的:為了適應(yīng)__農(nóng)村商業(yè)銀行(以下簡(jiǎn)稱我行)物理與環(huán)境安全管理的需要,保障我行生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。

第二條 依據(jù):本管理辦法依據(jù)《__農(nóng)村商業(yè)銀行信息安全管理策略》制定。

第三條 范圍:本管理辦法適用于我行及所轄分支行。

第二章 基本要求

第四條 我行員工應(yīng)根據(jù)我行運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。我行的資產(chǎn)保護(hù)要求通過(guò)以下目標(biāo)來(lái)實(shí)現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到我行的有效控制。

(二)減少擅自訪問(wèn)或損壞影響我行控制的資產(chǎn)的風(fēng)險(xiǎn)。

(三)防止我行控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條 安全控制措施包括以下各項(xiàng):

(一)我行的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施,如門禁系統(tǒng)等。

(二)我行的大樓入口安全防范措施。

(三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條 我行的安全區(qū)域包括中心機(jī)房、檔案室、終端設(shè)備存放室、網(wǎng)絡(luò)設(shè)備存放室、領(lǐng)導(dǎo)辦公室、公共辦公區(qū)、來(lái)訪接待區(qū)。

第七條 物理安全邊界 所有進(jìn)入我行安全區(qū)域的人員都需經(jīng)過(guò)授權(quán),我行員工之外的人員進(jìn)入我行安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第八條 安全區(qū)域出入控制措施:

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》;

2、在顯眼處佩戴我行發(fā)出的臨時(shí)出入卡或訪客證。

(三)我行工作人員的控制措施

1、我行工作人員都必須在顯眼處佩帶胸卡;

2、我行工作人員調(diào)離我行時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問(wèn)

科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)我行中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求;

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第九條 交接區(qū)安全

(一)我行應(yīng)設(shè)立交接區(qū),同時(shí):

1、向我行發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn);

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒(méi)有潛在危害。

第四章 設(shè)備安全

第十條 設(shè)備安置與保護(hù)

(一)我行中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn);

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn);

3、要求專門保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器;

8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護(hù)方法,例如鍵盤(pán)保護(hù)膜;

9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。

第十一條 支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源 (ups)。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長(zhǎng),而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。 (三)另外,應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以避免供電的單一故障點(diǎn)。

第十二條 電纜安全

(一)敷設(shè)到我行內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞,例如,利用電纜管道或使路由避開(kāi)公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開(kāi);

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括: (1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子; (2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當(dāng)?shù)陌踩胧? (3)使用纖維光纜; (4)使用電磁防輻射裝置保護(hù)電纜; (5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查; (6)控制對(duì)配線盤(pán)和電纜室的訪問(wèn);

第十三條 設(shè)備維護(hù)

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。 (三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

(四)原則上應(yīng)保存所有維護(hù)記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計(jì)劃。

(八)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十四條 場(chǎng)外設(shè)備的安全

(一)離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施:

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來(lái);

2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十五條 設(shè)備的安全處置與重新使用

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀,或用安全方式對(duì)信息加以覆蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。

(二)所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以決定是否對(duì)其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息: 1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。 2、我行內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。 3、磁帶和磁盤(pán)必須在處置前實(shí)際銷毀和核對(duì)。 4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。

第十六條 設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施: 1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所; 2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員; 3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查; 4、若需要并合適,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí),要作出送回記錄。

(二)應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查,以檢測(cè)未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查,并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十七條 本管理辦法由電子銀行部負(fù)責(zé)解釋和修訂。

第十八條 本管理辦法自發(fā)布之日起施行。

第7篇 信息技術(shù)設(shè)備物理環(huán)境安全管理辦法

第一章 總則

第一條目的:為了適應(yīng)公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。

第二條依據(jù):本管理辦法根據(jù)《公司信息安全管理策略》制訂。

第三條范圍:本管理辦法適用于公司。

第二章基本要求

第四條公司員工應(yīng)根據(jù)公司運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

(二)減少擅自訪問(wèn)或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條安全控制措施包括以下各項(xiàng):

(一)公司的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。

第八條物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過(guò)授權(quán),公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第九條安全區(qū)域出入控制措施

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問(wèn)

科技信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求;

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第十條交接區(qū)安全

(一)公司應(yīng)設(shè)立交接區(qū),同時(shí):

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn);

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒(méi)有潛在的危害。

第四章 設(shè)備安全

第十一條設(shè)備安置與保護(hù)

(一)公司中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn);

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn);

3、要求專門保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器;

8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護(hù)方法,例如鍵盤(pán)保護(hù)膜;

9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。

第十二條支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源(ups)。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長(zhǎng),而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。

(三)另外,應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以避免供電的單一故障點(diǎn)。

第十三條電纜安全

(一)敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞,例如,利用電纜管道或使路由避開(kāi)公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開(kāi);

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括:

(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當(dāng)?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護(hù)電纜;

(5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查;

(6)控制對(duì)配線盤(pán)和電纜室的訪問(wèn);

第十四條設(shè)備維護(hù)

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。

(三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

(四)原則上應(yīng)保存所有維護(hù)記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計(jì)劃。

(八)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條場(chǎng)外設(shè)備的安全

(一)離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施:

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來(lái);

2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條設(shè)備的安全處置與重新使用

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀,或用安全方式對(duì)信息加以覆蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。

(二)所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以決定是否對(duì)其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤(pán)必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。

第十七條設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所;

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;

4、若需要并合適,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí),要作出送回記錄。

(二)應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查,以檢測(cè)未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查,并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條本管理辦法由科技信息部負(fù)責(zé)解釋和修訂。

第十九條本管理辦法自發(fā)布之日起施行。

第8篇 信息技術(shù)設(shè)備物理環(huán)境安全管理規(guī)定

第一章 總則

第一條 目的:為了適應(yīng)公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運(yùn)行,特制定本管理辦法。

第二條 依據(jù):本管理辦法根據(jù)《信息安全管理策略》制訂。

第三條 范圍:本管理辦法適用于公司。

第二章 基本要求

第四條 公司員工應(yīng)根據(jù)公司運(yùn)營(yíng)需要對(duì)資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過(guò)完成以下目標(biāo)來(lái)實(shí)現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效控制。

(二)減少擅自訪問(wèn)或損壞或影響公司控制的資產(chǎn)的風(fēng)險(xiǎn)。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動(dòng)。

第五條 安全控制措施包括以下各項(xiàng):

(一)公司的場(chǎng)地(機(jī)房、辦公室)的信息處理設(shè)施周圍設(shè)置實(shí)際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護(hù)設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護(hù)。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條 公司的安全區(qū)域包括中心機(jī)房和敏感部門辦公區(qū)域。

第七條 安全區(qū)域的劃分與管理參見(jiàn)《物理安全區(qū)域管理細(xì)則》。

第八條 物理安全邊界

所有進(jìn)入公司安全區(qū)域的人員都需經(jīng)過(guò)授權(quán),公司員工之外的人員進(jìn)入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進(jìn)入(持有效證件,得到被訪者允許)。

第九條 安全區(qū)域出入控制措施

(一)物理控制措施

1、機(jī)房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進(jìn)入機(jī)房;

2、出入機(jī)房必須登記《機(jī)房出入登記表》,記錄姓名、出入時(shí)間、事由等;

3、一段時(shí)間內(nèi)不會(huì)頻繁進(jìn)入的機(jī)房應(yīng)上鎖,需要時(shí)由運(yùn)維人員開(kāi)啟進(jìn)入工作,并確保辦公完成后鎖好;

4、機(jī)房應(yīng)安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫(xiě)《來(lái)訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時(shí)出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時(shí),其實(shí)際進(jìn)入權(quán)也同時(shí)相應(yīng)取消;

(四)審查訪問(wèn)

信息部應(yīng)定期(每三個(gè)月)審查訪問(wèn)公司中心機(jī)房的人員名單并將進(jìn)出權(quán)過(guò)期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護(hù)

1、機(jī)房建設(shè)應(yīng)符合gb 9361中a類安全機(jī)房的要求;

2、危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi);

3、恢復(fù)設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主場(chǎng)地有一段安全的距離,以避免影響主場(chǎng)地的災(zāi)難產(chǎn)生的破壞;

4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地點(diǎn)。

第十條 交接區(qū)安全

(一)公司應(yīng)設(shè)立交接區(qū),同時(shí):

1、向公司發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時(shí)間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn);

3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過(guò)物理環(huán)境主管部門有關(guān)人員的鑒別確認(rèn);

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗(yàn)貨物,以保證沒(méi)有潛在的危害。

第四章 設(shè)備安全

第十一條 設(shè)備安置與保護(hù)

(一)公司中應(yīng)考慮以下控制措施:

1、設(shè)備應(yīng)進(jìn)行適當(dāng)安置,以盡量減少不必要的對(duì)工作區(qū)域的訪問(wèn);

2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測(cè)的位置,以減少在其使用期間信息被窺視的風(fēng)險(xiǎn),還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問(wèn);

3、要求專門保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級(jí);

4、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn),例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南;

6、對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應(yīng)采用避雷保護(hù),所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過(guò)濾器;

8、對(duì)于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護(hù)方法,例如鍵盤(pán)保護(hù)膜;

9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn);極其重要設(shè)備應(yīng)部署在不同位置。

第十二條 支持性設(shè)施

(一)應(yīng)有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào))來(lái)支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能,減少由于他們的故障或失效帶來(lái)的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說(shuō)明提供合適的供電。

(二)對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源(ups)。電源應(yīng)急計(jì)劃要包括ups 故障時(shí)要采取的措施。如果電源故障延長(zhǎng),而處理要繼續(xù)進(jìn)行,則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給,以確保在延長(zhǎng)的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。ups 設(shè)備和發(fā)電機(jī)要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測(cè)試。另外,如果辦公場(chǎng)所很大,則應(yīng)考慮使用多來(lái)源電源或一個(gè)單獨(dú)變電站。

(三)另外,應(yīng)急電源開(kāi)關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近,以便緊急情況時(shí)快速切斷電源。萬(wàn)一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當(dāng)使用時(shí)),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來(lái)指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語(yǔ)音服務(wù)失效。要有足夠的語(yǔ)音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。

(六)實(shí)現(xiàn)連續(xù)供電的選項(xiàng)包括多路供電,以避免供電的單一故障點(diǎn)。

第十三條 電纜安全

(一)敷設(shè)到公司內(nèi)各個(gè)區(qū)域的電纜線的保護(hù)方式如下:

1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)提供足夠的可替換的保護(hù);

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽(tīng)或損壞,例如,利用電纜管道或使路由避開(kāi)公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開(kāi);

4、使用清晰的可識(shí)別的電纜和設(shè)備記號(hào),以使處理失誤最小化,例如,錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對(duì)于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的控制考慮應(yīng)包括:

(1)在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當(dāng)?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護(hù)電纜;

(5)對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查;

(6)控制對(duì)配線盤(pán)和電纜室的訪問(wèn);

第十四條 設(shè)備維護(hù)

(一)應(yīng)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)。

(二)由供貨商維護(hù)的設(shè)備。各種維護(hù)活動(dòng)要按照合同協(xié)議或設(shè)備購(gòu)買時(shí)的維護(hù)計(jì)劃進(jìn)行。

(三)只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)

(四)原則上應(yīng)保存所有維護(hù)記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄;

(六)設(shè)備資產(chǎn)的管理部門和人事部應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計(jì)劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和人事部定期審核維護(hù)記錄和計(jì)劃。

(八)當(dāng)對(duì)設(shè)備安排維護(hù)時(shí),應(yīng)實(shí)施適當(dāng)?shù)目刂?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當(dāng)需要時(shí),敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的;

(九)應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。

第十五條 場(chǎng)外設(shè)備的安全

(一)離開(kāi)辦公場(chǎng)所的設(shè)備的保護(hù)應(yīng)考慮下列措施:

1、離開(kāi)建筑物的設(shè)備和介質(zhì)在公共場(chǎng)所不應(yīng)無(wú)人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶,若可能宜偽裝起來(lái);

2、制造商的設(shè)備保護(hù)說(shuō)明要始終加以遵守,例如,防止暴露于強(qiáng)電磁場(chǎng)內(nèi);

3、家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定,當(dāng)適合時(shí),要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問(wèn)控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護(hù)離開(kāi)辦公場(chǎng)所的設(shè)備。安全風(fēng)險(xiǎn)在不同場(chǎng)所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點(diǎn)運(yùn)走的信息存儲(chǔ)和處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、管理設(shè)備、移動(dòng)電話、智能卡、紙張及其他形式的設(shè)備。

第十六條 設(shè)備的安全處置與重新使用

(一)設(shè)備報(bào)廢處置時(shí),存有敏感信息的存儲(chǔ)設(shè)備要從物理上加以銷毀,或用安全方式對(duì)信息加以覆蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來(lái)刪除。

(二)所有帶有諸如硬盤(pán)等儲(chǔ)存媒介的設(shè)備在報(bào)廢前都要對(duì)其檢查,以確保其內(nèi)存儲(chǔ)的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲(chǔ)設(shè)備要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,以決定是否對(duì)其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機(jī)銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應(yīng)積累過(guò)量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤(pán)必須在處置前實(shí)際銷毀和核對(duì)。

4、數(shù)據(jù)存儲(chǔ)光盤(pán)應(yīng)在處置前實(shí)際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫(xiě)《信息介質(zhì)處置申請(qǐng)表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計(jì)時(shí)備查。

第十七條 設(shè)備的移動(dòng)

(一)應(yīng)考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開(kāi)辦公場(chǎng)所;

2、明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng),離開(kāi)辦公場(chǎng)所的雇員、承包方人員和第三方人員;

3、應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查;

4、若需要并合適,要對(duì)設(shè)備作出移出記錄,當(dāng)返回時(shí),要作出送回記錄。

(二)應(yīng)執(zhí)行檢測(cè)未授權(quán)資產(chǎn)移動(dòng)的抽查,以檢測(cè)未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場(chǎng)所。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個(gè)人都知道將進(jìn)行抽查,并且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條 本管理辦法由信息部負(fù)責(zé)解釋和修訂。

第十九條 本管理辦法自發(fā)布之日起施行。