信息技术设备物理与环境安全管理办法.pdfVIP

信息技术设备物理和环境安全管理办法 第一章 总 第一条目的：为了满足公司物理和环境安全管理的需要，保障公 司生产和办公系统的正常运行，特制定本管理办法。 第二条依据：本管理办法根据《公司信息安全管理策略》制订。 第三条范围：本管理办法适用于本公司。 第二章基本要求 第四条公司员工应当根据公司经营需要保护资产。公司的资产保 护要求通过完成以下目标来实现： （一）确保公司能够有效控制所有资产的物理和环境保护。 （二）降低未经授权访问、损坏或影响公司控制资产的风险。 （三）防止公司控制的资产被擅自删除或移动。 第五条安全控制措施包括以下内容：： （一）公司的场地（机房、办公室）在信息处理设施周围设置实 际的安全隔离措施，如门禁系统等。 （二）公司大楼入口处的安全预防措施。 （三）防火保护设备、水、极端温度/湿度、灰尘和电产生的危害。 （四）设备维护。 （五）清理资产。 第三章 安全区域 第六条公司安全区域包括中央机房和敏感部门办公区。 第7条安全区域的划分和管理见《物理安全区域管理细则》。 第8条实体安全边界 所有进入公司安全区域的人员都需经过授权，公司员工以外的人 员在进入公司安全区域之前，必须登记并交换不同的授权卡或访客卡 （持有效证件，得到被访者允许）。 第9条安全区域的出入控制措施 （一）物理控制措施 1、机房的门禁系统必须启用，任何人进入机房前必须刷卡； 2、进出机房需要登记《机房出入登记表》，记录姓名、出入时间、 事由等； 3、一段时间内不经常进入的机房应上锁，需要时由运维人员开启 进入工作，并确保办公完成后锁好； 4、机房应安装闭路电视监控。应监督或监控所有安全区域内的工 作。 （二）合同方和第三方 1、应该在主出入口填写《来访人员登记表》； 2、将公司颁发的临时出入证或访客卡佩戴在显眼的地方。 （三）公司员工控制措施 1、公司员工必须在显眼的地方佩戴徽章； 2、公司工作人员调离公司时，其实际入境权也相应取消； （四）回顾访问 科技信息部应定期(每三个月)回顾访问公司中心机房的人员名单 并将进出权过期或作废的人员从名单上划掉。 （五）针对外部和环境威胁的安全保护 1、机房建设应符合GB 9361 中A 一级安全机房要求； 2、危险或易燃材料应存放在远离安全区域的安全距离处。大批供 应品（例如文具等）不应存放于安全区域内； 3、恢复设备和备份介质的存储位置应与主站点保持安全距离，以 避免影响主场地的灾难产生的破坏； 4、应提供适当的灭火设备，并应放在合适的地点。 第 10 条交接区域的安全 （一）公司应设立交接区，同时： 1、在向公司发送货物之前，必须提前通知货物资产所属部门的资 产管理员和信息安全管理员； 2、交付公司的名称和交付时间应在收到货物之前由货物资产所属 部门的资产管理员和信息安全管理员确认； 3、在进入安全区域之前，应由物理环境部门的相关人员对交付公 司进行识别和确认； 4、货物资产所属部门的资产管理员和信息安全管理员应对货物进 行检查，以保证没有潜在的危害。 第四章 设备安全 第 11 条设备放置和保护 （一）公司应考虑以下控制措施： 1、设备应进行适当安置，尽量减少不必要的工作区域通道； 2、处理敏感数据的信息处理设施应放置在适当位置，以限制观察， 以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未 授权访问； 3、需要特殊保护的零件应隔离，以降低所要求的总体保护等级； 4、应采取控制措施，以降低潜在物理威胁的风险，例如偷窃、火 灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源 干扰、通信干扰、电磁辐射和故意破坏； 5、应在信息处理设施附近建立饮食设施、喝饮料和抽烟的指南； 6、对于可能对信息处理设施的运行产生负面影响的环境条件（例 如温度和湿度）要予以监视； 7、所有建筑物都应采用避雷保护，所有进线电源和通信线路应配 备防雷滤波器； 8