7Physical controls 物理控制ISO/IEC 27001: 2022 附录A)
7.1Physical security perimeters
物理安全边界
Control 控制
Security perimeters shall be defined and used to protect areas that contain information and other associated assets.
应定义和使用安全边界来保护包信息和其他相关资产的区域。
7.2Physical entry
物理入口
Control 控制
Secure areas shall be protected by appropriate entry controls and access points.
安全区域应由适合的入口控制和访问点所保护。
7.3Securing offices, rooms and facilities
办公室、房间和设施的安全
Control 控制
Physical security for offices, rooms and facilities shall be designed and implemented.
应为办公室、房间和设施设计并采取物理安全措施。
7.4Physical security monitoring
物理安全监视
Control 控制
Premises shall be continuously monitored for unauthorized physical access.
边界应被持续监视,以防止未授权的物理访问。
7.5Protecting against physical and environmental threats
物理和环境威胁的防护
Control 控制
Protection against physical and environmental threats, such as natural disasters and other intentional or unintentional physical threats to infrastructure shall be designed and implemented.
应设计和实施针对物理和环境威胁(例如,自然灾害和对基础设施的其他有意或无意的物理威胁)的保护措施。
7.6Working in secure areas
在安全区域工作
Control 控制
Security measures for working in secure areas shall be designed and implemented.
在安全区域工作的安全措施应被设计和被实施。
7.7Clear desk and clear screen
清空桌面和屏幕
Control 控制
Clear desk rules for papers and removable storage media and clear screen rules for information processing facilities shall be defined and appropriately enforced.
针对纸质和可移动存储介质的清理桌面策略,以及针对信息处理设施的清理屏幕策略,应被定义和适当执行。
7.8Equipment siting and protection
设备安置和保护
Control 控制
Equipment shall be sited securely and protected.
设备应安全的安置和保护。
7.9Security of assets off-premises
组织场所外的资产安全
Control 控制
Off-site assets shall be protected.
组织场所外的资产应被保护。
7.10Storage media
存储介质
Control 控制
Storage media shall be managed through their life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
存储介质应按照组织的分类方案和处理要求,对其获取、使用、运输和处置的生命周期进行管理。
7.11Supporting utilities
支持性设施
Control 控制
Information processing facilities shall be protected from power failures and other disruptions caused by failures in supporting utilities.
应保护信息处理设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
7.12Cabling security
布缆安全
Control 控制
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.
应保护传输电力、数据或支持信息服务的电缆不受拦截、干扰或损坏。
7.13Equipment maintenance
设备维护
Control 控制
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
设备应予以正确地维护,以确保其持续的可用性、完整性和信息的保密性。
7.14Secure disposal or re-use of equipment
设备的安全处置或再利用
Control 控制
Items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.
包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。
A.8 资产管理(ISO/IEC 27001: 2013 附录A)
A.8.3 介质处理
目标:防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。
A.8.3.1移动介质的管理控制
应按照组织采用的分级方案,实现移动介质管理规程。
A.8.3.2介质的处置控制
应使用正式的规程安全地处置不再需要的介质。
A.8.3.3物理介质的转移控制
包含信息的介质在运送中应受到保护,以防止未授权访问、不当使用或毁坏。
A.11 物理和环境安全(ISO/IEC 27001: 2013 附录A)
A.11.1 安全区域
目标:防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。
A.11.1.1物理安全边界控制
应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域。
A.11.1.2物理入口控制控制
安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
A.11.1.3办公室、房间和设施的安全保护控制
应为办公室、房间和设施设计并采取物理安全措施。
A.11.1.4外部和环境威胁的安全防护控制
应设计和应用物理保护以防自然灾害、恶意攻击和意外。
A.11.1.5在安全区域工作控制
应设计和应用安全区域工作规程。
A.11.1.6交接区控制
访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。
A.11.2 设备
目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
A.11.2.1设备安置和保护控制
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
A.11.2.2支持性设施控制
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
A.11.2.3布缆安全控制
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏
A.11.2.4设备维护控制
设备应予以正确地维护,以确保其持续的可用性和完整性。
A.11.2.5资产的移动控制
设备、信息或软件在授权之前不应带出组织场所。
A.11.2.6组织场所外的设备与资产安全控制
应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险
A.11.2.7设备的安全处置或再利用控制
包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。
A.11.2.9清理桌面和屏幕策略控制
应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。

控制解析:

  1. 新版中的A.7 物理控制基本是与ISO/IEC 27001: 2013中的A.11 物理和环境安全对应的,但也有些细微调整:(1)ISO/IEC 27001: 2013中A.8.3.1、A.8.3.2、A.8.3.3和A.11.2.5合并成了新版的A.7.10;(2)ISO/IEC 27001: 2013中A.11.2.8在新版中被移到A.8技术控制;(3)A.7.4是新版新增的控制要求;(4)ISO/IEC 27001: 2013中A.11.1.2和A.11.1.6合并成了新版的A.7.2。
  2. 组织应建立物理安全控制过程,并形成书面的《物理安全控制程序》。
  3. 组织应根据业务和风险建立物理安全控制策略(需包含A.7 物理控制相关控制要求),并通过《物理安全控制程序》将物理安全控制策略要求传达给相关部门或管理过程(如行政、生产、研发、IT、设备、项目管理等),并要求相关部门或过程将物理安全控制策略要求整合到本部门或过程的管理之中。
  4. 物理区域(如厂区、生产车间、机房等)应有完整的边界,以避免未授权人员的进入(A.7.1)。
  5. 重要的物理区域(如车间、机房)应对入口进行控制,如在车间入口设置门禁或闸机、配置金属探测仪、保安等。交接区一般指的是绿色区域,如前台、货物装卸区域等。通常由建筑物外进入该类型区域的访问仅限于以标识和已授权的人员,无论内部和外部人员进入,均无需额外申请授权,外部人员须填写访问记录; 虽然进入该类型区域不要求做额外的安全控制,但由该类型区域进入到红色和绿色安全区域访问需要进行控制,如前台进入办公区域(黄色区域)需要进行管控(A.7.2)。
  6. 服务器禁止放在公众访问区域,应放入机房;机房等重要区域应选择在不显眼的区域,同时避免张贴相关提示语(如机房等);会议室玻璃窗应有遮挡物,避免会议信息泄密(A.7.3)。
  7. 进入装有重要系统(敏感信息、关键信息处理设施等)的建筑物的情况应持续监视,以侦测下列的非授权访问或可疑行为:(1)安装视像监控系统,例如闭路电视,以查看和记录进入机构内外敏感区域的情况;(2)根据相关适用标准安装,并定期测试接触,声音或运动探测器以触发入侵报警,如:a) 安装触点探测器,在任何可以触点形成或破裂的地方(如窗户、门和下面的物体),当触点形成或破裂时触发报警,以用作恐慌警报;b) 基于红外技术的运动探测器,当物体通过他们的视野时,就会触发警报;c) 安装对玻璃破碎声音敏感的传感器,用于触发报警,提醒保安人员;(3)用这些警报覆盖所有的外部门和可进入的窗户。无人居住的地区应始终保持警觉;还应为其他区域(例如,计算机或通讯室)提供掩护(A.7.4)。
  8. 重要区域(如机房)应考虑火灾、水灾、地震等灾害的风险,并制定相应的保护措施(A.7.5)。
  9. 重要的安全(生产车间、机房、研发部门等)应制定相应安全管理规范(如机房禁止带入食物和饮用水进入,车间禁止带入相机等摄录功能的设备等),规范内容必须对区域内的所有员工进行宣导和培训(A.7.6)。
  10. 人员离开办公位时,应清理桌面重要的纸质文档和移动存储设备。办公计算机桌面禁止存放重要文档,应放置于处C盘以外的盘(A.7.7)。
  11. 重要设备设备应有适当的安置和保护,如重要服务器和核心交换机必须放置于机房中,普通服务器和交换机放置于弱电间,机房和弱电间禁止进食、喝饮料和抽烟,对机房温湿度进行管控等(A.7.8)。
  12. 组织外设备安全,如出差携带的笔记本、在办公使用的办公电脑,应对这些场景制定相应的安全管理规范(A.7.9)。
  13. 组织应依据《信息资产管理程序》输出书面的《介质安全管理规范》,明确各安全级别(参考信息资产清单分级情况)的介质的管理要求,如:(1)设备、办公笔记本等带出厂区外,需要授权申请;(2)应明确不再需要的介质(如报废)处理要求和流程;(3)需要明确含有重要信息的移动介质传递或运送的安全要求,例如对运输方或送信人的要求(A.7.10)。
  14. 支持性设施如网络和通信设备应该冗余设计,至少两条线路。机房供电,配备发电机、UPS备用电源等(A.7.11)。
  15. 布缆应整洁规范,如弱电间和机房布线整洁,无杂乱(A.7.12)。
  16. 应定期对设备进行维护和保养。对于重要设备维护和保养,相关人员需要进行授权。外出维修设备,需要清除所有数据方可放行,维修后,重新接入前,需要进行相关检测,如病毒扫描等(A.7.13)。
  17. 旧服务器,回收的办公电脑,在重新使用之前,应先对硬盘进行格式化清除数据(A.7.14)。

实施本控制应输出的文档:

  1. 《物理安全控制程序》、物理安全控制策略。
  2. 厂区访客进出记录、车间访客进出记录、厂区和车间外来访客进入授权申请记录等。
  3. 设备维护保养计划和保养记录。
  4. 设备外出授权记录,数据清理记录,外出登记记录,病毒扫描记录等。
  5. 《介质安全管理规范》。
  6. 移动介质清单、信息资产清单。
  7. 移动介质报废记录、物理介质转移和接受记录。

本控制审核要点:

  1. 《物理安全控制程序》是否有对物理区域进行分级管理。
  2. 厂区访问进入,是否有进行申请授权和登记。
  3. 重要区域(如机房、车间)外来人员进入是否有进行申请授权和登记。
  4. 车间是否配备保安、金属探测仪。出入口是否有摄像头等。
  5. 研发区域、工程部门是否有门禁。
  6. 交接区域通往黄色或红色区域的通道是否有做管控。
  7. 重要区域(如车间)是否存在未受管控的出入口(如消防门可以自由出入等)。
  8. 检查办公区域是否有存放交换机和服务器,检查弱电间是否上锁。
  9. 检查网络是否有冗余配置,检查机房是否有发电机或UPS备用电源。
  10. 检查机房、弱电间配线是否整洁。
  11. 查看设备维护保养记录。机房巡检记录。
  12. 检查设备外出,是否有授权记录。
  13. 外出维修后的设备重新接入,是否有进行病毒扫描等。
  14. 现场查看人员长时间离开的办公位是否有重要文档未收起。现场抽查员工办公电脑桌面是否存放有重要文档。
  15. 查《信息资产管理程序》中移动分级方案,检查信息资产清单中移动介质分级情况,检查《介质安全管理规范》移动介质分级管控要求,抽查重要移动介质管控是否按照《介质安全管理规范》管理。
  16. 检查移动介质报废流程,以及报废记录。
  17. 检查移动介质移动申请审批记录以及转移和接受记录等。