| A.11 物理和环境安全 | ||
| A.11.1 安全区域 | ||
| 目标:防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。 | ||
| A.11.1.1 | 物理安全边界 | 控制 应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域。 |
| A.11.1.2 | 物理入口控制 | 控制 安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。 |
| A.11.1.3 | 办公室、房间和设施的安全保护 | 控制 应为办公室、房间和设施设计并采取物理安全措施。 |
| A.11.1.4 | 外部和环境威胁的安全防护 | 控制 应设计和应用物理保护以防自然灾害、恶意攻击和意外。 |
| A.11.1.5 | 在安全区域工作 | 控制 应设计和应用安全区域工作规程。 |
| A.11.1.6 | 交接区 | 控制 访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 |
控制解析:
- 实施“A.11 物理和环境安全”,应形成书面的《物理和环境安全管理规范》,规范中应定义物理区域级别(如,红色区域、黄色区域和绿色区域),以及各级别区域的管控要求等。
- 物理区域(如厂区、生产车间、机房等)应有完整的边界,以避免未授权人员的进入。
- 重要的物理区域(如车间、机房)应对入口进行控制,如在车间入口设置门禁或闸机、配置金属探测仪、保安等。
- (A.11.1.3)服务器禁止放在公众访问区域,应放入机房;机房等重要区域应选择在不显眼的区域,同时避免张贴相关提示语(如机房等);会议室玻璃窗应有遮挡物,避免会议信息泄密。
- 重要区域(如机房)应考虑火灾、水灾、地震等灾害的风险,并制定相应的保护措施。
- 重要的安全(生产车间、机房、研发部门等)应制定相应安全管理规范(如机房禁止带入食物和饮用水进入,车间禁止带入相机等摄录功能的设备等),规范内容必须对区域内的所有员工进行宣导和培训。
- 交接区一般指的是绿色区域,如前台、货物装卸区域等。通常由建筑物外进入该类型区域的访问仅限于以标识和已授权的人员,无论内部和外部人员进入,均无需额外申请授权,外部人员须填写访问记录; 虽然进入该类型区域不要求做额外的安全控制,但由该类型区域进入到红色和绿色安全区域访问需要进行控制,如前台进入办公区域(黄色区域)需要进行管控。
实施本控制应输出的文档:
- 《物理和环境安全管理规范》、重要区域相关安全管理规范。
- 厂区访客进出记录、车间访客进出记录、厂区和车间外来访客进入授权申请记录等。
本控制审核要点:
- 《物理和环境安全管理规范》是否有对物理区域进行分级管理。
- 厂区访问进入,是否有进行申请授权和登记。
- 重要区域(如机房、车间)外来人员进入是否有进行申请授权和登记。
- 车间是否配备保安、金属探测仪。出入口是否有摄像头等。
- 研发区域、工程部门是否有门禁。
- 交接区域通往黄色或红色区域的通道是否有做管控。
- 重要区域(如车间)是否存在未受管控的出入口(如消防门可以自由出入等)。
