ISMS-3008信息技术设备物理与环境安全管理规定.doc

深圳市首品精密模型有限公司 信息技术设备物理与环境安全管理规定 文件编号:ISMS-3008 编 制 审 核 批 准  变更履历 序序号 版本编号或更改记录编号 简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期 1 A/0 初始发行 - - - - 2016-8-5  第一章 总则 目的：为了适应公司物理与环境安全管理的需要，保障公司生产和办公系统的正常运行，特制定本管理办法。 依据：本管理办法根据《信息安全管理策略》制订。 范围：本适用于公司。 公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现： （一）确保所有资产的物理和环境保护能得到公司的有效控制。 （二）减少擅自访问或损坏或影响公司控制的资产的风险。 （三）防止公司控制的资产被人擅自删除或移动。 安全控制措施包括以下各项： （一）公司的场地（机房、办公室）的信息处理设施周围设置实际安全隔离措施，如门禁系统等。 （二）公司的大楼入口安全防范措施。 （三）防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。 （四）设备维护。 （五）清理资产。 第三章 安全区域 公司的安全区域包括中心机房和敏感部门办公区域。 安全区域的划分与管理参见《物理安全区域管理细则》。 物理安全边界 所有进入公司安全区域的人员都需经过授权，公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入（持有效证件，得到被访者允许）。 安全区域出入控制措施 （一）物理控制措施 1、机房的门禁系统必须启用，任何人都必须刷卡后才可进入机房； 2、出入机房必须登记《机房出入登记表》，记录姓名、出入时间、事由等； 3、一段时间内不会频繁进入的机房应上锁，需要时由运维人员开启进入工作，并确保办公完成后锁好； 4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。 （二）合同方及第三方 1、要在主要出入口处填写《来访人员登记表》； 2、在显眼处佩戴公司发出的临时出入卡或访客证。 （三）公司工作人员的控制措施 1、公司工作人员都必须在显眼处佩带胸卡； 2、公司工作人员调离公司时，其实际进入权也同时相应取消； （四）审查访问 信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。 （五）外部和环境威胁的安全防护 1、机房建设应符合GB 9361中A类安全机房的要求； 2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品（例如文具等）不应存放于安全区域内； 3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离，以避免影响主场地的灾难产生的破坏； 4、应提供适当的灭火设备，并应放在合适的地点。 交接区安全 （一）公司应设立交接区，同时： 1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员； 2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认； 3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认； 4、货物资产所属部门的资产管理员和信息安全管理员应检验货物，以保证没有潜在的危害。 第四章 设备安全 设备安置与保护 （一）公司中应考虑以下控制措施： 1、设备应进行适当安置，以尽量减少不必要的对工作区域的访问； 2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问； 3、要求专门保护的部件要予以隔离，以降低所要求的总体保护等级； 4、应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏； 5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南； 6、对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视； 7、所有建筑物都应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器； 8、对于工业环境中的设备，要考虑使用专门的保护方法，例如键盘保护膜； 9、应保护处理敏感信息的设备，以减少由于辐射而导致信息泄露的风险；极其重要设备应部署在不同位置。 支持性设施 （一）应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）来支持系