信息安全策略-物理访问策略.doc

密级等级：敏感 受控状态：受控 文件编号： XX_A_04_06_2009.12 物 理 访 问 策 略 Ver 1.0 2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表 版本号 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 发布日期/ 实施日期 分发编号 V1.0 2009/12/30 2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录 序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10 本标准XX_A_04_06_2009.12 本标准依据ISO/IEC 27001：2005信息安全管理体系-要求编写。 本标准由XXXX有限公司提出起草 本标准主要起草人：XXX 本标准于2009年12月30日首次发布2009年12月30日XX_A_04_06_2009.12 介绍 技术支持人员、安全管理员、系统管理员以及其他人员可能因工作需要访问信息资源物理设施。对信息资源设施物理访问的批准、控制以及监控对于全局的安全是极其重要的。 目 的 该策略的目的是为信息资源设施物理访问的批准、控制、监控和删除建立规则。 适用范围 该策略适用于组织中负责信息资源安装和支持的所有人员，负责信息资源安全的人员以及数据的所有者。 术语定义 略 物理 访问 策略 所有物理安全系统必须符合相应的法规，但不仅限于建设法规以及消防法规； 对所有受限制的信息资源设施的物理访问必须形成文件并进行控制； 所有信息资源设施必须依据其功能的关键程度或重要程度进行物理保护； 对信息资源设施的访问必须只授权给因职责需要访问设施的支持人员和合同方； 授权使用卡和 / 或钥匙访问信息资源设施的过程中必须包括设施负责人的批准； 拥有信息资源设施访问权的每一个人员都必须接受设施应急程序培训，并且必须签署相应的访问和不泄密协议； 访问请求必须发自相应的数据 / 系统所有者； 访问卡和 / 或钥匙不可以与他人共享或借给他人； 访问卡和 / 或钥匙不需要时必须退还给信息资源设施负责人。在退还的过程中，卡不可以再分配给另一个人； 访问卡和 / 或钥匙丢失或被盗必须向信息资源设施的负责人报告； 卡和 / 或钥匙上除了退回的地址外不可以有标志性信息； 所有允许来宾访问的信息资源设施都必须使用签字出 / 入记录来追踪来宾的访问； 信息资源设施的持卡访问记录以及来宾记录必须保存，并依据被保护信息资源的关键程度定期评审； 在持卡和 / 或钥匙的人员发生变化或离职时，信息资源设施的负责人必须删除其访问权限； 在信息资源设施的持卡访问区，来宾必须由专人陪同； 信息资源设施的负责人必须定期评审访问记录以及来宾记录，并要对异常访问进行调查； 信息资源设施的负责人必须定期评审卡和 / 或钥匙访问权，并删除不再需要访问的人员的权限； 对限制访问的房间和场所必须进行标记，但是描述其重要性的信息应尽可能少。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 引用标准 略 XXXX有限公司 XX_A_04_06_2009.12 物理访问策略 第 2 页 共 4 页 XXXX有限公司 .