信息技术设备物理与环境安全管理办法.docx
- 文档编号:25913943
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:13
- 大小:26.41KB
信息技术设备物理与环境安全管理办法.docx
《信息技术设备物理与环境安全管理办法.docx》由会员分享,可在线阅读,更多相关《信息技术设备物理与环境安全管理办法.docx(13页珍藏版)》请在冰豆网上搜索。
信息技术设备物理与环境安全管理办法
文件更改履历
Documentchanges
修订版本Revision
更 改 内 容
content
修订者Reviser
生效日期effectivedate
文 件 会 签 栏
DocumentSignature
修订版本Revision
品管部QCD
□
技术部TD
□
营销部MKT
□
物流部LogisticsD□
开发部DevelopD□
采购部PurchasingD□
管理部Management□
压铸部DieCastingD□
机加部MachineAdditionD□
财务部ACCD
□
A
编制:
preparedby:
审核:
Review:
批准:
Approved:
第一章总则Chapter1General
第一条目的:
为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
Article1Purpose:
Inordertomeettheneedsofthecompany'sphysicalandenvironmentalsafetymanagementandensurethenormaloperationofthecompany'sproductionandofficesystems,specialmanagementmeasuresareformulated.
第二条依据:
本管理办法根据《公司信息安全管理策略》制订。
Thesecondbasis:
Thismanagementapproachisbasedonthe“CompanyInformationSecurityManagementStrategy”.
第三条范围:
本管理办法适用于公司。
第二章基本要求ChapterIIBasicRequirements
第四条公司员工应根据公司运营需要对资产进行保护。
公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
Article4Theemployeesofthecompanyshallprotecttheassetsaccordingtotheoperationalneedsofthecompany.Thecompany’sassetprotectionrequirementsareachievedbycompletingthefollowinggoals:
(1)Ensurethatthephysicalandenvironmentalprotectionofallassetscanbeeffectivelycontrolledbythecompany.
(b)reducetheriskofunauthorizedaccesstoordamagetooraffectingassetscontrolledbythecompany.
(c)Preventingtheassetscontrolledbythecompanyfrombeingarbitrarilydeletedormoved.
第五条安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
Article5Safetycontrolmeasuresincludethefollowing:
(1)Actualsafetyandisolationmeasuresshallbesetuparoundtheinformationprocessingfacilitiesofthecompany'ssite(machineroom,office),suchastheaccesscontrolsystem.
(b)Safetyprecautionsforthebuildingentranceofthecompany.
(c)Protectiveequipmenttopreventfire,water,extremetemperature/humidity,dust,andelectricity.
(d)Equipmentmaintenance.
(e)Cleanupassets.
第三章安全区域ChapterIIISecurityZones
第六条公司的安全区域包括中心机房和敏感部门办公区域。
Article6Thecompany'ssecurityareasincludethecentralcomputerroomandsensitiveofficearea.
第七条安全区域的划分与管理参见《物理安全区域管理细则》。
Article7Thedivisionandmanagementofsecurityzonesarereferredtothe“ManagementRulesforPhysicalSecurityZones”.
第八条物理安全边界Article8PhysicalSecurityBoundary
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
Allpersonnelwhoenterthecompany'ssecurityzonemustbeauthorized.Personsotherthancompanyemployeesmustenterthecompany'ssecurityzonetoregisterforadifferentauthorizationcardorvisitorbadgebeforetheycanenter(holdingavalidcertificateandobtainingpermissionfromtherespondent).
第九条安全区域出入控制措施Article9AccessControlMeasuresforSafeAreas
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。
在所有安全区域的工作均应接受监督或监控。
(A)physicalcontrolmeasures
1.Theaccesscontrolsysteminthecomputerroommustbeenabled.Anybodymustswipethecardbeforeenteringthecomputerroom.
2.Accesstothecomputerroommustregisterthe“RoomRoomEntryandExitRegistrationForm”,recordthename,timeofentryandexit,cause,etc.;
3.Thecomputerroomthatwillnotbefrequentlyaccessedduringaperiodoftimeshouldbelocked.Whennecessary,theoperationandmaintenancepersonnelcanopentheworkandensurethattheofficeislockedaftertheofficeiscompleted.
4.Thecomputerroomshouldbeequippedwithclosed-circuittelevisionmonitoring.Workinallsafeareasshouldbesupervisedormonitored.
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(B)Contractingpartiesandthirdparties
1.Filloutthe"RegistrationFormforVisitors"atthemainentrancesandexits;
2.Wearatemporaryaccesscardorvisitorbadgeissuedbythecompanyinaprominentplace.
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;(C)Controlmeasuresofcompanystaff
1.Companystaffmustwearbadgesinconspicuousplaces;
2.Whenthecompanystaffistransferredfromthecompany,theiractualaccessrightsarealsocancelledaccordingly.
(四)审查访问
管理部IT应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(D)Reviewvisits
TheDepartmentofManagementITshallperiodically(everythreemonths)reviewthelistofpersonnelvisitingthecompany'scentralcomputerroomandremovethosewhohaveexpiredorvoidedtherightofentryandexitfromthelist.
(五)外部和环境威胁的安全防护
1、机房建设应符合GB9361中A类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。
大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
(E)Protectionagainstexternalandenvironmentalthreats
1.ThecomputerroomconstructionshouldmeettherequirementsofClassAsafetyequipmentroominGB9361;
2.Dangerousorflammablematerialsshouldbestoredatasafedistancefromthesafearea.Largequantitiesofsupplies(suchasstationery,etc.)shouldnotbestoredinsafeareas;
3.Thestoragelocationoftherecoveryequipmentandbackupmediashouldhaveasafedistancefromthemainsitetoavoidthedamagecausedbythedisasterofthemainsite;
4,shouldprovideappropriatefire-fightingequipment,andshouldbeplacedinasuitablelocation.
第一十条交接区安全Article10Securityinthehandoverarea
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
(1)Thecompanyshouldestablishahandoverareaandatthesametime:
1.Tosendgoodstothecompanymustnotifytheassetmanagerandinformationsecurityadministratoroftheasset'sdepartment;
2.Thenameanddeliverytimeofthedeliverycompanyshouldbeconfirmedbytheassetmanagerandinformationsecurityadministratorofthedepartmenttowhichthegoodsbelongbeforereceivingthegoods;
3,beforethedeliverycompanyentersthesafearea,itmustbeidentifiedandconfirmedbytherelevantpersonnelofthephysicalenvironmentauthority;
4.Assetmanagersandinformationsecurityadministratorsofthegoodsassetsdepartmentshouldcheckthegoodstoensurethattherearenopotentialhazards.
第四章设备安全ChapterIVEquipmentSafety
第一十一条设备安置与保护Article11EquipmentPlacementandProtection
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
(A)Thefollowingcontrolmeasuresshouldbeconsideredinthecompany:
1.Equipmentshouldbeproperlyplacedtominimizeunnecessaryaccesstotheworkarea;
2.Informationprocessingfacilitiesdealingwithsensitivedatashouldbeplacedinappropriaterestrictedobservationlocationstoreducetheriskofinformationbeingpeepedduringtheiruse,andstoragefacilitiesshouldbeprotectedagainstunauthorizedaccess;
3,requirespecialprotectioncomponentstobeisolatedtoreducetheoveralllevelofprotectionrequired;
4.Controlmeasuresshouldbetakentoreducetheriskofpotentialphysicalthreatssuchastheft,fire,explosion,smoke,water(orwatersupplyfailure),dust,vibration,chemicalinfluence,powerinterference,communicationinterference,electromagneticradiationandvandalism;
5.Guidelinesforeating,drinkingbeveragesandsmokingnearinformationprocessingfacilitiesshouldbeestablished;
6.Monitorenvironmentalconditions(suchastemperatureandhumidity)thatmaynegativelyaffecttheoperatingstatusofinformationprocessingfacilities;
7.Lightningprotectionshallbeappliedtoallbuildings,andallincomingpowerandcommunicationlinesshallbeequippedwithlightningprotectionfilters;
8,fortheequipmentintheindustrialenvironment,toconsidertheuseofspecialprotectionmethods,suchaskeyboardprotectionfilm;
9.Equipmentthathandlessensitiveinformationshouldbeprotectedtoreducetheriskofinformationleakageduetoradiation;extremelyimportantequipmentshouldbedeployedindifferentlocations.
第一十二条支持性设施Article12SupportFacilities
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。
支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。
应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(UPS)。
电源应急计划要包括UPS故障时要采取的措施。
如果电源故障延长,而处理要继续进行,则要考虑备份发电机。
应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。
UPS设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。
另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。
万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。
如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。
要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
(A)Thereshouldbesufficientsupportingfacilities(suchaselectricity,water,sewage,heating/ventilationandairconditioning)tosupportthesystem.Supportfacilitiesshouldberegularlyinspectedandproperlytestedtoensuretheirfunctionalityandreducetheriskduetotheirfailureorfailure.Theappropriatepowersupplyshouldbeprovidedaccordingtothedevicemanufacturer'sinstructions.
(B)Itisrecommendedtouseanuninterruptiblepowersupply(UPS)thatsupportsorderlyshutdownorcontinuousoperationfordevicesthatsupportcriticalbusinessoperations.Thepowercontingencyplanshouldincludemeasurestobe
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息技术 设备 物理 环境 安全管理 办法