物理访问控制管理办法.docx

风险评估和风险管理程序 百马出行公司物理访问控制管理制度编号：密级：内部编制： 年 月 日审核： 年 月 日批准： 年 月 日发布日期： 年 月 日实施日期： 年 月 日分发人： 分发号：受控状态： 受控 非受控 版本修订人审核人批准人生效日期备注V1.0刘鹏何清熊小苹2018-06-29新建版本及修订历史目 录1目的42适用范围44 安全管理规定44.1 办公区域的安全44.1.1 物理安全边界和人口控制44.1.2 组织办公区域44.1.3 外部和环境威胁的安全防护44.1.4 安全区域54.1.5 公共访问交接区54.2 设备的安全54.2.1 内部设备64.2.2 外部设备64.2.3 维护和修理84.2.4 设备的废弃84.2.5 个人设备的使用94.2.6 布线的安全94.2.7 支持性设施的安全95 附件105.1 组织出入登记表105.2 百马出行设备申请表101 目的为防止组织办公区域因遭到未授权的访问而可能造成资产的丢失、损坏、不正当访问等的发生，规范办公区域中各个特殊物理区域和信息设备的管理，特制定本规定。2 适用范围本规定适用于组织所有办公区域和设备的管理。4 安全管理规定4.1 办公区域的安全4.1.1 物理安全边界和入口控制公司应在出公司入口设立前台接待，对外来人员进行身份核实，并记录下外来人员身份信息、联系电话、接待人、时间等详细情况。4.1.2 组织办公区域组织办公区域必须具备如下条件：a) 有相应的防火、防盗措施；b) 办公区域内的明显位置须张贴逃生通道示意图；c) 设置门禁系统，防止未授权人员的进入；d) 重要设备应该单独设立安全区并建立相应制度。4.1.3 外部和环境威胁的安全防护为防止火灾的发生，办公区域内应禁止乱堆乱放纸箱、废纸等易燃品，配备灭火器，以被在发生火灾时应急使用。4.1.4 安全区域4.1.4.1 机房的规定a) 服务器和关键系统网络设备应存放在机房或专门的地点；b) 任何无关人员不得随意进入机房；c) 机房管理员进入机房后应遵守机房管理指南；d) 机房的温度应在2125之间，同时要保持干燥、防尘、防火，并具备一定的防盗措施。关于机房具体的管理规则请参见机房管理指南。4.1.5 公共访问交接区对于来访的客人，前台人员必须确认其在组织内的联系人，不允许客人自行进入办公区域，对于不能确认组织人员姓名和电话的，应询问对方的来由。对于组织以外人员，包括承包组织人员、邮/快递人员、送货人员、维修人员、保洁人员等在进入组织办公室场所时必须遵循以下方面的要求：a) 未授权的组织以外人员仅限进入组织指定的等候区，临时来访客人可以在组织内部人员带领下到会客区。b) 如需进入组织办公场所需要在前台填写组织出入登记表，经审核且授权后方可进入，且需要组织接待人全程陪同；c) 外来物资、货物需要经过确认，无安全隐患方可运送到使用地点；d) 组织以外人员需带出物资设备时，需申请出门许可。注：前台人员不再离岗时，就近员工进行对应。4.2 设备的安全综合部必须为每件信息设备（以下简称“设备”）指定设备负责人，这些包括但不局限于桌面电脑、服务器、笔记本电脑和通信设备。设备负责人的责任包括：将设备置于安全的设施中；采取必要的措施，尽量保持设备使用环境的安全；通过提供必要的维护并对设备采取必要的安全措施使设备处于正常状态，以及掌握设备当前的使用者和设备的运行情况。4.2.1 内部设备4.2.1.1 设备的授权使用除指定设备负责人、指定设备运维人员外，其他人要使用、领用信息设备资源时，需要填写信息设备申请表，经过申请、授权方可使用。4.2.1.2 关键设备生成、存储、处理或传输组织受限信息的设备，包括服务器，以及通信设备的设备负责人必须将它们安放在机房、专用机柜或其他安全区域，以防止对该设备的破坏和非法侵入。此类设备不能在连接组织内部网的同时，通过ADSL、ISDN等方式连接互联网，如有特殊技术需求，须由技术部负责人审批，才可以介入互联网。管理者需指定个人计算机外其他设备负责人，负责人必须实施对此设备的安全管理，以防止因管理疏忽而导致丢失、非法入侵。4.2.1.3 无人值守计算机当与组织网络系统连接或包含组织受限信息的客户端计算机无人值守时，全体人员有对计算机采用安全防护措施的义务，如利用口令保护。不得把个人电脑留在无人值守的公共场所(如会议室等)，但公共场所电脑除外。公共场所所用电脑另行规定。4.2.1.4 带出设备的授权管理未经授权，不得将公司的信息设备如笔记本电脑、桌面电脑、U盘及移动硬盘等带出组织；如需带出请参考相关规定执行。4.2.2 外部设备4.2.2.1 在组织外安装的设备当在组织范围外安装组织的计算机网络设备时，设备负责人必须对他们的设备执行等同于组织内设备的安全防护措施。4.2.2.2 在组织外使用设备a) 信息设备如笔记本电脑、存储介质以及存有组织受限信息的介质带出组织时，应物理加锁或放置在安全的地点，任何时刻都必须处于使用者的控制之下；b) 为了防止因带出的信息设备如笔记本电脑、桌面电脑等遗失或失窃而导致信息泄露，必须进行BIOS口令验证、OS登录验证、对硬盘或保存信息的文件夹进行加密、取消共享文件夹等安全设置。采用口令的要求必须满足密码管理制度的相关规定；c) 通过其他存储介质(U盘、移动硬盘等)带出信息时，须采取加密或密码保护等必要的安全措施；d) 将口令和其他信息设备分开保管，不要保存在容易泄露给其他人员的地方，不要记录在纸上；e) 如果信息设备或存有其他重要信息的介质丢失或被窃，其使用者必须立即向信息安全领导小组报告；f) 如果要寄送包含信息的物理介质，例如组织的产品光盘，需要使用与组织签署合作协力(包含相关的信息安全条款)的物流组织，介质必须使用防篡改的包装。4.2.2.3 与组织网络的链接在远程办公或在其他组织外地点与组织内部网络连接时，必须使用组织指定的连接方法。4.2.2.4 设备的返回当在组织外使用的设备返回到组织使用时或新设备购入时，必须通过病毒防护软件或其他有效方法检查以保证该设备不存在病毒。如果发现其被病毒感染，设备使用人员必须采取恰当的对策来根除病毒。被病毒感染的设备在无法确定安全前不得接入组织网络使用。组织外使用的设备返回到组织使用时，设备负责人还须填写信息设备借用登记表。4.2.3 维护和修理4.2.3.1 阶段性维护设备负责人必须根据需要，通过维护服务、阶段性预防维护和其他必要的措施，负责使其保管的设备保持正常工作状态。所有的维护必须以使设备尽可能达到的最佳运行方式为目的。机房管理人员需定期对网络设备及服务器进行巡检，每次巡检结束后需填写机房巡检表，发现任何问题需按照机房管理指南中提到的要求对网络设备及服务器进行维护处理。4.2.3.2 安全防护措施当设备需要维护或维修时，其设备负责人必须采取必要的安全措施来保护在设备中存储的受限信息。最低的要求是维护或维修前删除受限信息(删除受限信息前需确认是否需要进行备份操作)。当需要将维护或修理工作委托给第三方进行时，必须对设备采取设当的安全防护措施。4.2.3.3 计算机和信息系统的远程诊断和配置端口的保护对于组织重要服务器和信息系统，只能由组织指定的管理人员才能使用远程诊断和配置端口对设备和信息系统进行诊断和配置，其他人员无权实施。组织重要服务器和信息系统应放置到机房，以实现对远程诊断和配置端口实施物理隔离方式的保护，使其他人员不能在物理上和逻辑上访问这些端口。4.2.4 设备的废弃对设备的废弃，由设备负责人向技术部提交信息设备申请表，经技术部批准后，并填写信息设备申请表，报综合部备案后实施。当设备需要废弃时，设备负责人必须保证如硬盘这样的内置存储设备被实际销毁或设备上存储的数据被完全清除。可使用专门的清除工具，对如硬盘存储的数据进行完全清除。4.2.5 个人设备的使用严禁在组织内，利用个人拥有的存储设备或网络通信设备等处理、操作任何归属组织的信息。同时也禁止将个人拥有的设备接入组织的内部网。4.2.6 布线的安全技术部在制定布线方案时必须考虑：a) 电源与通信线路原则上都应铺在地下，网线应使用电缆管道；b) 电源线与通信线加以隔离；c) 电源线路和设备清楚加以标记；d) 电源线路使用规范化的配线方案。4.2.7 支持性设施的安全技术部应建立电源管理体制，包括：a) 停电、来电的提前通知；b) 定期电源检查；c) 工作负载检查；d) 对于重要设备要有停电的紧急应对方法，如采用UPS。此外，还应定期检查其他支持性设施，例如洪水、排污、空调等，以避免由于支持性设施的失效而引起系统中断。5 附件5.1 组织出入登记表日期姓名访问原因进入时间联系方式返回时间5.2 信息设备申请表记录表号： 记录顺序号：申请人申请日期使用人申请类型使用 领用 销毁 丢失型号编号类型台式电脑 笔记本电脑 U盘 服务器 其他 名称(型号)使用期间或丢失、作废时间自 开始至 结束（借用时填写） （丢失、作废时填写）使用或丢失场所单位 家庭 其他 借用的目的或丢失、作废的原因备注审核人意见 签名： 日期： 年 月 日批准人意见 签名： 日期： 年 月 日5.3 信息设备借用登记表序号设备名称借用人姓名借用时间联系方式返回时间备注5.4 机房巡检表机房环境检查项检查结论