网络信息物理和环境安全制度

网络信息物理和环境安全制度网络信息物理和环境安全制度8.1安全区域8.1.1物理安全边界第55条在公司的物理环境里，应该对需要保护的区域根据其重要性划分为不同的安全区域。特别是有重要设备的安全区域（比如机房）应该部署相应的物理安全控制。第56条在机房的统一入口处必须设立有专人值守的接待区域，在特别重要的安全区域也应该设立类似的接待区域。第57条在非办公时间内，重要的安全区域必须安排保安定时巡视。任何时候，机房必须至少有一位保安值班。保安值班表应最少每月调整一次。8.1.2安全区域访问控制第58条在非办公时间，所有进入安全区域的入口都应该受到控制，比如实施电子门禁或者上锁。任何时候，重要安全区域的所有出入口必须受到严格的访问控制，确保只有授权的员工才可以进入此区域。第59条对于设有访问控制的安全区域，必须定期审核并及时更新其访问权限。所有员工都必须佩戴一个身份识别通行证，有责任确保通行证的安全并不得转借他人。员工离职时必须交还通行证，同时取消其所有访问权限。第60条所有来宾的有关资料都必须详细记载在来宾进出登记表中，并向获准进入的来宾发放来宾通行证。同时，必须有相应的程序以确保回收所发放的来宾通行证。来宾进出登记表必须至少保留1年，记录内容应包括但不限于：1)来宾姓名2)来宾身份3)来宾工作单位4)来访事由5)负责接待的员工6)来宾通行证号码7)进入的日期和时间8)离开的日期和时间网络信息物理和环境安全制度全文共4页，当前为第1页。8.1.3办公场所和设施安全网络信息物理和环境安全制度全文共4页，当前为第1页。第61条放臵敏感或重要设备的区域（例如机房）应尽量不引人注目，给外面的信息应尽量最少，不应该有明显的标志指明敏感区域的所在位臵和用途。这些区域还应该被给予相应的保护，保护措施包括但不限于：1)所有出入口必须安装物理访问控制措施2)使用来宾登记表以便记录来访信息3)严禁吸烟第62条必须对支持关键性业务活动的设备提供足够的物理访问控制。所有安全区域和出入口必须通过闭路电视进行监控。普通会议室或其它公众场合必须与安全区域隔离开来。无人值守的时候，办公区中的信息处理设备必须从物理上进行保护。门和窗户必须锁好。8.1.4防范外部和环境威胁第63条办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难，并采取额外的控制措施加以保护。第64条机房必须增加额外的物理控制，选取的场地应尽量安全，并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。第65条机房建设必须符合国标GB2887-89《计算机场地技术条件》和GB9361-88《计算站场地安全要求》中的要求。第66条机房的消防措施必须满足以下要求：1)必须安装消防设备，并定期检查。2)应该指定消防指挥员。3)机房内严禁存放易燃材料，每周例行检查一次。4)必须安装烟感及其他火警探测器和灭火装臵。应每季度定期检查这些装备，确保它们能有效运作。5)必须在明显位臵张贴火灾逃生路线图、灭火设备平面放臵图以及安全出口的位臵。6)安全出口必须有明显标识。7)应该训练员工熟悉使用消防设施。8)紧急事件发生时必须提供紧急照明。9)所有疏散路线都必须时刻保持通畅。10)必须保证防火门在火灾发生时能够开启。网络信息物理和环境安全制度全文共4页，当前为第2页。11)每年应至少举行一次火灾撤离演习，使工作人员熟知火灾撤离的过程。网络信息物理和环境安全制度全文共4页，当前为第2页。8.1.5在安全区域工作第67条员工进入机房的访问授权，不能超过其工作所需的范围。必须定期检查访问权限的分配并及时更新。机房的访问权限应不同于进入大楼其它区域的权限。第68条所有需要进入机房的来宾都必须提前申请。必须维护和及时更新来宾记录，以掌握来宾进入机房的详细情况。记录中应详细说明来宾的姓名、进入与离开的日期与时间，申请者以及进入的原因。机房来宾记录至少保存一年。来宾必须得到明确许可后，在专人陪同下才能进入机房。第69条机房的保护应在专家的指导下进行，必须安装合适的安全防护和检测装臵。机房内严禁吸烟、饮食和拍摄。8.1.6机房操作日志第70条必须记录机房管理员的操作行为，以便其行为可以追踪。操作记录必须备份和维护并妥善保管，防止被破坏。第71条在机房值班人员交接时，上一班值班人员所遗留的问题以及从事的工作应明确交待给下一班，保证相关操作的延续性。8.2设备安全8.2.1设备的安置及保护第72条必须对设备实施安全控制，以减少环境危害和非法的访问。应该考虑的因素包括但不限于：1)水、火2)烟雾、灰尘3)震动4)化学效应5)电源干扰、电磁辐射第73条设备必须放臵在远离水灾的地方，并根据需要考虑安装漏水警报系统。应急开关如电闸、煤气开关和水闸等都必须清楚地做好标识，并且能容易访问。设备都应该装有合适的漏电保险丝或断路器进行保护。放臵设备的区域必须满足厂商提供的设备环境要求。设备的操作必须遵守厂商提供的操作规范。通信线路和电缆必须从物理上进行保护。8.2.2支持设施网络信息物理和环境安全制度全文共4页，当前为第3页。支持设施能够支持物理场所、设备等的正常运作，比如：电力设施、空调、排水设施、消防设施、静电保护设施等。必须采取保护措施使设备免受电源故障或电力异常的破坏。必须验证电力供应是否满足厂商设备对电源的要求。每年应至少对支持设施进行一次安全检查。工作环境中增加新设备时，必须对电力、空调、地板等支持设施的负荷进行审核。必须设臵后备电源，例如不间断电源（UPS）或发电机。对需要配备后备电源的设备装臵进行审核，确保后备电源能够满足这些设备的正常工作。每年必须至少对备用电源/进行一次测试。应急电源开关应位于机房的紧急出口附近，以便紧急状况发生时可以迅速切断电源。电缆应根据供电电压和频率的不同而相互隔离。所有电缆都应带有标签，标签上的编码应记录归档。电缆应从物理上加以保护。网络信息物理和环境安全制度全文共4页，当前为第3页。8.2.3设备维护第75条所有生产设备必须有足够的维护保障，关键设备必须提供7x24的现场维护支持。所有生产设备必须定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。如果设备需要搬离安全区域进行修理，必须获得批准并卸载其存储介质。第76条必须建立设备故障报告流程。对于需要进行重大维修的设备，流程还应该包含设备检修的报告，及换用备用设备的流程。8.2.4管辖区域外设备安全第77条笔记本电脑用户必须保护好笔记本电脑的安全，防止笔记本电脑损坏或被偷窃。第78条如果将设备带出公司，设备拥有者必须亲自或指定专人保护设备的安全。设备拥有者必须对设备在公司场所外的安全负责。8.2.5设备的安全处理或再利用