搜索
ISO27001信息安全体系培训控制目标和控制措施(条款A9-物理与环境安全)2009年11月董翼枫(dongyifeng78@hotmail.com)ISO27001培训系列V1.0-1-条款A9物理和环境安全A9.1安全区域目标:防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息处理设施要放置在安全区域内,并受到确定的安全边界的保护,包括适当的安全屏障和入口控制。这些设施要在物理上避免未授权访问、损坏和干扰。所提供的保护要与所识别的风险相匹配。-2--3-A9.1.1物理安全周边控制措施应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。-4-A9.1.1物理安全周边实施指南对于物理安全边界,若合适,下列指南应予以考虑和实施:a)安全边界应清晰地予以定义,各个边界的设置地点和强度取决于边界内资产的安全要求和风险评估的结果;b)包含信息处理设施的建筑物或场地的边界应在物理上是安全的(即,在边界或区域内不应存在可能易于闯入的任何缺口);场所的外墙应是坚固结构,所有外部的门要使用控制机制来适当保护,以防止未授权进入,例如,门闩、报警器、锁等;无人看管的门和窗户应上锁,还要考虑窗户的外部保护,尤其是地面一层的窗户;c)对场所或建筑物的物理访问手段要到位(如有人管理的接待区域或其他控制);进入场所或建筑物应仅限于已授权人员;d)如果可行,应建立物理屏障以防止未授权进入和环境污染;e)安全边界的所有防火门应可发出报警信号、被监视并经过检验,和墙一起按照合适的地方、国内和国际标准建立所需的防卫级别;他们应使用故障保护方式按照当地防火规则来运行。f)应按照地方、国内和国际标准建立适当的入侵检测系统,并定期检测以覆盖所有的外部门窗;要一直警惕空闲区域;其他区域要提供掩护方法,例如计算机室或通信室;g)组织管理的信息处理设施应在物理上与第三方管理的设施分开。-5-A9.1.2物理入口控制控制措施安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。-6-A9.1.2物理入口控制实施指南下列指南应予以考虑:a)记录访问者进入和离开的日期和时间,所有的访问者要予以监督,除非他们的访问事前已经经过批准;只能允许他们访问特定的、已授权的目标,并要向他们宣布关于该区域的安全要求和应急程序的说明。b)访问处理敏感信息或储存敏感信息的区域要受到控制,并且仅限于已授权的人员;认证控制(例如,访问控制卡加个人识别号)应用于授权和确认所有访问;所有访问的审核踪迹要安全地加以维护。c)所有雇员、承包方人员和第三方人员以及所有访问者要佩带某种形式的可视标识,如果遇到无人护送的访问者和未佩带可视标识的任何人应立即通知保安人员。d)第三方支持服务人员只有在需要时才能有限制的访问安全区域或敏感信息处理设施;这种访问应被授权并受监视;e)对安全区域的访问权要定期地予以评审和更新,并在需要时废除(见A8.3.3)。-7-A9.1.3办公室、房间和设施的安全保护控制措施应为办公室、房间和设施设计并采取物理安全措施。实施指南应考虑下列指南以保护办公室、房间和设施:a)相关的健康和安全法规、标准要考虑在内;b)关键设施应坐落在可避免公众进行访问的场地;c)如果可行,建筑物要不引人注目,并且在建筑物内侧或外侧用不明显的标记给出其用途的最少指示,以标识信息处理活动的存在;d)标识敏感信息处理设施位置的目录和内部电话簿不要轻易被公众得到。-8-A9.1.4外部和环境威胁的安全防护控制措施为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。实施指南要考虑任何邻近区域所带来的安全威胁,例如,邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸。要避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏,应考虑以下因素:a)危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具)不应存放于安全区域内;b)备份设备和备份介质的存放地点应与主要场所有一段安全的距离,以避免影响主要场所的灾难产生的破坏;c)应提供适当的灭火设备,并应放在合适的地点。-9-A9.1.5在安全区域工作控制措施应设计和运用用于安全区域工作的物理保护和指南。实施指南下列指南应予以考虑:a)只在有必要知道的基础上,员工才应知道安全区域的存在或其中的活动;b)为了安全原因和减少恶意活动的机会,均应避免在安全区域内进行不受监督的工作;c)未使用的安全区域在物理上要上锁并周期地予以检查;d)除非授权,不允许携带摄影、视频、声频或其他记录设备,例如移动设备中的照相机。在安全区域工作的安排包括对工作在安全区域内的雇员、承包方人员和第三方人员的控制,以及对其他发生在安全区域的第三方活动的控制。-10-A9.1.6公共访问、交接区安全控制措施访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。实施指南下列指南应予以考虑:a)由建筑物外进入交接区的访问应局限于已标识的和已授权的人员;b)交接区应设计成在无需交货人员获得对本建筑物其他部分的访问权的情况下就能卸下物资;c)当内部的门打开时,交接区的外部门应得到安全保护;d)在进来的物资从交接区运到使用地点之前,要检查是否存在潜在威胁(见A9.2.1));e)进来的物资应按照资产管理程序(见A7.1.1)在场所的入口处进行登记;f)如果可能,进入和外出的货物应在物理上予以隔离。A9.2设备安全目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。应保护设备免受物理的和环境的威胁。对设备(包括离开组织使用和财产移动)的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的。这样做还要考虑设备安置和处置。可能需要专门的控制用来防止物理威胁以及保护支持性设施,诸如供电和电缆设施。-11--12-A9.2.1设备安置和保护控制措施应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。-13-A9.2.1设备安置和保护实施指南下列指南应予以考虑以保护设备:a)设备应进行适当安置,以尽量减少不必要的对工作区域的访问;b)应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;c)要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;d)应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;e)应建立在信息处理设施附近进食、喝饮料和抽烟的指南;f)对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;g)所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;h)对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;i)应保护处理敏感信息的设备,以最小化因辐射而导致信息泄露的风险;-14-A9.2.2支持性设施控制措施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。-15-A9.2.2支持性设施实施指南应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(UPS)。电源应急计划要包括UPS故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。UPS设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。-16-A9.2.3布缆安全控制措施应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。-17-A9.2.3布缆安全实施指南布缆安全的下列指南应予以考虑:a)进入信息处理设施的电源和通信线路宜在地下,若可能,提供足够的可替换的保护;b)网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;c)为了防止干扰,电源电缆要与通信电缆分开;d)使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;e)使用文件化配线列表减少失误的可能性;f)对于敏感的或关键的系统,更进一步的控制考虑应包括:①在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;②使用可替换的路由选择和/或传输介质,以提供适当的安全措施;③使用纤维光缆;④使用电磁防辐射装置保护电缆;⑤对于电缆连接的未授权装置要主动实施技术清除、物理检查;⑥控制对配线盘和电缆室的访问;-18-A9.2.4设备维护控制措施设备应予以正确地维护,以确保其持续的可用性和完整性。实施指南设备维护的下列指南应予以考虑:a)要按照供应商推荐的服务时间间隔和规范对设备进行维护;b)只有已授权的维护人员才可对设备进行修理和服务;c)要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录;d)当对设备安排维护时,应实施适当的控制,要考虑维护是由场所内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;e)应遵守由保险策略所施加的所有要求。-19-A9.2.5组织场所外的设备安全控制措施应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。实施指南无论责任人是谁,在组织场所外使用任何信息处理设备都要通过管理者授权。离开办公场所的设备的保护应考虑下列指南:a)离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;b)制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;c)家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;d)足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。-20-A9.2.6设备的安全处置和再利用控制措施包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。实施指南包含敏感信息的设备在物理上应予以摧毁,或者采用使原始信息不可获取的技术破坏、删除、覆盖信息,而不能采用标准的删除或格式化功能。其它信息包含敏感信息的已损坏的设备可能需要实施风险评估,以确定这些设备是否要进行销毁、而不是送去修理或丢弃。信息可能通过对设备的草率处置或重用而被泄漏(见A10.7.2)。-21-A9.2.7资产的移动控制措施设备、信息或软件在授权之前不应带出组织场所。实施指南下列指南应予以考虑:a)在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;b)应明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;c)应设置设备移动的时间限制,并在返还时执行符合性检查;d)若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。其它信息应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入