ISO27001標(biāo)準(zhǔn)附錄“A.9物理和環(huán)境安全”解析

2019/3/8 15:22:01 次

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1　安全區(qū)域

　　【內(nèi)容解析】

　　組織周邊內(nèi)的場所應(yīng)成為受控的安全區(qū)域，在物理和環(huán)境上要有保障措施，防止外界的干擾和擅自進(jìn)入。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1.1　物理安全周邊

　　【內(nèi)容解析】

　　組織信息處理設(shè)施的周邊應(yīng)通過物理控制措施給予充分的保護(hù)，物理控制措施包括圍墻、欄桿、有人值守的入口、門禁和閉路電視等。至少信息處理系統(tǒng)和設(shè)施應(yīng)置于一個人員進(jìn)入受控的安全環(huán)境，最好使人員的進(jìn)出受監(jiān)視、有記錄、可審計。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1.2　物理入口控制

　　【內(nèi)容解析】

　　應(yīng)對進(jìn)入組織場所、工作區(qū)和安全區(qū)的入口設(shè)置物理控制(例如門禁)，以提供適當(dāng)?shù)谋Ｗo(hù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1.3　辦公室、房間和設(shè)施的安全保護(hù)

　　【內(nèi)容解析】

　　管理層應(yīng)識別場所、辦公室和組織設(shè)施的安全保護(hù)要求，并提供適當(dāng)?shù)奈锢砜刂票Ｗo(hù)。這些保護(hù)應(yīng)是多方面的，不僅僅是人員或物品的進(jìn)入控制，還包括視線、聲音和電波的隔離屏蔽。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1.4　外部和環(huán)境威脅的安全防護(hù)

　　【內(nèi)容解析】

　　為應(yīng)對人為和自然災(zāi)害的威脅，組織應(yīng)對其人員和重要資產(chǎn)提供充分而有效的物理保護(hù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1.5　在安全區(qū)域工作

　　【內(nèi)容解析】

　　組織基于特定業(yè)務(wù)的保密要求(如，關(guān)鍵技術(shù)開發(fā))或其他安全考慮(有些考慮可能與信息安全無關(guān)，如人員安全、新設(shè)備的儲存等)可在組織內(nèi)設(shè)立安全區(qū)，將人員、設(shè)施環(huán)境以及相關(guān)的信息和工作產(chǎn)出物在組織內(nèi)隔離。安全區(qū)通常應(yīng)配備更強(qiáng)的物理控制、受到監(jiān)視并具有審計能力。組織應(yīng)制定并發(fā)布在安全區(qū)工作的要求。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.1.6　公共訪問、交接區(qū)安全

　　【內(nèi)容解析】

　　組織應(yīng)明確劃定作為接待來訪、交付物品等的公共區(qū)域。公共區(qū)域應(yīng)受到物理控制和監(jiān)視。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2　設(shè)備安全

　　【內(nèi)容解析】

　　對網(wǎng)絡(luò)和計算機(jī)相關(guān)的設(shè)備需加以保護(hù)，防止環(huán)境上和物理上損壞，包括人為的破壞、盜竊及失誤等行為。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2.1　設(shè)備安置和保護(hù)

　　【內(nèi)容解析】

　　這一控制措施的目的旨在保護(hù)網(wǎng)絡(luò)和計算機(jī)設(shè)備免遭可能存在于組織內(nèi)的環(huán)境和物理威脅。環(huán)境威脅包括溫度、濕度、雷電等，物理威脅包括粉塵、振動、各類干擾和輻射等。

　　ISO27001信息管理安全體系認(rèn)證標(biāo)準(zhǔn)附錄 A.9.2.2　支持性設(shè)施

　　【內(nèi)容解析】

　　支持性設(shè)施包括供電、供水、排污、通風(fēng)、溫/濕度調(diào)節(jié)設(shè)備等。這些設(shè)施的故障會對信息處理設(shè)施的正常運行產(chǎn)生影響。

　　組織應(yīng)對支持性設(shè)施的運行和維護(hù)提供保障，避免電力中斷和其他支持性設(shè)施的失效，以保護(hù)信息處理設(shè)施和業(yè)務(wù)運行。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2.3　布纜安全

　　【內(nèi)容解析】

　　網(wǎng)絡(luò)和通信線纜應(yīng)受到保護(hù)，避免受到自然和人為的損壞。通常網(wǎng)絡(luò)和通信線纜在布線的設(shè)計和施工中都有相關(guān)的質(zhì)量監(jiān)管;但在組織日常的運營中針對臨時拉線、無人照管的外部接線以及網(wǎng)絡(luò)和通信端口的未經(jīng)授權(quán)的使用應(yīng)有相關(guān)的管理措施。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2.4　設(shè)備維護(hù)

　　【內(nèi)容解析】

　　信息處理設(shè)施中的關(guān)鍵系統(tǒng)和主機(jī)應(yīng)按照制造商的指南加以維護(hù)確保對授權(quán)用戶的可用性。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2.5　組織場所外的設(shè)備安全

　　【內(nèi)容解析】

　　組織應(yīng)基于風(fēng)險評估，對工作運行在組織場所外的設(shè)備采取安全保護(hù)措施。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2.6　設(shè)備的安全處置或再利用

　　【內(nèi)容解析】

　　對含有儲存介質(zhì)的任何類型的計算裝置和系統(tǒng)在對其處理或再利用前都應(yīng)確保刪除其中的敏感信息和注冊軟件。

　　ISO27001標(biāo)準(zhǔn)附錄 A.9.2.7　資產(chǎn)的移動

　　【內(nèi)容解析】

　　未經(jīng)授權(quán)的包含有組織信息和數(shù)據(jù)的計算裝置、軟件或其他設(shè)備都不應(yīng)帶出組織的場所。

　　在認(rèn)證領(lǐng)域內(nèi)，立標(biāo)顧問擁有的審核團(tuán)隊，其中大多數(shù)審核員擁有多標(biāo)準(zhǔn)資質(zhì)。這一龐大的多技能審核員隊伍意味著立標(biāo)能夠同時在全國不同的地點處理多標(biāo)準(zhǔn)審核，加快合規(guī)保證過程，使您的項目無憂管理。