服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27000认证咨询 > “A.11.1 安全区域”条款理解与应用
ISO27000认证:“A.11.1 安全区域”条款理解与应用
【标准条款】
A.11.1 安全区域
目的∶防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。
A.11.1.1 物理安全边界
应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域。
【理解与应用】
对于物理安全边界,若适合,考虑和实现如下内容∶
(1)确定安全边界,各个边界的设置地点和强度取决于边界内资产的安全要求和风险评估的结果;
(2)包含信息处理设施的建筑物或场地的边界在物理上是安全的(即,在边界或区域内不宜存在可能易于闯入的任何缺口);场所的房顶、墙和地板宜是坚固建筑,所有通往外部的门宜使用控制机制(例如,门闩、报警器、锁等)来适当保护,以防止未授权进入;无人看管的门和窗户要上锁,还要考虑窗户的外部保护,尤其是地面一层的窗户;
(3)设立人工接待区域或采用其他手段,控制实际进入场所或建筑物;宜限制只有授权的人员才能进入场所或建筑物;
(4)适用时,建立物理屏障以防止未授权进入和环境污染;
(5)根据相关标准,在安全边界的所有防火门及其墙体上,安装报警装置,并进行监事和测试,以建立所需的防卫水平;它们宜按我国消防规范安全运行。
(6)(按照我国标准,对所有的外部门窗安装适当的安防监测系统,并进行定期测试;宜一直警惕空闲区域;其他区域宜提供掩护方法,例如计算机室或通信室;
(7)组织管理的信息处理设施宜在物理上与外部方管理的设施分开。
【标准条款】
A.11.1.2 物理人口控制
安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。
【理解与应用】
需考虑如下内容∶
(1)记录访问者进入和离开的日期和时间,所有的访问者宜予以监督,除非他们的访问事前已经经过批准;只允许他们访问特定的、已授权的目的,并宜向他们宣布关于该区域的安全要求和应急规程的说明。来访者的身份宜通过适当的方式进行身份验证;
(2)宜通过实现适当的访问控制,来实现仅限于已授权人员才可访问处理或储存保密信息的区域,例如,可采用如门禁卡和秘密个人识别码的双因素鉴别机制;
(3)宜安全地维护和监视所有访问的纸质登记册或者电子审核踪迹;
(4)所有员工、合同方人员和外部人员以及所有访问者宜佩带某种形式的可视标识,如果遇到无人护送的访问者和未佩带可视标识的任何人宜立即通知保安人员。
(5)限制外部支持服务人员,仅当需要时才能访问安全区域或保密信息处理设施;这种访问宜被授权并受监视;
(6)对安全区域的访问权宜定期地予以评审和更新,并在必要时废除(见 A.9.2.5 用户访问权的评审、A.9.2.6访问权的移除或调整)。
【标准条款】
A.11.1.3 办公室,房间和设施的安全保护
应为办公室、房间和设施设计并采取物理安全措施。
【理解与应用】
保护办公室、房间和设施的安全,宜考虑如下内容∶
(1)关键设施的安置宜避免公众访问的场地;
(2)适用时,建筑物宜不引人注目,并且在建筑物内侧或外侧用不明显的标记给出其用途的最少指示,以标识信息处理活动的存在;
(3)宜配置设施以防保密信息或活动被外部可视或可听。适当时,也宜考虑电磁屏蔽。
(4)标识保密信息处理设施位置的目录和内部电话簿不要轻易被未授权的任何人得到。
【标准条款】
A. 11.1.4 外部和环境威胁的安全防护
应设计和应用物理保护以防自然灾害、恶意攻击和意外。
【理解与应用】
在如何避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏方面,宜征求专家建议。
【标准条款】
A. 11.1.5 在安全区域工作
应设计和应用安全区域工作规程。
【理解与应用】
宜考虑如下内容∶
(1)基于"须知"原则,员工宜仅知晓安全区域的存在或其中的活动;
(2)为了安全和减少恶意活动的机会,均宜避免在安全区域内进行不受监督的工作;
(3)未使用的安全区域宜上锁并定期予以评审;
(4)未经授权,不宜允许携带摄影、视频、音频或其他记录设备,例如移动设备中的照相机。
安全区域的工作安排包括对在安全区域工作的员工和外部用户的控制,控制要覆盖发生在安全区域内的所有活动。
【标准条款】
A. 11.1.6 交接区
访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。
【理解与应用】
宜考虑如下内容∶
(1)由建筑物外进入交接区的访问宜限于已标识的和已授权的人员;
(2)交接区宜设计为在交接人员无需访问建筑物的其他部分就能装卸物资;
(3)当内部门打开时,交接区外部门宜得到安全保护;
(4)运进的物资在搬离交接区之前,宜进行检查和检验是否存在爆炸物、化学品或者其他危险物质;
(5)运进的物资宜按照资产管理规程(见A.8资产管理)在场所入口处进行登记;
(6)如可能,运进和运出的货物宜在物理上予以隔离;
(7)宜检查运进的物资是否存在途中篡改,如有,宜立即向相关安全人员报告。
想了解更多的关于ISO27000认证信息可以经常关注我们
【相关文章】