10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > “A.11.2 设备”条款理解与应用ISO27001标准:“A.11.2 设备”条款理解与应用
【标准条款】
A.11.2 设备
目的:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
A.1.2.1 设备安置和保护
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
【理解与应用】
为保护设备,宜考虑如下内容∶
(1)设备宜进行适当安置,以尽量减少不必要的对工作区域的访问;
(2)宜谨慎放置处理敏感数据的信息处理设施,以减少其在使用期间信息被未授权人员窥视的风险;
(3)宜保护存储设施以防止未授权访问;
(4)宜保证那些需要特别保护的部件是安全的,以降低所要求的总体保护等级;
(5)宜采取控制以最小化潜在的物理和环境威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
(6)宜建立在信息处理设施附近饮食和吸烟的规定;
(7)宜监视可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度);
(8)所有建筑物都宜采用避雷保护,所有接入的电源和通信线路都宜装配雷电保护过滤器;
(9)对于工业环境中的设备,宜考虑使用专门的保护方法,例如键盘保护膜;
(10)宜保护处理保密信息的设备,以最小化因辐射而导致信息泄露的风险。
【标准条款】
A.11.2. 2 支持性设施
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
【理解与应用】
支持性设施(如电力、电信、供水、燃气、排污、通风和空调)宜∶
(1)符合设备制造商规范及本地相关法律要求;
(2)定期评估其能力以满足业务增长的需要并保持与其他支持设施的交互;
(3)定期检查和测试确保其功能正常;
(4)如需要,报警以检测故障;
(5)如需要,使用多种物理途径进行多路供给。
宜提供应急照明和应急通信。关闭电源、供水、供气和其他设施的应急开关和阀门宜位于应急出口或设备室附近。
【标准条款】
A.11.2.3 布缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受干扰或损坏。
【理解与应用】
对于布缆安全,宜考虑下列指南∶
(1)进入信息处理设施的电源和通信线路宜在地下,若可能,或提供足够的可替换的保护;
(2)为了防止干扰,电源电缆宜与通信电缆分开;
(3)对于敏感的或关键的系统,宜考虑更进一步的控制∶
——在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
——使用电磁屏蔽装置保护电缆;
——对于电缆连接的未授权装置宜主动实现技术清除和物理检查;
——控制对配线盘和电缆室的访问。
【标准条款】
A.11.2.4 设备维护
设备应予以正确地维护,以确保其持续的可用性和完整性。
【理解与应用】
对于设备维护,宜考虑如下内容∶
(1)按照供应商推荐的服务时间间隔和规范对设备进行维护;
(2)只有已授权的维护人员才可对设备进行修理和服务;
(3)保存所有可疑的或实际的故障的记录,以及所有预防性和纠正性维护记录;
(4)当对设备安排维护时,宜实现适当的控制,并考虑到是现场维护还是送出维护;当必要时,保密信息宜从设备中删除或者维护人员宜是足够可靠的;
(5)遵守保险策略中规定的所有维护要求;
(6)维护后的设备在重新使用前,宜实施检查以确保设备未被篡改,也没有功能失常。
【标准条款】
A.11.2.5 资产的移动
设备、信息或软件在授权之前不应带出组织场所。
【理解与应用】
宜考虑如下内容∶
(1)对授权允许将资产带出办公场所的员工和外部用户进行标识;
(2)设置资产带出的时间限制,并在返还时进行符合性验证;
(3)若必要并适合,要对资产作出移出记录,当返回时,要作出送回记录;
(4)任何处理或使用资产的人员的身份、角色和隶属关系宜形成文件,并随设备、信息或软件一同返回。
【标准条款】
A.11.2.6 组织场所外设备与资产安全
应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险。
【理解与应用】
在组织场所外使用信息存储和处理设备宜得到管理者的授权。这适用于组织拥有的设备和为了组织利益使用的私人设备。
对于离开场所的设备的保护,宜考虑如下内容∶(1)离开场所的设备和介质在公共场所不宜无人看管;
(2)宜始终遵守制造商的设备保护说明,例如,防止暴露于强电磁场内;
(3)家庭工作、远程办公和临时场所办公的场外控制措施要根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信(参见 ISO/IEC 18028 网络安全);
(4)当组织场所外的设备在不同个体或外部方之间传递时,宜维护设备的一系列保管记录,该记录宜至少包括设备负责人的姓名和所属组织。
诸如损坏、被盗等风险在一些场所之间可能不同,宜在确定最合适的控制予以考虑。
【标准条款】
A.11.2.7 设备的安全处置或再利用
包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。
【理解与应用】
在设备处置或再利用前,宜验证其是否包含存储介质。
包含保密或版权信息的存储介质宜进行物理销毁,或者采用使原始信息不可获取的技术进行破坏、删除或写覆盖,而不能采用一般的删除或格式化功能。
【标准条款】
A.11.2.8 无人值守的用户设备
用户应确保无人值守的用户设备有适当的保护。
【理解与应用】
所有用户宜了解保护无人值守的设备的安全要求和规程,以及他们对实现这种保护所负有的责任。建议用户宜∶
(1)结束时终止活动的会话,除非采用一种合适的锁定机制保证其安全,例如,口令保护的屏幕保全机制;
(2)不再需要时退出应用程序或网络服务;
(3)当不在使用时,通过使用带钥匙的锁或等效的控制(如口令访问)等,避免未授权使用计算机或移动设备。
【标准条款】
A.11.2. 9 清理桌面和屏幕策略
应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。
【理解与应用】
清理桌面和清理屏幕策略宜考虑信息分级(见 A.8.2信息分级)、法律和合同要求(见 A.18.1符合法律和合同要求)、相应的风险和组织的文化方面。宜考虑下列指南∶
(1)当不需要诸如纸质上的或电子存储介质上的敏感或关键业务信息时,特别是办公室无人时,宜将其锁起来(理想情况下,在保险柜或保险箱或者其他形式的安全设备中);
(2)当无人值守时,计算机和终端宜退出登录,或使用由口令、令牌或类似的用户鉴别机制控制的屏幕和键盘锁定机制进行保护;当不使用时,宜使用带钥匙的锁、口令或其他控制进行保护;
(3)宜防止复印机或其他复制技术(例如扫描仪、数字照相机)的未授权使用;
(4)包含敏感或涉密信息的介质宜立即从打印机中取走。
想了解更多的关于ISO27001标准信息可以经常关注我们
