ISO27001标准附录“A.9物理和环境安全”解析
本帖最后由 adminlily 于 2018-8-25 10:52 编辑ISO27001标准附录 A.9.1 安全区域
【内容解析】
组织周边内的场所应成为受控的安全区域,在物理和环境上要有保障措施,防止外界的干扰和擅自进入。ISO27001标准附录 A.9.1.1 物理安全周边
【内容解析】
组织信息处理设施的周边应通过物理控制措施给予充分的保护,物理控制措施包括围墙、栏杆、有人值守的入口、门禁和闭路电视等。至少信息处理系统和设施应置于一个人员进入受控的安全环境,最好使人员的进出受监视、有记录、可审计。ISO27001标准附录 A.9.1.2 物理入口控制
【内容解析】
应对进入组织场所、工作区和安全区的入口设置物理控制(例如门禁),以提供适当的保护。ISO27001标准附录 A.9.1.3 办公室、房间和设施的安全保护
【内容解析】
管理层应识别场所、办公室和组织设施的安全保护要求,并提供适当的物理控制保护。这些保护应是多方面的,不仅仅是人员或物品的进入控制,还包括视线、声音和电波的隔离屏蔽。ISO27001标准附录 A.9.1.4 外部和环境威胁的安全防护
【内容解析】
为应对人为和自然灾害的威胁,组织应对其人员和重要资产提供充分而有效的物理保护。ISO27001标准附录 A.9.1.5 在安全区域工作
【内容解析】
组织基于特定业务的保密要求(如,关键技术开发)或其他安全考虑(有些考虑可能与信息安全无关,如人员安全、新设备的储存等)可在组织内设立安全区,将人员、设施环境以及相关的信息和工作产出物在组织内隔离。安全区通常应配备更强的物理控制、受到监视并具有审计能力。组织应制定并发布在安全区工作的要求。ISO27001标准附录 A.9.1.6 公共访问、交接区安全
【内容解析】
组织应明确划定作为接待来访、交付物品等的公共区域。公共区域应受到物理控制和监视。ISO27001标准附录 A.9.2 设备安全
【内容解析】
对网络和计算机相关的设备需加以保护,防止环境上和物理上损坏,包括人为的破坏、盗窃及失误等行为。ISO27001标准附录 A.9.2.1 设备安置和保护
【内容解析】
这一控制措施的目的旨在保护网络和计算机设备免遭可能存在于组织内的环境和物理威胁。环境威胁包括温度、湿度、雷电等,物理威胁包括粉尘、振动、各类干扰和辐射等。ISO27001标准附录 A.9.2.2 支持性设施
【内容解析】
支持性设施包括供电、供水、排污、通风、温/湿度调节设备等。这些设施的故障会对信息处理设施的正常运行产生影响。组织应对支持性设施的运行和维护提供保障,避免电力中断和其他支持性设施的失效,以保护信息处理设施和业务运行。ISO27001标准附录 A.9.2.3 布缆安全
【内容解析】
网络和通信线缆应受到保护,避免受到自然和人为的损坏。通常网络和通信线缆在布线的设计和施工中都有相关的质量监管;但在组织日常的运营中针对临时拉线、无人照管的外部接线以及网络和通信端口的未经授权的使用应有相关的管理措施。ISO27001标准附录 A.9.2.4 设备维护
【内容解析】
信息处理设施中的关键系统和主机应按照制造商的指南加以维护确保对授权用户的可用性。ISO27001标准附录 A.9.2.5 组织场所外的设备安全
【内容解析】
组织应基于风险评估,对工作运行在组织场所外的设备采取安全保护措施。ISO27001标准附录 A.9.2.6 设备的安全处置或再利用
【内容解析】
对含有储存介质的任何类型的计算装置和系统在对其处理或再利用前都应确保删除其中的敏感信息和注册软件。ISO27001标准附录 A.9.2.7 资产的移动
【内容解析】
未经授权的包含有组织信息和数据的计算装置、软件或其他设备都不应带出组织的场所。
本帖最后由 adminlily 于 2018-8-25 10:52 编辑
ISO27001标准附录 A.9.1 安全区域
【内容解析】
组织周边内的场所应成为受控的安全区域,在物理和环境上要有保障措施,防止外界的干扰和擅自进入。ISO27001标准附录 A.9.1.1 物理安全周边
【内容解析】
组织信息处理设施的周边应通过物理控制措施给予充分的保护,物理控制措施包括围墙、栏杆、有人值守的入口、门禁和闭路电视等。至少信息处理系统和设施应置于一个人员进入受控的安全环境,最好使人员的进出受监视、有记录、可审计。ISO27001标准附录 A.9.1.2 物理入口控制
【内容解析】
应对进入组织场所、工作区和安全区的入口设置物理控制(例如门禁),以提供适当的保护。ISO27001标准附录 A.9.1.3 办公室、房间和设施的安全保护
【内容解析】
管理层应识别场所、办公室和组织设施的安全保护要求,并提供适当的物理控制保护。这些保护应是多方面的,不仅仅是人员或物品的进入控制,还包括视线、声音和电波的隔离屏蔽。ISO27001标准附录 A.9.1.4 外部和环境威胁的安全防护
【内容解析】
为应对人为和自然灾害的威胁,组织应对其人员和重要资产提供充分而有效的物理保护。ISO27001标准附录 A.9.1.5 在安全区域工作
【内容解析】
组织基于特定业务的保密要求(如,关键技术开发)或其他安全考虑(有些考虑可能与信息安全无关,如人员安全、新设备的储存等)可在组织内设立安全区,将人员、设施环境以及相关的信息和工作产出物在组织内隔离。安全区通常应配备更强的物理控制、受到监视并具有审计能力。组织应制定并发布在安全区工作的要求。ISO27001标准附录 A.9.1.6 公共访问、交接区安全
【内容解析】
组织应明确划定作为接待来访、交付物品等的公共区域。公共区域应受到物理控制和监视。ISO27001标准附录 A.9.2 设备安全
【内容解析】
对网络和计算机相关的设备需加以保护,防止环境上和物理上损坏,包括人为的破坏、盗窃及失误等行为。ISO27001标准附录 A.9.2.1 设备安置和保护
【内容解析】
这一控制措施的目的旨在保护网络和计算机设备免遭可能存在于组织内的环境和物理威胁。环境威胁包括温度、湿度、雷电等,物理威胁包括粉尘、振动、各类干扰和辐射等。ISO27001标准附录 A.9.2.2 支持性设施
【内容解析】
支持性设施包括供电、供水、排污、通风、温/湿度调节设备等。这些设施的故障会对信息处理设施的正常运行产生影响。组织应对支持性设施的运行和维护提供保障,避免电力中断和其他支持性设施的失效,以保护信息处理设施和业务运行。ISO27001标准附录 A.9.2.3 布缆安全
【内容解析】
网络和通信线缆应受到保护,避免受到自然和人为的损坏。通常网络和通信线缆在布线的设计和施工中都有相关的质量监管;但在组织日常的运营中针对临时拉线、无人照管的外部接线以及网络和通信端口的未经授权的使用应有相关的管理措施。ISO27001标准附录 A.9.2.4 设备维护
【内容解析】
信息处理设施中的关键系统和主机应按照制造商的指南加以维护确保对授权用户的可用性。ISO27001标准附录 A.9.2.5 组织场所外的设备安全
【内容解析】
组织应基于风险评估,对工作运行在组织场所外的设备采取安全保护措施。ISO27001标准附录 A.9.2.6 设备的安全处置或再利用
【内容解析】
对含有储存介质的任何类型的计算装置和系统在对其处理或再利用前都应确保删除其中的敏感信息和注册软件。ISO27001标准附录 A.9.2.7 资产的移动
【内容解析】
未经授权的包含有组织信息和数据的计算装置、软件或其他设备都不应带出组织的场所。
页:
[1]