復習指南
ISO27001標準附錄“A.9物理和環境安全”解析
2015-06-08      來源:國家注冊審核員網
【字體: 】              

 ISO27001標準附錄 A.9.1 安全區域

 
【內容解析】
 
組織周邊內的場所應成為受控的安全區域,在物理和環境上要有保障措施,防止外界的干擾和擅自進入。
 
ISO27001標準附錄 A.9.1.1 物理安全周邊
 
【內容解析】
 
組織信息處理設施的周邊應通過物理控制措施給予充分的?;?,物理控制措施包括圍墻、欄桿、有人值守的入口、門禁和閉路電視等。至少信息處理系統和設施應置于一個人員進入受控的安全環境,最好使人員的進出受監視、有記錄、可審計。
 
ISO27001標準附錄 A.9.1.2 物理入口控制
 
【內容解析】
 
應對進入組織場所、工作區和安全區的入口設置物理控制(例如門禁),以提供適當的?;?。
 
ISO27001標準附錄 A.9.1.3 辦公室、房間和設施的安全?;?/div>
 
【內容解析】
 
管理層應識別場所、辦公室和組織設施的安全?;ひ?,并提供適當的物理控制?;?。這些?;びκ嵌嚳矯嫻?,不僅僅是人員或物品的進入控制,還包括視線、聲音和電波的隔離屏蔽。
 
ISO27001標準附錄 A.9.1.4 外部和環境威脅的安全防護
 
【內容解析】
 
為應對人為和自然災害的威脅,組織應對其人員和重要資產提供充分而有效的物理?;?。
 
ISO27001標準附錄 A.9.1.5 在安全區域工作
 
【內容解析】
 
組織基于特定業務的保密要求(如,關鍵技術開發)或其他安全考慮(有些考慮可能與信息安全無關,如人員安全、新設備的儲存等)可在組織內設立安全區,將人員、設施環境以及相關的信息和工作產出物在組織內隔離。安全區通常應配備更強的物理控制、受到監視并具有審計能力。組織應制定并發布在安全區工作的要求。
 
ISO27001標準附錄 A.9.1.6 公共訪問、交接區安全
 
【內容解析】
 
組織應明確劃定作為接待來訪、交付物品等的公共區域。公共區域應受到物理控制和監視。
 
ISO27001標準附錄 A.9.2 設備安全
 
【內容解析】
 
對網絡和計算機相關的設備需加以?;?,防止環境上和物理上損壞,包括人為的破壞、盜竊及失誤等行為。
 
ISO27001標準附錄 A.9.2.1 設備安置和?;?/div>
 
【內容解析】
 
這一控制措施的目的旨在?;ね綰圖撲慊璞該庠飪贍艽嬖謨謐櫓詰幕肪澈臀錮磽??;肪懲舶ㄎ露?、濕度、雷電等,物理威脅包括粉塵、振動、各類干擾和輻射等。
 
ISO27001標準附錄 A.9.2.2 支持性設施
 
【內容解析】
 
支持性設施包括供電、供水、排污、通風、溫/濕度調節設備等。這些設施的故障會對信息處理設施的正常運行產生影響。
 
組織應對支持性設施的運行和維護提供保障,避免電力中斷和其他支持性設施的失效,以?;ば畔⒋砩枋┖鴕滴裨誦?。
 
ISO27001標準附錄 A.9.2.3 布纜安全
 
【內容解析】
 
網絡和通信線纜應受到?;?,避免受到自然和人為的損壞。通常網絡和通信線纜在布線的設計和施工中都有相關的質量監管;但在組織日常的運營中針對臨時拉線、無人照管的外部接線以及網絡和通信端口的未經授權的使用應有相關的管理措施。
 
ISO27001標準附錄 A.9.2.4 設備維護
 
【內容解析】
 
信息處理設施中的關鍵系統和主機應按照制造商的指南加以維護確保對授權用戶的可用性。
 
ISO27001標準附錄 A.9.2.5 組織場所外的設備安全
 
【內容解析】
 
組織應基于風險評估,對工作運行在組織場所外的設備采取安全?;ご朧?。
 
ISO27001標準附錄 A.9.2.6 設備的安全處置或再利用
 
【內容解析】
 
對含有儲存介質的任何類型的計算裝置和系統在對其處理或再利用前都應確保刪除其中的敏感信息和注冊軟件。
 
ISO27001標準附錄 A.9.2.7 資產的移動
 
【內容解析】
 
未經授權的包含有組織信息和數據的計算裝置、軟件或其他設備都不應帶出組織的場所。
 
手機掃一掃
加入國家注冊審核員考試服務平臺

微信號:ccaaxue
功能介紹:國家注冊審核員 考試通知、培訓信息;
認證機構掛靠、人員注冊、考試真題、模擬試題。