实现信息安全区域的控制目标措施有哪些
实现信息安全区域的控制目标措施有以下这些:
物理安全边界:组织应使用墙、卡控制的入口或有人管理的接待台等屏障形成安全边界,保护包含信息和信息处理设施的区域。此项措施的常规控制包括:确保所有关键区域的建筑物有坚固的外墙、门、房顶及地板,尤其要确保在地面一层不存在易于闯入的任何缺口,核心区域可设置多重物理屏障;所有墙体、门应符合消防或防火相关标准的要求;应按相关标准要求安装物理入侵检测系统并确保其有效。
物理入口控制:安全区域应由适合的入口控制所保护,确保只有授权人员才允许访问。在入口处安装门禁系统,安排保安人员,设置前台及接待登记人员,并安装监控系统;记录访问者进入和离开的日期和时间,监督所有的访问者;只允许访问者访问特定的、已授权的目标,并向他们宣布关于该区域的安全要求和应急程序说明。访问处理敏感信息或储存敏感信息的区域要受到控制,并且仅限于已授权的人员,对关键资源的访问应加强身份认证的强度,要求员工在遇到没有内部人员陪同的访问者和未佩戴可视标识的人员时要立即通知保安人员,保留所有访问踪迹并妥善保护。
办公室、房间和设施的安全保护:应为办公室、房间和设施设计并采取物理安全措施。此项措施的常规控制包括:建筑和设施要符合健康和安全相关法规和标准;不将关键设施安置在公共访问区;不用类似“机房重地”等字样标示机房等关键区域,只用内部少数相关人员能理解的标识来标示;保护标识信息处理设施的图表、目录和内部通讯录,避免其泄露。
外部和环境威胁的安全防护:为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,组织应设计和采取物理保护措施。此项措施的常规控制包括:制定防护措施以应对任何邻近区域所带来的安全威胁,例如,邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸等;将危险或易燃材料存放在安全距离以外,避免遭受火灾、洪水、地震、爆炸及其他形式的自然灾难或人为灾难的破坏;配备适当的灭火设施并放在合适的地点。
在安全区域工作:应设计和应用用于安全区域工作的物理保护和指南。此项措施的常规控制包括:不让无关人员知道安全区域的存在或其中的活动;监视关键区域的活动;在物理上锁闭未使用的安全区域并定期予以核查;禁止在非授权情况下携带摄影、视频、音频或者其他记录设备进入敏感区域;对工作在安全区域内的雇员、承包方人员和第三方人员进行控制,安排内部雇员全程陪同进入安全区域的外部人员。
公共访问、交接区安全:应对交接区等访问点和未授权人员可进入办公场所的其他点加以控制,如果可能,将这些区域与信息处理设施隔离,以避免未授权访问。此项措施的常规控制包括:由建筑物外进入交接区的访问限定于已标识和已授权的人员;当内部的门打开时,交接区的外部门应得到安全保护;在物理上隔离进入和外出的货物;货物进入时要检查是否存在安全风险,检查通过后应按照资产管理要求进行登记。