物理與環(huán)境安全管理辦法范本

第第頁物理與環(huán)境安全管理方法范本第1篇物理與環(huán)境安全管理方法范本第一章總則第一條目的:為了適應(yīng)**銀行（以下簡稱我行）物理與環(huán)境安全管理的需要,保障我行生產(chǎn)和辦公系統(tǒng)的正常運行,特訂立本管理方法。第二條依據(jù):本管理方法依據(jù)《**銀行信息安全管理策略》訂立。第三條范圍:本管理方法適用于我行及所轄分、支行。第二章基本要求第四條我行員工應(yīng)依據(jù)我行運營需要對資產(chǎn)進(jìn)行保護(hù)。我行的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實現(xiàn):（一）確保全部資產(chǎn)的物理和環(huán)境保護(hù)能得到我行的有效掌控。（二）減少擅自訪問或損壞或影響我行掌控的資產(chǎn)的風(fēng)險。（三）防止我行掌控的資產(chǎn)被人擅自刪除或移動。第五條安全掌控措施包含以下各項:（一）我行的場合（機房、辦公室）的信息處理設(shè)施四周設(shè)置實際安全隔離措施,如門禁系統(tǒng)等。（二）我行的大樓入口安全防范措施。（三）防護(hù)設(shè)備躲避發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。（四）設(shè)備維護(hù)。（五）清理資產(chǎn)。第三章安全區(qū)域第六條我行的安全區(qū)域包含中心機房和敏感部門辦公區(qū)域。第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。第八條物理安全界限全部進(jìn)入我行安全區(qū)域的人員都需經(jīng)過授權(quán),我行員工之外的人員進(jìn)入我行安全區(qū)域必需登記換取不同的授權(quán)卡或訪客證才略進(jìn)入（持有效證件,得到被訪者允許）。第九條安全區(qū)域出入掌控措施（一）物理掌控措施1、機房的門禁系統(tǒng)必需啟用,任何人都必需刷卡后才可進(jìn)入機房；2、出入機房必需登記《機房出入登記表》,記錄姓名、出入時間、事由等；3、一段時間內(nèi)不會頻繁進(jìn)入的機房應(yīng)上鎖,需要時由運維人員開啟進(jìn)入工作,并確保辦公完成后鎖好；4、機房應(yīng)安裝閉路電視監(jiān)控。在全部安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。（二）合同方及第三方1、要在緊要出入口處填寫《來訪人員登記表》；2、在明顯處佩戴我行發(fā)出的臨時出入卡或訪客證。（三）我行工作人員的掌控措施1、我行工作人員都必需在明顯處佩帶胸卡；2、我行工作人員調(diào)離我行時,其實際進(jìn)入權(quán)也同時相應(yīng)取消；（四）審察訪問科技信息部應(yīng)定期（每三個月）審察訪問我行中心機房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。（五）外部和環(huán)境威逼的安全防護(hù)1、機房建設(shè)應(yīng)符合gb9361中a類安全機房的要求；2、不安全或易燃料子應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；3、恢復(fù)設(shè)備和備份介質(zhì)的存放地方應(yīng)與主場合有一段安全的距離,以躲避影響主場合的災(zāi)難產(chǎn)生的破壞；4、應(yīng)供應(yīng)適當(dāng)?shù)臏缁鹪O(shè)備,并應(yīng)放在合適的地方。第十條交接區(qū)安全（一）我行應(yīng)設(shè)立交接區(qū),同時:1、向我行發(fā)送貨物必需預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；2、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的判別確認(rèn)；4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗貨物,以保證沒有潛在的危害。第四章設(shè)備安全第十一條設(shè)備布置與保護(hù)（一）我行中應(yīng)考慮以下掌控措施:1、設(shè)備應(yīng)進(jìn)行適當(dāng)布置,以盡量減少不必需的對工作區(qū)域的訪問；2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置,以減少在其使用期間信息被窺視的風(fēng)險,還應(yīng)保護(hù)儲存設(shè)施以防止未授權(quán)訪問；3、要求特地保護(hù)的部件要予以隔離,以降低所要求的總體保護(hù)等級；4、應(yīng)采取掌控措施以減小潛在的物理威逼的風(fēng)險,例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、灰塵、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和有心破壞；5、應(yīng)建立在信息處理設(shè)施相近進(jìn)食、喝飲料和吸煙的指南；6、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；7、全部建筑物都應(yīng)采用避雷保護(hù),全部進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；8、對于工業(yè)環(huán)境中的設(shè)備,要考慮使用特地的保護(hù)方法,例如鍵盤保護(hù)膜；9、應(yīng)保護(hù)處理敏感信息的設(shè)備,以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險；極其緊要設(shè)備應(yīng)部署在不同位置。第十二條支持性設(shè)施（一）應(yīng)有充分的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能,減少由于他們的故障或失效帶來的風(fēng)險。應(yīng)依照設(shè)備制造商的說明供應(yīng)合適的供電。（二）對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備,介紹使用支持有序關(guān)機或連續(xù)運行的不間斷電源（ups）。電源應(yīng)急計劃要包含ups故障時要采取的措施。假如電源故障延長,而處理要連續(xù)進(jìn)行,則要考慮備份發(fā)電機。應(yīng)供應(yīng)充分的燃料供應(yīng),以確保在延長的時間內(nèi)發(fā)電機可以進(jìn)行工作。ups設(shè)備和發(fā)電機要定期地檢查,以確保它們擁有充分本領(lǐng),并依照制造商的建議予以測試。另外,假如辦公場合很大,則應(yīng)考慮使用多來源電源或一個單獨變電站。（三）另外,應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口相近,以便緊急情況時快速切斷電源。萬一主電源顯現(xiàn)故障時要供應(yīng)應(yīng)急照明。（四）要有穩(wěn)定充分的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時）,供水系統(tǒng)的故障可能破壞設(shè)備或阻攔有效的滅火。假如需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。（五）連接到公共供應(yīng)商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務(wù)失效。要有充分的語音服務(wù)以滿足地方法規(guī)對于應(yīng)急通信的要求。（六）實現(xiàn)連續(xù)供電的選項包含多路供電,以躲避供電的單一故障點。第十三條電纜安全（一）敷設(shè)到我行內(nèi)各個區(qū)域的電纜線的保護(hù)方式如下:1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應(yīng)供應(yīng)充分的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞,例如,利用電纜管道或使路由躲避公眾區(qū)域；3、為了防止干擾,電源電纜要與通信電纜分開；4、使用清楚的可識別的電纜和設(shè)備記號,以使處理失誤最小化,例如,錯誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對于敏感的或關(guān)鍵的系統(tǒng),更進(jìn)一步的掌控考慮應(yīng)包含:（1）在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子；（2）使用可替換的路由選擇和/或傳輸介質(zhì),以供應(yīng)適當(dāng)?shù)陌踩胧?；?）使用纖維光纜；（4）使用電磁防輻射裝置保護(hù)電纜；（5）對于電纜連接的未授權(quán)裝置要自動實施技術(shù)清除、物理檢查；（6）掌控對配線盤和電纜室的訪問；第十四條設(shè)備維護(hù)（一）應(yīng)依照供應(yīng)商介紹的服務(wù)時間間隔和規(guī)范對設(shè)備進(jìn)行維護(hù)。（二）由供貨商維護(hù)的設(shè)備。各種維護(hù)活動要依照合同協(xié)議或設(shè)備購買時的維護(hù)計劃進(jìn)行。（三）只有已授權(quán)的維護(hù)人員才可對設(shè)備進(jìn)行修理和服務(wù)（四）原則上應(yīng)保管全部維護(hù)記錄（五）要保證全部可疑的或?qū)嶋H的故障以及全部防備和矯正維護(hù)的記錄；（六）設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計劃和記錄。（七）設(shè)備資產(chǎn)的管理部門和行政服務(wù)公司定期審核維護(hù)記錄和計劃。（八）當(dāng)對設(shè)備布置維護(hù)時,應(yīng)實施適當(dāng)?shù)恼瓶?要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時,敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)當(dāng)是充分可靠的；（九）應(yīng)遵守由保險策略所施加的全部要求。第十五條場外設(shè)備的安全（一）離開辦公場合的設(shè)備的保護(hù)應(yīng)考慮下列措施:1、離開建筑物的設(shè)備和介質(zhì)在公共場合不應(yīng)無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來；2、制造商的設(shè)備保護(hù)說明要始終加以遵守,例如,防止暴露于強電磁場內(nèi)；3、家庭工作的掌控措施應(yīng)依據(jù)風(fēng)險評估確定,當(dāng)適合時,要施加合適的掌控措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問掌控以及與辦公室的安全通信；4、充分的安全保障掩蔽物宜到位,以保護(hù)離開辦公場合的設(shè)備。安全風(fēng)險在不同場合可能有顯著不同,例如,損壞、偷竊和截取,要考慮確定最合適的掌控措施。其它信息用于家庭工作或從正常工作地方運走的信息存儲和處理設(shè)備包含全部形式的個人計算機、管理設(shè)備、移動電話、智能卡、紙張及其他形式的設(shè)備。第十六條設(shè)備的安全處理與重新使用（一）設(shè)備報廢處理時,存有敏感信息的存儲設(shè)備要從物理上加以銷毀,或用安全方式對信息加以掩蓋,而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。（二）全部帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查,以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或掩蓋。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進(jìn)行風(fēng)險評估,以決議是否對其銷毀、修理或遺棄。（三）為保證信息安全,必需在處理介質(zhì)前擦除有關(guān)的敏感信息:1、用碎紙機銷毀全部的敏感紙質(zhì)記錄。廢紙可在碎紙后趕忙處理掉。2、我行內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。全部的紙質(zhì)記錄都必需在處理前銷毀。3、磁帶和磁盤必需在處理前實際銷毀和核對。4、數(shù)據(jù)存儲光盤應(yīng)在處理前實際銷毀。（四）凡敏感性介質(zhì)的處理都必需填寫《信息介質(zhì)處理申請表》,經(jīng)部門負(fù)責(zé)人同意后,方可進(jìn)行處理。并記錄在《信息介質(zhì)處理記錄表》,留待審計時備查。第十七條設(shè)備的移動（一）應(yīng)考慮如下措施:1、在未經(jīng)事先授權(quán)的情況下,不應(yīng)讓設(shè)備、信息或軟件離開辦公場合；2、明確識別有權(quán)允許資產(chǎn)移動,離開辦公場合的雇員、承包方人員和第三方人員；3、應(yīng)設(shè)置設(shè)備移動的時間限制,并在返還時執(zhí)行符合性檢查；4、若需要并合適,要對設(shè)備作出移出記錄,當(dāng)返回時,要作出送回記錄。（二）應(yīng)執(zhí)行檢測未授權(quán)資產(chǎn)移動的抽查,以檢測未授權(quán)的記錄裝置、武器等等,防止他們進(jìn)入辦公場合。這樣的抽查應(yīng)依照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個人都知道將進(jìn)行抽查,而且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。第五章附則第十八條本管理方法由科技信息部負(fù)責(zé)解釋和修訂。第十九條本管理方法自發(fā)布之日起施行。第2篇信息技術(shù)設(shè)備物理與環(huán)境安全管理規(guī)定第一章總則第一條目的：為了適應(yīng)公司物理與環(huán)境安全管理的需要，保障公司生產(chǎn)和辦公系統(tǒng)的正常運行，特訂立本管理方法。第二條依據(jù)：本管理方法依據(jù)《信息安全管理策略》訂立。第三條范圍：本管理方法適用于公司。第二章基本要求第四條公司員工應(yīng)依據(jù)公司運營需要對資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實現(xiàn)：（一）確保全部資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效掌控。（二）減少擅自訪問或損壞或影響公司掌控的資產(chǎn)的風(fēng)險。（三）防止公司掌控的資產(chǎn)被人擅自刪除或移動。第五條安全掌控措施包含以下各項：（一）公司的場合（機房、辦公室）的信息處理設(shè)施四周設(shè)置實際安全隔離措施，如門禁系統(tǒng)等。（二）公司的大樓入口安全防范措施。（三）防護(hù)設(shè)備躲避發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。（四）設(shè)備維護(hù)。（五）清理資產(chǎn)。第三章安全區(qū)域第六條公司的安全區(qū)域包含中心機房和敏感部門辦公區(qū)域。第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。第八條物理安全界限全部進(jìn)入公司安全區(qū)域的人員都需經(jīng)過授權(quán)，公司員工之外的人員進(jìn)入公司安全區(qū)域必需登記換取不同的授權(quán)卡或訪客證才略進(jìn)入（持有效證件，得到被訪者允許）。第九條安全區(qū)域出入掌控措施（一）物理掌控措施1、機房的門禁系統(tǒng)必需啟用，任何人都必需刷卡后才可進(jìn)入機房；2、出入機房必需登記《機房出入登記表》，記錄姓名、出入時間、事由等；3、一段時間內(nèi)不會頻繁進(jìn)入的機房應(yīng)上鎖，需要時由運維人員開啟進(jìn)入工作，并確保辦公完成后鎖好；4、機房應(yīng)安裝閉路電視監(jiān)控。在全部安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。（二）合同方及第三方1、要在緊要出入口處填寫《來訪人員登記表》；2、在明顯處佩戴公司發(fā)出的臨時出入卡或訪客證。（三）公司工作人員的掌控措施1、公司工作人員都必需在明顯處佩帶胸卡；2、公司工作人員調(diào)離公司時，其實際進(jìn)入權(quán)也同時相應(yīng)取消；（四）審察訪問信息部應(yīng)定期（每三個月）審察訪問公司中心機房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。（五）外部和環(huán)境威逼的安全防護(hù)1、機房建設(shè)應(yīng)符合gb9361中a類安全機房的要求；2、不安全或易燃料子應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；3、恢復(fù)設(shè)備和備份介質(zhì)的存放地方應(yīng)與主場合有一段安全的距離，以躲避影響主場合的災(zāi)難產(chǎn)生的破壞；4、應(yīng)供應(yīng)適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地方。第十條交接區(qū)安全（一）公司應(yīng)設(shè)立交接區(qū)，同時：1、向公司發(fā)送貨物必需預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；2、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的判別確認(rèn)；4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗貨物，以保證沒有潛在的危害。第四章設(shè)備安全第十一條設(shè)備布置與保護(hù)（一）公司中應(yīng)考慮以下掌控措施：1、設(shè)備應(yīng)進(jìn)行適當(dāng)布置，以盡量減少不必需的對工作區(qū)域的訪問；2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險，還應(yīng)保護(hù)儲存設(shè)施以防止未授權(quán)訪問；3、要求特地保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級；4、應(yīng)采取掌控措施以減小潛在的物理威逼的風(fēng)險，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、灰塵、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和有心破壞；5、應(yīng)建立在信息處理設(shè)施相近進(jìn)食、喝飲料和吸煙的指南；6、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；7、全部建筑物都應(yīng)采用避雷保護(hù)，全部進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；8、對于工業(yè)環(huán)境中的設(shè)備，要考慮使用特地的保護(hù)方法，例如鍵盤保護(hù)膜；9、應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險；極其緊要設(shè)備應(yīng)部署在不同位置。第十二條支持性設(shè)施（一）應(yīng)有充分的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險。應(yīng)依照設(shè)備制造商的說明供應(yīng)合適的供電。（二）對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，介紹使用支持有序關(guān)機或連續(xù)運行的不間斷電源（ups）。電源應(yīng)急計劃要包含ups故障時要采取的措施。假如電源故障延長，而處理要連續(xù)進(jìn)行，則要考慮備份發(fā)電機。應(yīng)供應(yīng)充分的燃料供應(yīng)，以確保在延長的時間內(nèi)發(fā)電機可以進(jìn)行工作。ups設(shè)備和發(fā)電機要定期地檢查，以確保它們擁有充分本領(lǐng)，并依照制造商的建議予以測試。另外，假如辦公場合很大，則應(yīng)考慮使用多來源電源或一個單獨變電站。（三）另外，應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口相近，以便緊急情況時快速切斷電源。萬一主電源顯現(xiàn)故障時要供應(yīng)應(yīng)急照明。（四）要有穩(wěn)定充分的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時），供水系統(tǒng)的故障可能破壞設(shè)備或阻攔有效的滅火。假如需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。（五）連接到公共供應(yīng)商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務(wù)失效。要有充分的語音服務(wù)以滿足地方法規(guī)對于應(yīng)急通信的要求。（六）實現(xiàn)連續(xù)供電的選項包含多路供電，以躲避供電的單一故障點。第十三條電纜安全（一）敷設(shè)到公司內(nèi)各個區(qū)域的電纜線的保護(hù)方式如下：1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，應(yīng)供應(yīng)充分的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由躲避公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開；4、使用清楚的可識別的電纜和設(shè)備記號，以使處理失誤最小化，例如，錯誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的掌控考慮應(yīng)包含：（1）在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子；（2）使用可替換的路由選擇和/或傳輸介質(zhì)，以供應(yīng)適當(dāng)?shù)陌踩胧?；?）使用纖維光纜；（4）使用電磁防輻射裝置保護(hù)電纜；（5）對于電纜連接的未授權(quán)裝置要自動實施技術(shù)清除、物理檢查；（6）掌控對配線盤和電纜室的訪問；第十四條設(shè)備維護(hù)（一）應(yīng)依照供應(yīng)商介紹的服務(wù)時間間隔和規(guī)范對設(shè)備進(jìn)行維護(hù)。（二）由供貨商維護(hù)的設(shè)備。各種維護(hù)活動要依照合同協(xié)議或設(shè)備購買時的維護(hù)計劃進(jìn)行。（三）只有已授權(quán)的維護(hù)人員才可對設(shè)備進(jìn)行修理和服務(wù)（四）原則上應(yīng)保管全部維護(hù)記錄（五）要保證全部可疑的或?qū)嶋H的故障以及全部防備和矯正維護(hù)的記錄；（六）設(shè)備資產(chǎn)的管理部門和人事部應(yīng)當(dāng)向外包維護(hù)單位索取維護(hù)計劃和記錄。（七）設(shè)備資產(chǎn)的管理部門和人事部定期審核維護(hù)記錄和計劃。（八）當(dāng)對設(shè)備布置維護(hù)時，應(yīng)實施適當(dāng)?shù)恼瓶?，要考慮維護(hù)是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)當(dāng)是充分可靠的；（九）應(yīng)遵守由保險策略所施加的全部要求。第十五條場外設(shè)備的安全（一）離開辦公場合的設(shè)備的保護(hù)應(yīng)考慮下列措施：1、離開建筑物的設(shè)備和介質(zhì)在公共場合不應(yīng)無人看管。在旅行時便攜式計算機要作為手提行李攜帶，若可能宜偽裝起來；2、制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，防止暴露于強電磁場內(nèi)；3、家庭工作的掌控措施應(yīng)依據(jù)風(fēng)險評估確定，當(dāng)適合時，要施加合適的掌控措施，例如，可上鎖的存檔柜、清理桌面策略、對計算機的訪問掌控以及與辦公室的安全通信；4、充分的安全保障掩蔽物宜到位，以保護(hù)離開辦公場合的設(shè)備。安全風(fēng)險在不同場合可能有顯著不同，例如，損壞、偷竊和截取，要考慮確定最合適的掌控措施。其它信息用于家庭工作或從正常工作地方運走的信息存儲和處理設(shè)備包含全部形式的個人計算機、管理設(shè)備、移動電話、智能卡、紙張及其他形式的設(shè)備。第十六條設(shè)備的安全處理與重新使用（一）設(shè)備報廢處理時，存有敏感信息的存儲設(shè)備要從物理上加以銷毀，或用安全方式對信息加以掩蓋，而不能采用常用的標(biāo)準(zhǔn)刪除功能來刪除。（二）全部帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查，以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或掩蓋。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進(jìn)行風(fēng)險評估，以決議是否對其銷毀、修理或遺棄。（三）為保證信息安全，必需在處理介質(zhì)前擦除有關(guān)的敏感信息：1、用碎紙機銷毀全部的敏感紙質(zhì)記錄。廢紙可在碎紙后趕忙處理掉。2、公司內(nèi)部不應(yīng)積累過量紙質(zhì)記錄。全部的紙質(zhì)記錄都必需在處理前銷毀。3、磁帶和磁盤必需在處理前實際銷毀和核對。4、數(shù)據(jù)存儲光盤應(yīng)在處理前實際銷毀。（四）凡敏感性介質(zhì)的處理都必需填寫《信息介質(zhì)處理申請表》，經(jīng)部門負(fù)責(zé)人同意后，方可進(jìn)行處理。并記錄在《信息介質(zhì)處理記錄表》，留待審計時備查。第十七條設(shè)備的移動（一）應(yīng)考慮如下措施：1、在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場合；2、明確識別有權(quán)允許資產(chǎn)移動，離開辦公場合的雇員、承包方人員和第三方人員；3、應(yīng)設(shè)置設(shè)備移動的時間限制，并在返還時執(zhí)行符合性檢查；4、若需要并合適，要對設(shè)備作出移出記錄，當(dāng)返回時，要作出送回記錄。（二）應(yīng)執(zhí)行檢測未授權(quán)資產(chǎn)移動的抽查，以檢測未授權(quán)的記錄裝置、武器等等，防止他們進(jìn)入辦公場合。這樣的抽查應(yīng)依照相關(guān)規(guī)章制度執(zhí)行。應(yīng)讓每個人都知道將進(jìn)行抽查，而且只能在法律法規(guī)要求的適當(dāng)授權(quán)下執(zhí)行檢查。第五章附則第十八條本管理方法由信息部負(fù)責(zé)解釋和修訂。第十九條本管理方法自發(fā)布之日起施行。第3篇物理與環(huán)境安全管理方法第一章總則第一條

目的：為了適應(yīng)xx銀行（以下簡稱我行）物理與環(huán)境安全管理的需要，保障我行生產(chǎn)和辦公系統(tǒng)的正常運行，特訂立本管理方法。第二條

依據(jù)：本管理方法依據(jù)《xx銀行信息安全管理策略》訂立。第三條

范圍：本管理方法適用于我行及所轄分、支行。第二章

基本要求第四條

我行員工應(yīng)依據(jù)我行運營需要對資產(chǎn)進(jìn)行保護(hù)。我行的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實現(xiàn)：（一）確保全部資產(chǎn)的物理和環(huán)境保護(hù)能得到我行的有效掌控。（二）減少擅自訪問或損壞或影響我行掌控的資產(chǎn)的風(fēng)險。（三）防止我行掌控的資產(chǎn)被人擅自刪除或移動。第五條

安全掌控措施包含以下各項：（一）我行的場合（機房、辦公室）的信息處理設(shè)施四周設(shè)置實際安全隔離措施，如門禁系統(tǒng)等。（二）我行的大樓入口安全防范措施。（三）防護(hù)設(shè)備躲避發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。（四）設(shè)備維護(hù)。（五）清理資產(chǎn)。第三章安全區(qū)域第六條

我行的安全區(qū)域包含中心機房和敏感部門辦公區(qū)域。第七條

安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。第八條

物理安全界限全部進(jìn)入我行安全區(qū)域的人員都需經(jīng)過授權(quán)，我行員工之外的人員進(jìn)入我行安全區(qū)域必需登記換取不同的授權(quán)卡或訪客證才略進(jìn)入（持有效證件，得到被訪者允許）。第九條

安全區(qū)域出入掌控措施（一）物理掌控措施1、機房的門禁系統(tǒng)必需啟用，任何人都必需刷卡后才可進(jìn)入機房；2、出入機房必需登記《機房出入登記表》，記錄姓名、出入時間、事由等；3、一段時間內(nèi)不會頻繁進(jìn)入的機房應(yīng)上鎖，需要時由運維人員開啟進(jìn)入工作，并確保辦公完成后鎖好；4、機房應(yīng)安裝閉路電視監(jiān)控。在全部安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。（二）合同方及第三方1、要在緊要出入口處填寫《來訪人員登記表》；2、在明顯處佩戴我行發(fā)出的臨時出入卡或訪客證。（三）我行工作人員的掌控措施1、我行工作人員都必需在明顯處佩帶胸卡；2、我行工作人員調(diào)離我行時，其實際進(jìn)入權(quán)也同時相應(yīng)取消；（四）審察訪問科技信息部應(yīng)定期（每三個月）審察訪問我行中心機房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。（五）外部和環(huán)境威逼的安全防護(hù)1、機房建設(shè)應(yīng)符合gb9361中a類安全機房的要求；2、不安全或易燃料子應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；3、恢復(fù)設(shè)備和備份介質(zhì)的存放地方應(yīng)與主場合有一段安全的距離，以躲避影響主場合的災(zāi)難產(chǎn)生的破壞；4、應(yīng)供應(yīng)適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地方。第十條

交接區(qū)安全（一）我行應(yīng)設(shè)立交接區(qū)，同時：1、向我行發(fā)送貨物必需預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；2、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的判別確認(rèn)；4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗貨物，以保證沒有潛在的危害。第四章設(shè)備安全第十一條

設(shè)備布置與保護(hù)（一）我行中應(yīng)考慮以下掌控措施：1、設(shè)備應(yīng)進(jìn)行適當(dāng)布置，以盡量減少不必需的對工作區(qū)域的訪問；2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險，還應(yīng)保護(hù)儲存設(shè)施以防止未授權(quán)訪問；3、要求特地保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級；4、應(yīng)采取掌控措施以減小潛在的物理威逼的風(fēng)險，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、灰塵、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和有心破壞；5、應(yīng)建立在信息處理設(shè)施相近進(jìn)食、喝飲料和吸煙的指南；6、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；7、全部建筑物都應(yīng)采用避雷保護(hù)，全部進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；第4篇信息技術(shù)設(shè)備物理與環(huán)境安全管理方法第一章總則第一條

目的：為了適應(yīng)公司物理與環(huán)境安全管理的需要，保障公司生產(chǎn)和辦公系統(tǒng)的正常運行，特訂立本管理方法。第二條

依據(jù)：本管理方法依據(jù)《公司信息安全管理策略》訂立。第三條

范圍：本管理方法適用于公司。第二章

基本要求第四條

公司員工應(yīng)依據(jù)公司運營需要對資產(chǎn)進(jìn)行保護(hù)。公司的資產(chǎn)保護(hù)要求通過完成以下目標(biāo)來實現(xiàn)：（一）確保全部資產(chǎn)的物理和環(huán)境保護(hù)能得到公司的有效掌控。（二）減少擅自訪問或損壞或影響公司掌控的資產(chǎn)的風(fēng)險。（三）防止公司掌控的資產(chǎn)被人擅自刪除或移動。第五條

安全掌控措施包含以下各項：（一）公司的場合（機房、辦公室）的信息處理設(shè)施四周設(shè)置實際安全隔離措施，如門禁系統(tǒng)等。（二）公司的大樓入口安全防范措施。（三）防護(hù)設(shè)備躲避發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。（四）設(shè)備維護(hù)。（五）清理資產(chǎn)。第三章安全區(qū)域第六條

公司的安全區(qū)域包含中心機房和敏感部門辦公區(qū)域。第七條

安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細(xì)則》。第八條

物理安全界限全部進(jìn)入公司安全區(qū)域的人員都需經(jīng)過授權(quán)，公司員工之外的人員進(jìn)入公司安全區(qū)域必需登記換取不同的授權(quán)卡或訪客證才略進(jìn)入（持有效證件，得到被訪者允許）。第九條

安全區(qū)域出入掌控措施（一）物理掌控措施1、機房的門禁系統(tǒng)必需啟用，任何人都必需刷卡后才可進(jìn)入機房；2、出入機房必需登記《機房出入登記表》，記錄姓名、出入時間、事由等；3、一段時間內(nèi)不會頻繁進(jìn)入的機房應(yīng)上鎖，需要時由運維人員開啟進(jìn)入工作，并確保辦公完成后鎖好；4、機房應(yīng)安裝閉路電視監(jiān)控。在全部安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控。（二）合同方及第三方1、要在緊要出入口處填寫《來訪人員登記表》；2、在明顯處佩戴公司發(fā)出的臨時出入卡或訪客證。（三）公司工作人員的掌控措施1、公司工作人員都必需在明顯處佩帶胸卡；2、公司工作人員調(diào)離公司時，其實際進(jìn)入權(quán)也同時相應(yīng)取消；（四）審察訪問科技信息部應(yīng)定期（每三個月）審察訪問公司中心機房的人員名單并將進(jìn)出權(quán)過期或作廢的人員從名單上劃掉。（五）外部和環(huán)境威逼的安全防護(hù)1、機房建設(shè)應(yīng)符合gb9361中a類安全機房的要求；2、不安全或易燃料子應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具等）不應(yīng)存放于安全區(qū)域內(nèi)；3、恢復(fù)設(shè)備和備份介質(zhì)的存放地方應(yīng)與主場合有一段安全的距離，以躲避影響主場合的災(zāi)難產(chǎn)生的破壞；4、應(yīng)供應(yīng)適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地方。第十條

交接區(qū)安全（一）公司應(yīng)設(shè)立交接區(qū)，同時：1、向公司發(fā)送貨物必需預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員；2、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認(rèn)；3、送貨公司在進(jìn)入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的判別確認(rèn)；4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗貨物，以保證沒有潛在的危害。第四章設(shè)備安全第十一條

設(shè)備布置與保護(hù)（一）公司中應(yīng)考慮以下掌控措施：1、設(shè)備應(yīng)進(jìn)行適當(dāng)布置，以盡量減少不必需的對工作區(qū)域的訪問；2、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險，還應(yīng)保護(hù)儲存設(shè)施以防止未授權(quán)訪問；3、要求特地保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級；4、應(yīng)采取掌控措施以減小潛在的物理威逼的風(fēng)險，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、灰塵、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和有心破壞；5、應(yīng)建立在信息處理設(shè)施相近進(jìn)食、喝飲料和吸煙的指南；6、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；7、全部建筑物都應(yīng)采用避雷保護(hù)，全部進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器；8、對于工業(yè)環(huán)境中的設(shè)備，要考慮使用特地的保護(hù)方法，例如鍵盤保護(hù)膜；9、應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險；極其緊要設(shè)備應(yīng)部署在不同位置。第十二條

支持性設(shè)施（一）應(yīng)有充分的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險。應(yīng)依照設(shè)備制造商的說明供應(yīng)合適的供電。（二）對支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，介紹使用支持有序關(guān)機或連續(xù)運行的不間斷電源（ups）。電源應(yīng)急計劃要包含ups故障時要采取的措施。假如電源故障延長，而處理要連續(xù)進(jìn)行，則要考慮備份發(fā)電機。應(yīng)供應(yīng)充分的燃料供應(yīng)，以確保在延長的時間內(nèi)發(fā)電機可以進(jìn)行工作。ups設(shè)備和發(fā)電機要定期地檢查，以確保它們擁有充分本領(lǐng)，并依照制造商的建議予以測試。另外，假如辦公場合很大，則應(yīng)考慮使用多來源電源或一個單獨變電站。（三）另外，應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口相近，以便緊急情況時快速切斷電源。萬一主電源顯現(xiàn)故障時要供應(yīng)應(yīng)急照明。（四）要有穩(wěn)定充分的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時），供水系統(tǒng)的故障可能破壞設(shè)備或阻攔有效的滅火。假如需要還應(yīng)有告警系統(tǒng)來指示水壓的降低。（五）連接到公共供應(yīng)商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務(wù)失效。要有充分的語音服務(wù)以滿足地方法規(guī)對于應(yīng)急通信的要求。（六）實現(xiàn)連續(xù)供電的選項包含多路供電，以躲避供電的單一故障點。第十三條

電纜安全（一）敷設(shè)到公司內(nèi)各個區(qū)域的電纜線的保護(hù)方式如下：1、進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，應(yīng)供應(yīng)充分的可替換的保護(hù)；2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由躲避公眾區(qū)域；3、為了防止干擾，電源電纜要與通信電纜分開；4、使用清楚的可識別的電纜和設(shè)備記號，以使處理失誤最小化，例如，錯誤網(wǎng)絡(luò)電纜的意外配線；5、使用文件化配線列表減少失誤的可能性；6、對于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的掌控考慮應(yīng)包含：（1）在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子；（2）使用可替換的路由選擇和/或傳輸介質(zhì)，以供應(yīng)適當(dāng)?shù)陌踩胧唬?）使用纖維光纜；（4）使用電磁防輻射裝置保護(hù)電纜；（5）對于電纜連接的未授權(quán)裝置要自動實施技術(shù)清除、物理檢查；（6）掌控對配線盤和電纜室的訪問；第十四條

設(shè)備維護(hù)