技术要求→物理安全→防盗窃和防破坏
一、要求內(nèi)容
a)應(yīng)將主要設(shè)備放置在機(jī)房內(nèi);
b)應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記;
c)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;
d)應(yīng)對介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中;
e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng);
f)應(yīng)對機(jī)房設(shè)置監(jiān)控報警系統(tǒng)。
二、實(shí)施建議
首先需要明確所有信息資產(chǎn)都應(yīng)根據(jù)其重要程度實(shí)施物理上的保護(hù)措施。
制定完整、統(tǒng)一、唯一、詳細(xì)的資產(chǎn)分類和標(biāo)識規(guī)定,并應(yīng)在資產(chǎn)的明顯出進(jìn)行標(biāo)記;在實(shí)施物理保護(hù)措施的同時增加監(jiān)控、報警系統(tǒng)對資產(chǎn)的安全進(jìn)行輔助管理,如在重要資產(chǎn)存放區(qū)域和附近增加紅外或感應(yīng)報警系統(tǒng)。
三、常見問題
雖然多數(shù)單位能夠做到對重要資產(chǎn)采取基本的安全保護(hù)措施,但對線纜一類的資產(chǎn)則可能忽略采取保護(hù)手段,而且大都缺少很好資產(chǎn)分類和標(biāo)識規(guī)定,尤其是經(jīng)過多次易手的組織資產(chǎn),經(jīng)常是沒有對資產(chǎn)進(jìn)行標(biāo)記,有的甚至出現(xiàn)多種不同的標(biāo)簽。
四、實(shí)施難點(diǎn)
對于信息資產(chǎn)的分類和標(biāo)記方法應(yīng)當(dāng)盡量做到與財務(wù)或行政部門對固定資產(chǎn)的要求相一致。
五、測評方法
形式
訪談,檢查。
對象
物理安全負(fù)責(zé)人,機(jī)房維護(hù)人員,資產(chǎn)管理員,設(shè)備,介質(zhì),通信線纜,機(jī)房設(shè)施,介質(zhì)清單和使用記錄,通信線路布線文檔,運(yùn)行和報警記錄,監(jiān)控記錄,防盜報警系統(tǒng)和監(jiān)控報警系統(tǒng)的安全資質(zhì)材料、安裝測試/驗(yàn)收報告。
實(shí)施
a)應(yīng)訪談物理安全負(fù)責(zé)人,采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施;
b)應(yīng)訪談機(jī)房維護(hù)人員,詢問主要設(shè)備放置位置是否做到安全可控,設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記,通信線纜是否鋪設(shè)在隱蔽處;是否設(shè)置了冗余或并行的通信線路;是否對機(jī)房安裝的防盜報警系統(tǒng)和監(jiān)控報警系統(tǒng)進(jìn)行定期維護(hù)檢查;
c)應(yīng)訪談資產(chǎn)管理員,在介質(zhì)管理中,是否進(jìn)行了分類標(biāo)識,是否存放在介質(zhì)庫或檔案室中;
d)應(yīng)檢查主要設(shè)備是否放置在機(jī)房內(nèi)或其它不易被盜竊和破壞的可控范圍內(nèi);檢查主要設(shè)備或設(shè)備的主要部件的固定情況,是否不易被移動或被搬走,是否設(shè)置明顯的不易除去的標(biāo)記;是否有設(shè)備物理位置圖,是否經(jīng)常檢查設(shè)備物理位置的變化;
e)應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處(如鋪設(shè)在地下或管道中等);
f)應(yīng)檢查介質(zhì)的管理情況,查看介質(zhì)是否有正確的分類標(biāo)識,是否存放在介質(zhì)庫或檔案室中;是否有異地保存的措施;
g)應(yīng)檢查機(jī)房防盜報警設(shè)施是否正常運(yùn)行,并查看運(yùn)行和報警記錄;應(yīng)檢查機(jī)房的攝像、傳感等監(jiān)控報警系統(tǒng)是否正常運(yùn)行,并查看運(yùn)行記錄、監(jiān)控記錄和報警記錄;
h)應(yīng)檢查是否有通信線路布線文檔,介質(zhì)清單和使用記錄,機(jī)房防盜報警設(shè)施和監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試/驗(yàn)收報告;查看文檔中的條文是否與通信線纜鋪設(shè)等實(shí)際情況一致。
六、參考資料
ISO17799中對信息標(biāo)識給出了一些實(shí)施指南:
7.2.1
分類指南
控制:
應(yīng)按照信息的價值、法律要求及對組織的敏感程度和關(guān)鍵程度進(jìn)行分類。
實(shí)施指南:
信息的分類及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響。
分類指南應(yīng)包括根據(jù)預(yù)先確定的訪問控制策略(見11.1.1)進(jìn)行初始分類和一段時間后進(jìn)行重新分類的慣例。
確定資產(chǎn)的類別、對其周期性評審、確保其跟上時代并處于適當(dāng)?shù)募墑e,這些都應(yīng)是資產(chǎn)所有者(見7.1.2)的職責(zé)。分類要考慮10.7.2 提及的集合效果。
對于分類種類的數(shù)目和從其使用中獲得的好處要予以考慮。過度復(fù)雜的方案可能對使用來說不方便和不經(jīng)濟(jì),或許是不實(shí)際的。在解釋其他組織文件上的分類標(biāo)記應(yīng)小心,因?yàn)槠渌M織可能對于相同或類似命名的標(biāo)記有不同的定義。
其他信息:
保護(hù)級別可通過分析被考慮信息的機(jī)密性、完整性、可用性及其他需求進(jìn)行評估。
在某一段時間之后,信息通常不再是敏感的或重要的,例如,當(dāng)該信息已經(jīng)公開時。上述各方面應(yīng)予以考慮,因?yàn)檫^多的分類致使實(shí)施不必要的控制措施,從而導(dǎo)致附加費(fèi)用。
當(dāng)指派分類級別的同時考慮具有類似安全需求的文件可簡化分類的任務(wù)。
一般地說,給予信息的分類是確定該信息如何予以處理和保護(hù)的簡便方法。
7.2.2
信息標(biāo)識與處置
控制:
應(yīng)制定并實(shí)施一套與組織所采用的分類方案一致的信息標(biāo)識和處置的程序。
實(shí)施指南:
信息標(biāo)識程序需要涵蓋物理和電子格式的信息資產(chǎn)。
系統(tǒng)的輸出包含的分類為敏感的或重要的信息應(yīng)在該輸出中攜帶合適的分類標(biāo)識。該標(biāo)識要根據(jù)7.2.1
中所建立的規(guī)則反映出分類。待考慮的項目包括打印報告、屏幕顯示、記錄介質(zhì)(例如磁帶、磁盤、CD)、電子報文和文件傳送。
對每種分類級別,要定義包括安全處理、儲存、傳輸、刪除、銷毀的處理程序。還要包括任何安全相關(guān)事件的監(jiān)督和記錄以及保管鏈的程序。
涉及信息共享的與其他組織的協(xié)議應(yīng)包括識別信息分類和解釋其他組織分類標(biāo)識的程序。
其他信息:
分類信息的標(biāo)記和安全處理是信息共享安排的一個關(guān)鍵要求。物理標(biāo)記是常用的標(biāo)記形式。然而,某些信息資產(chǎn)(諸如電子形式的文件等)不能做物理標(biāo)記,而需要使用電子標(biāo)記手段。例如,通知標(biāo)記可在屏幕上顯示出來。當(dāng)標(biāo)記不適用時,可能要應(yīng)用信息分類指定的其他方式,例如通過程序或元數(shù)據(jù)。
本文首發(fā):信息安全等級保護(hù)之技術(shù)要求→物理安全→防盜竊和防破壞
轉(zhuǎn)載于:https://www.cnblogs.com/caohaifeng/p/3484785.html
總結(jié)
以上是生活随笔為你收集整理的技术要求→物理安全→防盗窃和防破坏的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: UIScrollview 技巧
- 下一篇: chrome密码管理