iso27001和iso27001信息安全管理体系认证之安全区域控制程序
1. 目的
为了加强公司的物理和环境安全管理,以确保满足公司内部及客户对对信息安全的要求,特制定本程序。
2. 范围
本程序适用于公司物理区域的安全管理。
3. 职责与权限
3.1人事行政部
人事行政部是公司办公环境管理、治安、保卫、消防等工作的职能管理部门,负责公司上述工作的监督管理。
3.2人事行政部
人事行政部是公司机房的职能管理部门,负责公司机房相关的人员出入控制、机房设备管理等日常工作。
3.3全体员工
公司全体员工应严格遵守本程序的各项要求。
4. 相关文件
a) 《信息安全奖惩管理规定》
5. 术语定义
安全区域:有明确的安全周界,包含重要的或敏感的信息或信息处理设施的区域。
6. 控制程序
6.1安全区域的范围及总体要求
6.1.1 安全区域分为一般安全区域和重要安全区域。重要安全区域包括公司人事行政部及财务部,重要安全区域以外的安全区域为一般安全区域。
6.1.2 安全区域应建立牢固的物理安全周界,应有妥当的出入控制保护,以防未经授权的进入。
6.1.3安全区域应采取适当的防火、防水等消防措施,防范由火灾或水灾等引起的风险。
6.2安全区域周界的要求
6.2.1公司所在区域应有明确的安全周界,并设有门禁控制或锁具。
6.2.3对重要安全区域,未经授权不允许外来人员直接入内,接待人员应在接待处,或在会议室接待来访人员,防止未经授权的访问。
6.2.4 安全周界的实物关卡应从地板延伸到天花板,以防未经授权的人进入及由诸如火灾、水灾等引起的环境污染。
6.3安全区域内的控制要求
6.3.1外部人员访问控制
a) 公司前台人员要确保未经批准的访客拒绝进入公司办公区域。
b) 外部人员来访时,前台人员应与外部人员的接待部门人员电话确认是否预约,确认后应填写《出入登记表》,并在前台等待接待部门人员。
c) 访客随身携带的手提电脑等信息存储设备不允许随意连接公司的网络及拷贝公司资料。
6.3.2员工访问控制
a) 公司将工作环境划分成不同的控制区域(主要按照部门划分),不同员工有不同的访问许可;未经允许员工不得进入非授权区域。
b) 在工作环境内,员工应佩戴出入证。
c) 已离职员工回公司处理其它事务的,不能进入重要安全区域,应在前台或会客室等待,由接待员工负责帮助办理其事务。
6.3.3物品出入管理
a) 没有指定主管签字许可的放行条,不允许公司物品带出公司。
b) 禁止将易燃易爆等危险物品带入工作环境。
6.3.4安全监控
a) 在所有出入口和重要的工作区设置监视器进行监视和录像,录像数据至少要保留15天。
b) 经常检查监控数据,发现危害信息安全情况及时报告处理。
6.3.5废弃处理
a) 含有非公开信息的纸张在丢弃前要用碎纸机销毁。
b) 任何硬盘在报废和交给产商修复前,要交给信息管理部做消磁等信息清除处理。
6.3.6桌面及办公区管理
a) 不能把非公开资料随处乱放,要收集并放置在指定位置。
b) 每天在离开工作区前,要整理自己的桌面,不在桌面上遗留非公开资料。要把机密和秘密资料锁进柜子里。
c) 涉及重要资源的办公区非办公时间应该上锁,并确定管理人。
d) 在员工离开工作环境后,要检查所有的门窗是否关好。
6.3.7会议室管理
a) 各部门使用会议室前应提前向会议室的指定负责部门申请,未经预约,任何人不得在闭会期间随便出入。
b) 与会人员需要签字确认,确保没有无关人员参加。
c) 会议期间关闭会议室大门,避免会议室的声音外泄。未经允许,参会人员不得携带任何录音、录像设备进入会议室。
d) 爱护会议室设备,避免设备损坏。
e) 离开会议室检查电脑、桌面、白板并清理干净,确保重要会议资料不泄漏或遗失。
6.3.8消防安全
a) 灭火器的放置地点要清楚标识,并每月进行抽检。重要的场所如服务器区域、保存重要资料的办公区应有充分的安全防护措施。
b) 办公区逃生路线指示系统要清晰直观,要定期检测其工作状态,以确保指示系统能正常工作;逃生路线要能够帮助员工在紧急情况下快速安全地逃离,要确保逃生路线畅通无阻。
c) 每年定期举办消防和逃生演习,提高员工安全意识和逃生技能。
7 附件、记录
7.1 《出入登记表》
7.2 《物品放行条》
7.3 《公司物理平面图》