ISO新27001信息安全体系培训(条款A9-物理跟环境安全)

ISO27001培训系列V1.0

ISO 27001信息安全体系培训控制目标和控制措施（条款A9-物理与环境安全）

2009年11月

董翼枫（dongyifeng78@ ）

条款A9

物理和环境安全

A9.1安全区域

✓目标：

防止对组织场所和信息的未授权物理访问、损坏和干

扰。

✓关键或敏感的信息处理设施要放置在安全区域内，并受到确定的安全边界的保护，包括适当的安全屏障和入口控制。这些设施要在物理上避免未授权访问、损坏和干扰。

✓所提供的保护要与所识别的风险相匹配。

控制措施

应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。

实施指南

对于物理安全边界，若合适，下列指南应予以考虑和实施：

a)安全边界应清晰地予以定义，各个边界的设置地点和强度取决于边界内资产的安全要求和风险评

估的结果；

b)包含信息处理设施的建筑物或场地的边界应在物理上是安全的（即，在边界或区域内不应存在可

能易于闯入的任何缺口）；场所的外墙应是坚固结构，所有外部的门要使用控制机制来适当保护，以防止未授权进入，例如，门闩、报警器、锁等；无人看管的门和窗户应上锁，还要考虑窗户的外部保护，尤其是地面一层的窗户；

c)对场所或建筑物的物理访问手段要到位（如有人管理的接待区域或其他控制）；进入场所或建筑

物应仅限于已授权人员；

d)如果可行，应建立物理屏障以防止未授权进入和环境污染；

e)安全边界的所有防火门应可发出报警信号、被监视并经过检验，和墙一起按照合适的地方、国内

和国际标准建立所需的防卫级别；他们应使用故障保护方式按照当地防火规则来运行。

f)应按照地方、国内和国际标准建立适当的入侵检测系统，并定期检测以覆盖所有的外部门窗；要

一直警惕空闲区域；其他区域要提供掩护方法，例如计算机室或通信室；

g)组织管理的信息处理设施应在物理上与第三方管理的设施分开。

控制措施

安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。

实施指南

下列指南应予以考虑：

a)记录访问者进入和离开的日期和时间，所有的访问者要予以监督，除非他们的访问事

前已经经过批准；只能允许他们访问特定的、已授权的目标，并要向他们宣布关于该区域的安全要求和应急程序的说明。

b)访问处理敏感信息或储存敏感信息的区域要受到控制，并且仅限于已授权的人员；认

证控制（例如，访问控制卡加个人识别号）应用于授权和确认所有访问；所有访问的审核踪迹要安全地加以维护。

c)所有雇员、承包方人员和第三方人员以及所有访问者要佩带某种形式的可视标识，如

果遇到无人护送的访问者和未佩带可视标识的任何人应立即通知保安人员。

d)第三方支持服务人员只有在需要时才能有限制的访问安全区域或敏感信息处理设施；

这种访问应被授权并受监视；

e)对安全区域的访问权要定期地予以评审和更新，并在需要时废除（见A8.3.3）。