1、 文档编号XX_3_IS_物理安全区域管理规范版 本 号V1.0密 级内部公开物理安全区域管理规范XXX信息技术有限公司第 2 页 共 9 页文档信息发布版本:最后发布时间:编写人:审核人:文档编写目的本文档的编写是为了加强对XXX信息技术有限公司物理安全区域划分及安全规范管理。提升物理区域的安全管理水平,为物理区域安全管理提供指引与支持。文档主要内容本文规范了XXX信息技术有限公司物理安全区域划分的原则、标准以及各级最基本的安全控制措施,并明确了内部和外部人员对各级别物理安全区域的访问控制要求。文档适用范围本文档适用于XXX信息技术有限公司。 目 录1.目标、范围及术语定义52.物理安全区域
2、等级划分53.人员访问物理安全区域控制措施63.1.内部人员73.2.外部人员74.附则8附件一:物理安全区域划分与基本控制措施要求8第 3 页 共 9 页 1. 目标、范围及术语定义对于信息资产所在物理区域的管理是实现信息安全的最基础、底层的控制手段。通过本文件的制定,从信息安全角度明确对XXX信息技术有限公司(以下简称“XXX”)物理区域的划分及分级控制,提升物理区域的安全管理水平和规范性,为物理区域安全控制措施的落实提供指引与支持。本文件规范了XXX物理安全区域划分的原则、标准以及各级最基本的安全控制措施,并明确了内部和外部人员对各级别物理安全区域的访问控制要求。下列术语和定义适用于本文
3、件:n 物理安全区域:指XXX使用或租借、交换的工作场所或相关区域。n 资产敏感性级别:是为实现分级保护,针对XXX信息资产,根据其机密性不同所划分的级别,分为关键敏感资产、重要敏感资产、一般敏感资产和公开使用四级。2. 物理安全区域等级划分(1) 物理安全区域的等级将以XXX各区域内所包含的信息资产敏感性程度(信息资产敏感性分级参见运营_信息资产安全管理策略_系统(YP0030)为基础(如区域内有多个信息资产,在划分时则重点考虑区域内敏感性级别最高的信息资产),同时综合考虑可能面临的威胁及风险进行划定。(2) 基于以上划分原则,将XXX物理安全区域划分为四级,最高为四级,最低为一级,各级物理
4、安全区域定义及其基本控制措施要求具体如下:n 一级物理安全区域 此物理区域属于对外开放或半开放区域,其内一般无信息资产或包含敏感性级别为公开使用的信息资产,实施少量基本的控制措施即可;n 二级物理安全区域: 此物理区域内包含敏感性级别为一般敏感的信息资产;n 三级物理安全区域: 此物理区域属于XXX内部管理的主要区域,一般包括敏感性级别为重要敏感的信息资产;n 四级物理安全区域: 此物理区域为XXX核心区域,可能包含集中的敏感性级别为关键敏感的信息资产,需要落实严格的访问控制和监控措施;(3) 每级物理安全区域需要根据区域安全级别及区域特点采取针对性的安全控制措施,本文件列举了一些基本的控制措
5、施,具体参见附件一。(4) 对于紧急出口、设备间、配电室等不包含信息资产的物理安全区域,在等级划分时更多参照其破坏或停止服务后造成后果的严重程度来进行。(5) 三级及以上物理安全区域应采取标识;一级、二级物理安全区域除特殊情况外一般无需进行标识。3. 人员访问物理安全区域控制措施XXX相关部门根据人员工作或访问性质决定其可访问的物理安全区域。所有进入XXX二级以上物理安全区域的人员,必须在显眼处佩戴相应的身份识别卡。XXX所有员工均有义务监督其所在办公区内的访问活动,一旦发现非授权的访问时间应立即制止其活动,并及时报告安保部门。3.1. 内部人员(1) XXX内部访问人员根据工作职责、工作性质
6、、部门负责人授权等,具备访问不同级别不同物理安全区域的访问权限,一般内部人员应至少可以访问二级及以下物理安全区域。如需访问超出其访问权限的物理安全区域,需填写参观物理场地申请表,经相关部门负责人批准后由相应的授权人员进行陪同,且该陪同人员具有该物理安全区域的访问权限。访问人员和陪同人员必须在出入登记表上做出详细记录。(2) XXX内部员工的身份识别卡和门禁卡的申请、领用、发放、回收由行政部统一管理。身份识别卡和门禁卡的发放、领用和回收情况要由各部门相关人员及时登记并反馈至行政部,对于回收、遗失或无法收回的身份识别卡和门禁卡及时取消其访问权限,并通知包括前台在内的相关人员。(3) XXX内部员工
7、进出二级及以上物理安全区域时,需要以刷卡等方式经过门禁系统的验证。(4) 未带员工身份识别卡的XXX内部员工进入XXX物理安全区域,需在前台登记并领取临时身份识别卡,并在访问完成后及时归还。 (5) 外包人员等长期(一般超过6个月)在XXX办公的人员,可视为内部人员的特殊情况,赋予与其工作职能、范围相应的物理安全区域访问权限。3.2. 外部人员(1) 外部人员进出XXX物理安全区域,需要在前台处进行登记,详细填写姓名、证件号码、联系人、事由等事项,由XXX负责接待的部门核实无误,发放身份识别卡后,方可进入XXX物理区域。(2) 外部人员在获得人员身份识别卡后,可以访问一、二级物理安全区域;一般
8、不得进入三级及以上物理安全区域,如确有需要,需填写参观物理场地申请表,经相关部门负责人批准后由XXX授权员工进行全程全责陪同,且该陪同人员具有该物理安全区域的访问权限。访问人员和陪同人员必须在出入登记表上做出详细记录。(3) 物业、保洁、送货等经常进入XXX的人员,可视为外部人员中的特殊情况,赋予与其工作范围相应的物理安全区域访问权限。并根据实际情况(如进出XXX的距离、位置、频率等)确定是否需要申请身份识别卡,如果确定无需申请身份识别卡,则一定要将来访情况记录在值班日志上。4. 附则(1) 本文件由XXX信息安全部负责解释。(2) 本文件自发布之日起执行。(3) 本文件将每年进行一次评审修订,并在重大信息安全事件发生后进行评审修订。附件一:物理安全区域划分与基本控制措施要求控制级别物理安全区域基本控制措施要求四级生产机房环境监控、门禁、监控录像、标识、保安办公楼机房环境监控、门禁、标识高层领导办公室门锁、标识三级中层领导办公室门锁、标识财务室门锁、标识部门文件柜、保险柜标识、柜锁二级公共办公区门禁其他办公室门禁/门锁监控室、配电室、设备间、配电竖井、管道竖井门禁/门锁、标识消防区域监控录像、标识紧急出口区域监控录像、标识一级会议室门锁茶水间门锁楼层公共区域监控录像前台接待区前台接待第 9 页 共 9 页
