5.2.7 物理与环境安全
物理与环境安全包含2个控制目标15个控制措施。
一个安全区域可以是一个可上锁的办公室,或是被连续的内部物理安全屏障包围的几个房间。在安全边界内具有不同安全要求的区域之间需要部署控制物理访问的附加屏障和围栏。
安全区域应由适合的人口控制所保护,例如门禁系统、专人值守等,以确保只有授权的人员才允许访问。
应为办公室、房间和设施设计并采取物理安全措施,例如门锁、带锁的文件柜、保险柜等,防止未授权人员进入或访问敏感信息。
应制定规程设计和应用物理保护措施以防各种自然灾害、恶意攻击和意外,例如在机房设置气体消防灭火器避免火灾引起的破坏,类似的还有洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏。
应制定和应用安全区域工作规程。要求雇员和承包商委派人员在安全区域内进行工作, 以及对其他发生在安全区域的所有活动控制。
访问点如送货和装卸区和未授权人员可进入办公场所的其他点应加以控制。