从环境安全和物理角度分析ISO27001信息安全管理体系
里面,对于物理和环境安全的建设要求其实并不算细致和严格。和等级保护、银行数据中心监管指引等没法比。或许是因为,面向的可以是所有企业,很多企业的机房、数据中心等不可能建设的如此先进。
这个控制域里主要分为两部分:
一是划分安全区域,制定相应的访问控制策略。
二是对于一些基础设备的一些建设要求,这块的要求都是一些基本要求。
对于划分安全区域,可以根据自己企业或者部门的具体特性和实际情况来进行。一般可以分为三种:公共区域、安全区域、保密区域。每访问一种更高级的区域都要制定相应的访问控制策略和审批流程。比如:进入公司公共办公区域,一般刷卡就可以。如果要进入安全区域,则需要刷特殊权限的门卡或者填写访问申请单等,然后会有相应的安全要求,类似于严禁拍照等。如果要进入到保密区域,则需要更严格访问控制措施,流程上比如需要领导审批之类的,实施上比如需要陪同、有时间限制等等。当然,也可以根据自己企业的实际情况进行调整。分为2级、4级、5级都可以。总之,越细致的策略对应的顾问工作量就越大。还有,访问控制策略越严格当然就越安全,但是一般也就越不方便,所以还要把控一个度,避免太强的抵触情绪导致策略无法落实。对于基础设施的要求这块,也算是有两部分内容:设备物理安全的保护要求,设备环境安全的保护要求。所谓设备物理安全的保护要求指的是:设备至少应该放在相对安全的地点吧,防盗防火防雷等是比较基本的要求了,防地震算是严格点的但是这不是强制的,咱们可以选择这条不适用本企业。有了这些要求就要有相应的技术手段去实现。防盗的话就是要有相对物理隔离的区域存放各种设备。防火就是要有气体灭火器等,能是自动的更好;这里要注意一点,一定不能是液体灭火设备啊,一些比较老的建筑还是用液体灭火设备的就不能存放IT设备了,因为即使火没把设备烧坏,水也会把设备淋坏了;防雷的话就是避雷针,这个现代建筑都有的。
设备的环境安全要求指的是:对于机房设备应该进行恒温恒湿的保护,这个部分装个空调就好了,要求越高就装越贵的空调。应该进行防止断电的保护,这块就是UPS和柴油发电机了,没条件的至少要有个UPS,UPS至少也得能坚持十几二十分钟吧;有条件的可以弄个柴油发电机,运营商的柴油发电机一般搞得都很高大上,现在一些做云服务的厂商建设的也挺先进,只是不清楚具体运维的怎么样,毕竟这些设备如果不经常进行预案演练的话,在发生事件后还是很容易相当于没有的。环境这块还有一个就是布缆安全;应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏。
武汉宏儒为您服务
咨询中心:夏老师
***
客服热线【***,87136096,***】
网址:
武汉宏儒拥有20年ISO认证咨询经验,湖北省内知名管理咨询公司。提供与ISO认证相关服务,包括:ISO9001:2008质量管理体系认证咨询、ISO14001:2004环境管理体系认证咨询、ISO/TS16949:2009国际汽车工业质量管理体系认
证咨询、OHSAS18001:2007职业健康与安全管理体系咨询、HACCP食品卫生与安全管理体系认证咨询、
ISO22000食品安全管理体系认证咨询、QC080000危害物质管理体系认证咨询、ISO13485医疗器械行业质量管
理体系认证咨询、SA8000社会责任管理体系认证咨询、FSC森林保护体系认证咨询、十环认证(中国环境产品
标致认证)、ISO27001信息安全管理体系认证、精益生产咨询、按效果付费咨询等服务。
质量 认证 审核 质量认证 认证审核 质量审核 质量认证审核 体系 管理 质量管理 质量体系 ISO27001信息安全管理体系认证 ISO27001认证