6.8 物理和環境安全(PE)

6.8.1　物理和環境保護方針策略與規程(PE-1)

本項要求包括：

a) 應制定并發布物理和環境保護方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布物理和環境保護規程，以推動物理和環境保護方針策略及與相關安全控制的實施；

c) 應定期對物理和環境保護方針策略及規程進行評審和更新。

6.8.2　物理訪問授權(PE-2)

本項要求包括：

a) 應制定和維護對ICS設施具有訪問權限的人員名單；

b) 應定期對授權訪問人員名單進行評審和批準；

c) 應根據職位、角色對ICS設施進行物理訪問授權。

6.8.3　物理訪問控制(PE-3)

本項要求包括：

a) 應加強對所有ICS設施的指定進出口的物理訪問控制；

b) 應在指定進出口采用如圍墻、門禁卡、門衛等物理訪問控制措施，具有物理訪問授權不代表對該區域ICS組件有邏輯訪問權；

c) 應在訪問ICS設施前對人員的訪問權限進行驗證；

d) 應維護物理訪問記錄；

e) 應制定公共訪問區訪問控制策略；

f) 應在需要對訪客進行陪同和監視的環境下對訪問者的行為進行陪同和監視；

g) 組織應控制對ICS的物理訪問，這些控制應獨立于對設施的物理訪問控制；

h) 應對較容易進入且擁有可移動介質驅動器的計算機采取帶鎖、卸載或禁用等手段提高安全性；

i) 應將服務器放置在帶鎖的區域并采用認證保護機制；

j) 應將ICS網絡設備放置在只能由授權人員訪問的符合環境。

6.8.4　傳輸介質的訪問控制(PE-4)

本項要求包括：

a) 應采用安全防護措施對ICS設施內的傳輸線路進行物理訪問控制。

6.8.5　輸出設備的訪問控制(PE-5)

本項要求包括：

a) 應對ICS輸出設備進行物理訪問控制以防止非授權人員獲得輸出信息；

b) 控制對輸出設備的物理訪問；

c) 確保只有授權人員收到來自設備的輸出；

d) 組織應對輸出設備進行標記，標明哪些信息可以標記的輸出設備輸出。

6.8.6　物理訪問監控(PE-6)

本項要求包括：

a) 應監視ICS物理訪問以檢測物理安全事件，并對其作出響應；

b) 組織應設置防盜報警系統，識別潛在入侵、實時入侵報警并發起適當的響應行為；

c) 組織應采用自動化設備識別入侵，并實施自動響應動作；

d) 組織應采用視頻監控，并保留視頻記錄；

e) 應定期對物理訪問日志進行審查；

f) 應在發生事件或發現事件跡象的情況下對物理訪問日志進行審查。

6.8.7　訪問記錄(PE-7)

本項要求包括：

a) 應維護ICS設施的訪問記錄；

b) 應定期對訪問記錄進行評審；

c) 組織使用自動化的機制促進訪問日志的維護和回顧；

d) 組織維護所有物理訪問的記錄，包括訪客和授權用戶。

6.8.8　電源設備與電纜(PE-8)

本項要求包括：

a) 應保護ICS的電源設備與電纜免遭損害和破壞；

b) 應依據安全需求和風險，采用禁用或對電源進行物理保護的手段來防止系統的非授權的使用；

c) 組織應使用冗余的電力設備和電纜；

d) 組織應對關鍵ICS部件，使用自動化災難備份等安全控制措施。

6.8.9　緊急斷電(PE-9)

本項要求包括：

a) 應確保在緊急情況下能夠切斷ICS電源或個別組件電源；

b) 應在指定位置設置安全易用的緊急斷電開關或設備；

c) 應保護緊急斷電裝置設備，以防止非授權操作。

6.8.10　應急電源(PE-10)

本項要求包括：

a) 應為ICS配備應急UPS電源，并計算其續航時間；

b) 應提供短期不間斷電源，以便在主電源失效的情況下正常關閉ICS；

c) 應提供長期備份電源，以便主電源失效時在規定時間內保持ICS功能；

d) 組織提供給ICS備用電力供應系統，ICS能夠在主電源長期喪失的事故中有能力維持ICS所必須的最小的運行能力；

e) 組織提供ICS長期的備用電力供應系統，該系統是獨立運行而不依賴外部電源的。

6.8.11　應急照明(PE-11)

本項要求包括：

a) 應為ICS部署應急照明并進行維護，并確保其在斷電情況下的可用性；

b) 應在急照明設施中包含緊急通道和疏散通道指示牌。

6.8.12　消防(PE-12)

本項要求包括：

a) 應為ICS部署火災檢測和消防系統或設備，并維護該設備；

b) 應為消防系統或設備配備獨立電源；

c) 應使用防火設備或系統，該設備或系統在火災事故中會自動激活并通知組織和緊急事件處理人員；

d) 應使用滅火設備或系統，該設備或系統為組織和緊急事件處理人員提供任何激活操作的自動通知；

e) 應使用自動滅火系統；

f) ICS組件集中部署的區域，如主機房、通信設備機房等應采用具有耐火等級的建筑材料，采取區域隔離防火措施，將重要設備與其他設備隔離。

6.8.13　溫濕度控制(PE-13)

本項要求包括：

a) 應維護ICS所在設施的溫濕度，使其處于可接受的范圍；

b) 應定期監視溫濕度；

c) ICS組件集中部署的區域，如主機房、通信設備機房等應設置溫濕度自動調節設施，使機房溫濕度的變化在設備運行所允許的范圍之內。

6.8.14　防水(PE-14)

本項要求包括：

a) 應提供易用、工作正常的、關鍵人員知曉的總閥門或隔離閥門以保護ICS免受漏水事故的損害；

b) ICS組件集中部署的區域，如主機房、通信設備機房等水管安裝不得穿過機房屋頂和活動地板下，防止雨水通過機房窗戶、屋頂和墻壁滲透；

c) 組織應使用自動化機制，在重大漏水事故時能保護ICS免受水災。

6.8.15　交付及移除(PE-15)

本項要求包括：

a) 應對所有進出設施的ICS組件進行授權、監視、控制，并維護相關記錄。

6.8.16　備用工作場所(PE-16)

本項要求包括：

a) 備用工作場所實施的安全控制措施應該與當前工作場所等同；

b) 應評估備用工作場所安全控制措施的可行性和有效性；

c) 應提供安全事件發生時與信息安全人員溝通的渠道。

6.8.17　信息泄露(PE-17)

本項要求包括：

a) 應避免因電磁泄露、傳導等方式造成的信息泄露。