11.1安全區域

11.1安全區域

11.1.1物理安全邊界

控制
宜定義和使用安全邊界來保護包含敏感或關鍵信息和信息處理設施的區域。
實現指南
對于物理安全邊界，若適合，宜考慮和實現下列指南：
a) 宜確定安全邊界，各個邊界的設置地點和強度取決于邊界內資產的安全要求和風險評估的結果；
b) 包含信息處理設施的建筑物或場地的邊界宜在物理上是安全的（即，在邊界或區域內不宜存在可能易于闖入的任何缺口）；場所的房頂、墻和地板宜是堅固建筑，所有通往外部的門宜使用控制機制（例如，門閂、報警器、鎖等）來適當保護，以防止未授權進入；無人看管的門和窗戶要上鎖，還要考慮窗戶的外部保護，尤其是地面一層的窗戶；
c) 宜設立人工接待區域或采用其他手段，控制實際進入場所或建筑物；宜限制只有授權的人員才能進入場所或建筑物；
d) 適用時，宜建立物理屏障以防止未授權進入和環境污染；
e) 宜根據相關標準，在安全邊界的所有防火門及其墻體上，安裝報警裝置，并進行監事和測試，以建立所需的防衛水平；它們宜按我國消防規范安全運行。
f) 宜按照我國標準，對所有的外部門窗安裝適當的安防監測系統，并進行定期測試；宜一直警惕空閑區域；其他區域宜提供掩護方法，例如計算機室或通信室；
g) 組織管理的信息處理設施宜在物理上與外部方管理的設施分開。
其他信息
物理保護可以通過在組織邊界和信息處理設施周圍設置一個或多個物理屏障來實現。多重屏障的使用將提供附加保護，一個屏障的失效不意味著立即危及到安全。
一個安全區域可以是一個可上鎖的辦公室，或是被連續的內部物理安全屏障包圍的幾個房間。在安全邊界內具有不同安全要求的區域之間宜需要額外的屏障和邊界以控制物理訪問。宜特別注意容納多個組織資產的建筑的物理訪問安全。

11.1.2物理入口控制

控制
安全區域宜由適合的入口控制所保護，以確保只有授權的人員才允許訪問。
實現指南
宜考慮下列指南：
a) 記錄訪問者進入和離開的日期和時間，所有的訪問者宜予以監督，除非他們的訪問事前已經經過批準；只允許他們訪問特定的、已授權的目的，并宜向他們宣布關于該區域的安全要求和應急規程的說明。來訪者的身份宜通過適當的方式進行身份驗證；
b) 宜通過實現適當的訪問控制，來實現僅限于已授權人員才可訪問處理或儲存保密信息的區域，例如，可采用如門禁卡和秘密個人識別碼的雙因素鑒別機制；
c) 宜安全地維護和監視所有訪問的紙質登記冊或者電子審核蹤跡；
d) 所有員工、合同方人員和外部人員以及所有訪問者宜佩帶某種形式的可視標識，如果遇到無人護送的訪問者和未佩帶可視標識的任何人宜立即通知保安人員。
e) 限制外部支持服務人員，僅當需要時才能訪問安全區域或保密信息處理設施；這種訪問宜被授權并受監視；

11.1.3辦公室、房間和設施的安全保護

控制
宜為辦公室、房間和設施設計并采取物理安全措施。
實現指南
保護辦公室、房間和設施的安全，宜考慮下列指南：
a) 關鍵設施的安置宜避免公眾訪問的場地；
b) 適用時，建筑物宜不引人注目，并且在建筑物內側或外側用不明顯的標記給出其用途的最少指示，以標識信息處理活動的存在；
c) 宜配置設施以防保密信息或活動被外部可視或可聽。適當時，也宜考慮電磁屏蔽。

11.1.4外部和環境威脅的安全防護

控制
宜設計和應用物理保護以防自然災害、惡意攻擊和意外。
實現指南

11.1.5在安全區域工作

控制
宜設計和應用安全區域工作規程。
實現指南
宜考慮下列指南：
a) 基于“須知”原則，員工宜僅知曉安全區域的存在或其中的活動；
b) 為了安全原因和減少惡意活動的機會，均宜避免在安全區域內進行不受監督的工作；
c) 未使用的安全區域宜上鎖并定期予以評審；
d) 未經授權，不宜允許攜帶攝影、視頻、音頻或其他記錄設備，例如移動設備中的照相機。

11.1.6交接區

控制
訪問點（例如交接區）和未授權人員可進入的其他點宜加以控制，如果可能，宜與信息處理設施隔離，以避免未授權訪問。
實現指南
宜考慮下列指南：
a) 由建筑物外進入交接區的訪問宜限于已標識的和已授權的人員；
b) 交接區宜設計為在交接人員無需訪問建筑物的其他部分就能裝卸物資；
c) 當內部門打開時，交接區外部門宜得到安全保護；
d) 運進的物資在搬離交接區之前，宜進行檢查和檢驗是否存在爆炸物、化學品或者其他危險物質；
e) 運進的物資宜按照資產管理規程（見第8章）在場所入口處進行登記；
f) 如可能，運進和運出的貨物宜在物理上予以隔離；