10.1 物理和環境安全策略和流程（MPH_PPP）

物理和環境安全是信息安全管理的基礎。組織機構應保證物理安全區域安全，建立嚴格的物理訪問控制措施，對辦公區域和公眾區域制定安全管理制度，以防止非法訪問、危害及干擾系統運行。物理設施是系統的重要資產，應在防火、防水、防電、防氣等方面做到安全防護，保證系統持續運行。
物理和環境安全管理保障控制類的目的是建立完善的物理和環境安全管理體系，保證基礎設施安全。

10.1.1　安全保障管理目的

物理和環境策略是為保證系統內基礎設施的安全而制定的一組法律、法規和措施的總合，是對安全管理規則的正式描述，是所有人員都必須遵守的規則。

10.1.2　MPH_PPP.1物理和環境安全策略和流程

10.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的物理和環境安全策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施人員安全策略和相關的人員安全控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全管理與運行的過程實施步驟、內容、結果。

10.1.2.2　管理保障控制組件注解

物理和環境保護策略和流程應符合可適用的法律、指令、策略、規范、標準和指南。物理和環境保護策略應作為組織機構信息安全策略的一部分。 可根據需要，為信息安全規程整體或為某個特定系統來編制物理和環境保護流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。