[ISMS-C-15]设备及布缆安全策略.docx

设备及布缆安全策略发布部门信息安全小组生效时间2019-11-01批准人文件编号ISMS-C-15介绍网络基础设施是向所有信息资源用户提供服务的中心设施。这些基础设施（包括电源馈送和数据传输的电缆以及相关的设备）需要持续不断的发展以满足用户需求，然而同时也要求网络技术高速发展以便将来能够提供功能更强大的用户服务。 该方针的目的保护设备免受物理的和环境的威胁，减少未授权访问信息的风险。防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断； 为了安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会； 为了保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断，应有足够的支持性设施（供电、供水、通风和空调等）来支持系统； 为了保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏，电源馈送和数据通讯的电缆必须确保安全； 为了确保设备持续的可用性和完整性，设备应予以正确地维护； 为了对组织非现场设备采取安全措施，要考虑工作在组织场所以外的不同风险； 支持性设施方针令支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电；令 对支持关键业务操作的设备，必须使用支持有序关机或连续运行的不间断电源（UPS）；令 电源应急计划要包括UPS故障时要采取的措施。UPS设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试；令连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。 布缆安全方针：令 进入信息处理设施的电源和通信线路宜在地下，若可能，或提供足够的可替换的保护；令 网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；令为了防止干扰，电源电缆要与通信电缆分开；令 使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的意外配线；令用文件化配线列表减少失误的可能性；令对于敏感的或关键的系统，更进一步的控制考虑应包括：* 在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子；* 使用可替换的路由选择和/或传输介质，以提供适当的安全措施；* 使用纤维光缆；* 使用电磁防辐射装置保护电缆；* 对于电缆连接的未授权装置要主动实施技术清除、物理检查； 组织场所外的设备安全方针令无论责任人是谁，在组织场所外使用任何信息处理设备都要通过管理者授权；令离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带，若可能应伪装起来；令 制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内;令家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例如，可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信；令足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。 设备的安全处置和再利用方针令包含敏感信息的设备在物理上应予以摧毁，或者采用使原始信息不可获取的技术破坏、删除、覆盖信息，而不能采用标准的删除或格式化功能;令包含敏感信息的已损坏的设备可能需要实施风险评估，以确定这些设备是否要进行销毁、而不是送去修理或丢弃。 资产移动方针令在未经事先授权的情况下，不允许让设备、信息或软件离开办公场所；令应明确识别有权允许资产移动，离开办公场所的雇员、承包方人员和第三方人员；令应设置设备移动的时间限制，并在返还时执行符合性检查；令 若需要并合适，要对设备作出移出记录，当返回时，要作出送回记录；令应执行检测未授权资产移动的抽查，以检测未授权的记录装置、武器等等，防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。违背该方针可能导致：员工被解雇、合同方或顾问的雇佣关系终止、实习人员失惩罚 去继续工作的机会、员工受到经济性惩罚等；另外，这些人员的信息资源访问权以及公民权可能受到侵害，甚至遭到法律起诉。引用标准