一、要求内容
a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d)应对介质分类标识,存储在介质库或档案室中;
e)应利用光、电等技术设置机房防盗报警系统;
f)应对机房设置监控报警系统。
二、实施建议
首先需要明确所有信息资产都应根据其重要程度实施物理上的保护措施。
制定完整、统一、唯一、详细的资产分类和标识规定,并应在资产的明显出进行标记;在实施物理保护措施的同时增加监控、报警系统对资产的安全进行辅助管理,如在重要资产存放区域和附近增加红外或感应报警系统。
三、常见问题
虽然多数单位能够做到对重要资产采取基本的安全保护措施,但对线缆一类的资产则可能忽略采取保护手段,而且大都缺少很好资产分类和标识规定,尤其是经过多次易手的组织资产,经常是没有对资产进行标记,有的甚至出现多种不同的标签。
四、实施难点
对于信息资产的分类和标记方法应当尽量做到与财务或行政部门对固定资产的要求相一致。
五、测评方法
形式
访谈,检查。
对象
物理安全负责人,机房维护人员,资产管理员,设备,介质,通信线缆,机房设施,介质清单和使用记录,通信线路布线文档,运行和报警记录,监控记录,防盗报警系统和监控报警系统的安全资质材料、安装测试/验收报告。
实施
a)应访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施;
b)应访谈机房维护人员,询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否设置了冗余或并行的通信线路;是否对机房安装的防盗报警系统和监控报警系统进行定期维护检查;
c)应访谈资产管理员,在介质管理中,是否进行了分类标识,是否存放在介质库或档案室中;
d)应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的不易除去的标记;是否有设备物理位置图,是否经常检查设备物理位置的变化;
e)应检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);
f)应检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档案室中;是否有异地保存的措施;
g)应检查机房防盗报警设施是否正常运行,并查看运行和报警记录;应检查机房的摄像、传感等监控报警系统是否正常运行,并查看运行记录、监控记录和报警记录;
h)应检查是否有通信线路布线文档,介质清单和使用记录,机房防盗报警设施和监控报警设施的安全资质材料、安装测试/验收报告;查看文档中的条文是否与通信线缆铺设等实际情况一致。
六、参考资料
ISO17799中对信息标识给出了一些实施指南:
7.2.1
分类指南
控制:
应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类。
实施指南:
信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。
分类指南应包括根据预先确定的访问控制策略(见11.1.1)进行初始分类和一段时间后进行重新分类的惯例。
确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别,这些都应是资产所有者(见7.1.2)的职责。分类要考虑10.7.2 提及的集合效果。
对于分类种类的数目和从其使用中获得的好处要予以考虑。过度复杂的方案可能对使用来说不方便和不经济,或许是不实际的。在解释其他组织文件上的分类标记应小心,因为其他组织可能对于相同或类似命名的标记有不同的定义。
其他信息:
保护级别可通过分析被考虑信息的机密性、完整性、可用性及其他需求进行评估。
在某一段时间之后,信息通常不再是敏感的或重要的,例如,当该信息已经公开时。上述各方面应予以考虑,因为过多的分类致使实施不必要的控制措施,从而导致附加费用。
当指派分类级别的同时考虑具有类似安全需求的文件可简化分类的任务。
一般地说,给予信息的分类是确定该信息如何予以处理和保护的简便方法。
7.2.2
信息标识与处置
控制:
应制定并实施一套与组织所采用的分类方案一致的信息标识和处置的程序。
实施指南:
信息标识程序需要涵盖物理和电子格式的信息资产。
系统的输出包含的分类为敏感的或重要的信息应在该输出中携带合适的分类标识。该标识要根据7.2.1
中所建立的规则反映出分类。待考虑的项目包括打印报告、屏幕显示、记录介质(例如磁带、磁盘、CD)、电子报文和文件传送。
对每种分类级别,要定义包括安全处理、储存、传输、删除、销毁的处理程序。还要包括任何安全相关事件的监督和记录以及保管链的程序。
涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分类标识的程序。
其他信息:
分类信息的标记和安全处理是信息共享安排的一个关键要求。物理标记是常用的标记形式。然而,某些信息资产(诸如电子形式的文件等)不能做物理标记,而需要使用电子标记手段。例如,通知标记可在屏幕上显示出来。当标记不适用时,可能要应用信息分类指定的其他方式,例如通过程序或元数据。