第一章 總則
??????? 第一條?目的:為了適應(yīng)XX銀行(以下簡稱我行)物理與環(huán)境安全管理的需要��,保障我行生產(chǎn)和辦公系統(tǒng)的正常運行��,特制定本管理辦法��。
??????? 第二條?依據(jù):本管理辦法根據(jù)《XX銀行信息安全管理策略》制訂��。
??????? 第三條?范圍:本管理辦法適用于我行及所轄分�����、支行�。
??????? 第二章?基本要求
??????? 第四條?我行員工應(yīng)根據(jù)我行運營需要對資產(chǎn)進行保護。我行的資產(chǎn)保護要求通過完成以下目標(biāo)來實現(xiàn):
??????? (一)確保所有資產(chǎn)的物理和環(huán)境保護能得到我行的有效控制��。
??????? (二)減少擅自訪問或損壞或影響我行控制的資產(chǎn)的風(fēng)險�����。
??????? (三)防止我行控制的資產(chǎn)被人擅自刪除或移動���。
??????? 第五條?安全控制措施包括以下各項:
??????? (一)我行的場地(機房�、辦公室)的信息處理設(shè)施周圍設(shè)置實際安全隔離措施��,如門禁系統(tǒng)等��。
??????? (二)我行的大樓入口安全防范措施��。
??????? (三)防護設(shè)備避免發(fā)生火、水��、極端溫度/濕度�����、灰塵和電產(chǎn)生的危害�����。
??????? (四)設(shè)備維護�。
??????? (五)清理資產(chǎn)。
??????? 第三章 安全區(qū)域
??????? 第六條?我行的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域�����。
??????? 第七條?安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》���。
??????? 第八條?物理安全邊界
??????? 所有進入我行安全區(qū)域的人員都需經(jīng)過授權(quán),我行員工之外的人員進入我行安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進入(持有效證件�,得到被訪者允許)。
??????? 第九條?安全區(qū)域出入控制措施
??????? (一)物理控制措施
??????? 1�、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房���;
??????? 2����、出入機房必須登記《機房出入登記表》,記錄姓名�、出入時間、事由等���;
??????? 3�����、一段時間內(nèi)不會頻繁進入的機房應(yīng)上鎖�����,需要時由運維人員開啟進入工作��,并確保辦公完成后鎖好��;
??????? 4����、機房應(yīng)安裝閉路電視監(jiān)控����。在所有安全區(qū)域的工作均應(yīng)接受監(jiān)督或監(jiān)控��。
??????? (二)合同方及第三方
??????? 1�、要在主要出入口處填寫《來訪人員登記表》���;
??????? 2����、在顯眼處佩戴我行發(fā)出的臨時出入卡或訪客證����。
??????? (三)我行工作人員的控制措施
??????? 1、我行工作人員都必須在顯眼處佩帶胸卡���;
??????? 2�����、我行工作人員調(diào)離我行時�����,其實際進入權(quán)也同時相應(yīng)取消�����;
??????? (四)審查訪問
??????? 科技信息部應(yīng)定期(每三個月)審查訪問我行中心機房的人員名單并將進出權(quán)過期或作廢的人員從名單上劃掉����。
??????? (五)外部和環(huán)境威脅的安全防護
??????? 1�、機房建設(shè)應(yīng)符合GB 9361中A類安全機房的要求;
??????? 2�、危險或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品(例如文具等)不應(yīng)存放于安全區(qū)域內(nèi)��;
??????? 3�、恢復(fù)設(shè)備和備份介質(zhì)的存放地點應(yīng)與主場地有一段安全的距離,以避免影響主場地的災(zāi)難產(chǎn)生的破壞�;
??????? 4、應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備�����,并應(yīng)放在合適的地點����。
??????? 第十條?交接區(qū)安全
??????? (一)我行應(yīng)設(shè)立交接區(qū),同時:
??????? 1�����、向我行發(fā)送貨物必須預(yù)先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;
??????? 2�����、送貨公司名稱和交貨時間應(yīng)當(dāng)在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認��;
??????? 3�����、送貨公司在進入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認���;
??????? 4�、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應(yīng)檢驗貨物��,以保證沒有潛在的危害��。
??????? 第四章 設(shè)備安全
??????? 第十一條?設(shè)備安置與保護
??????? (一)我行中應(yīng)考慮以下控制措施:
??????? 1����、設(shè)備應(yīng)進行適當(dāng)安置,以盡量減少不必要的對工作區(qū)域的訪問;
??????? 2����、應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置�,以減少在其使用期間信息被窺視的風(fēng)險,還應(yīng)保護儲存設(shè)施以防止未授權(quán)訪問�;
??????? 3、要求專門保護的部件要予以隔離���,以降低所要求的總體保護等級�;
??????? 4�����、應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險�,例如偷竊、火災(zāi)����、爆炸、煙霧���、水(或供水故障)��、塵埃�、振動、化學(xué)影響�、電源干擾、通信干擾�、電磁輻射和故意破壞;
??????? 5��、應(yīng)建立在信息處理設(shè)施附近進食���、喝飲料和抽煙的指南��;
??????? 6�����、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視��;
??????? 7��、所有建筑物都應(yīng)采用避雷保護��,所有進入的電源和通信線路都應(yīng)裝配雷電保護過濾器���;
