An toàn vật lý và môi trường A.11. An ninh vật lý và môi trường: Các biện pháp kiểm soát trong phần này ngăn chặn việc truy cập trái phép vào các khu vực thực tế và bảo vệ thiết bị và cơ sở vật chất khỏi bị xâm phạm bởi sự can thiệp của con người hoặc tự nhiên.
Mục lục
Tổng quan về việc thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013?

- Quy định các biện pháp kiểm soát môi trường và giám sát an ninh vào ra khu vực hoạt động của Trung tâm CNTT
- Áp dụng tại Trung tâm CNTT
- Áp dụng đối với cá nhân làm việc, phối hợp làm việc tại Trung tâm CNTT
1.Bố trí và sơ đồ mặt bằng Trung tâm CNTT
- Vẽ sơ đồ mặt bằng/sơ đồ bố trí thiết bị công nghệ thông tin
- Phân chia các khu vực có mức độ an ninh khác nhau
- Quy định nội quy khi đi vào từng khu vực
- Người nào có thẩm quyền đi vào các khu vực này
2. Kiểm soát ra vào Trung tâm
- Thực hiện các biện pháp theo dõi và giám sát ra vào các khu vực an ninh đã phân chia ở trên.
- Nhân viên ra vào Trung tâm phải ghi lại nhật ký làm việc.
- Khách tham quan và nhà cung cấp khi ra vào Trung tâm phải được ghi vào sổ nhật ký làm việc và có người giám sát.
3. An ninh Trung tâm
- Gắn bảng nhận dạng các khu vực an ninh của Trung tâm.
- Cá nhân được cấp quyền sử dụng khóa cửa ra vào Trung tâm phải bảo quản cẩn thận, không giao cho người không phận sự, không được sao chép, khi bị mất phải báo ngay cho cấp quản lý để có biện pháp xử lý.
- Trước khi vào Trung tâm phải kiểm tra tính toàn vẹn của cửa ra vào và phải tắt đèn, khóa cửa cẩn thận trước khi rời khỏi.
- Khách tham quan, nhà cung cấp không được tự ý chụ ảnh, quay phim dưới mọi hình thức và sao chép dữ liệu ra thiết bị lưu trữ cá nhân khi chưa được phép.
- Có hệ thống quan sát, ghi lại hình ảnh hoạt động tại khu vực hoạt động của Trung tâm.
4. Phòng chống các đe dọa từ môi trường và từ bên ngoài
- Giám sát, ghi lại nhiệt độ, độ ẩm không khí tại Trung tâm để theo dõi và điều chỉnh phù hợp cho thiết bị hoạt động.
- Có bố trí hệ thống bình chữa cháy hoặc hệ thống báo cháy chữa cháy chuyên dụng.
- Thường xuyên kiểm tra độ thấm nước của tường, trần tại Trung tâm.
5.Quy định làm việc trong Trung tâm CNTT
- Nhân viên làm việc ở Trung tâm CNTT phải được đào tạo, tập huấn về các chính sách an ninh thông tin.
- Nhân viên và các bên có liên quan phải tuân thủ theo quy định của Trung tâm CNTT.
- Nhân viên và các bên liên quan không được ăn, uống, hút thuốc trong Trung tâm CNTT; không mang giày dép, chất lỏng, chất dễ cháy nổ vào Trung tâm CNTT.
6.Khu vực nhận và giao hàng hóa
- Khu vực giao hàng phải thiết kế đủ để nhà cung ứng có thể chất hàng mà không xâm nhập vào các khu vực an ninh.
- Hàng mua vào phải kiểm tra về khả năng gây cháy nổ, hóa chất độc hại…
- Hàng mua vào phải là loại nằm trong danh mục tài sản thông tin
Nội dung
Tại sao phải thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013?
- Đảm bảo ATTT của tổ chức, đối tác và khách hàng. Giúp cho hoạt động của tổ chức luôn thông suốt và an toàn.
- Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày.
- Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.
- Đảm bảo hoạt động của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.
- Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác. Thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.
Các nội dung chính cần phải có thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013?
Phụ lục A.11.1 về đảm bảo các khu vực vật lý và môi trường an toàn. Mục tiêu trong Phụ lục A kiểm soát này là ngăn chặn việc truy cập vật lý trái phép, làm hỏng và can thiệp vào thông tin và phương tiện xử lý thông tin của tổ chức. Đó là một phần quan trọng của hệ thống quản lý bảo mật thông tin (ISMS), đặc biệt nếu bạn muốn đạt được chứng chỉ ISO 27001
A.11.1.1 Chu vi an ninh vật lý
- Điều này mô tả các chu vi và ranh giới bảo mật có các khu vực chứa thông tin nhạy cảm hoặc quan trọng và bất kỳ phương tiện xử lý thông tin nào như máy tính, máy tính xách tay, v.v.
- Chu vi bảo mật vật lý được định nghĩa là “bất kỳ ranh giới chuyển tiếp nào giữa hai khu vực có yêu cầu bảo vệ an ninh khác nhau”. Điều này có thể khá cụ thể chẳng hạn như; Ở ranh giới ngoài cùng của địa điểm và bao gồm không gian ngoài trời và trong nhà; Giữa bên ngoài một tòa nhà và bên trong nó; Giữa hành lang và văn phòng hoặc giữa bên ngoài tủ lưu trữ và bên trong nó.
- Nó cũng có thể được nói đơn giản là HQ với địa chỉ của nó và các ranh giới trong phạm vi xung quanh nó.
A.11.1.2 Kiểm soát đầu vào vật lý
- Các khu vực an toàn cần được bảo vệ bằng các biện pháp kiểm soát ra vào thích hợp để đảm bảo chỉ những người có thẩm quyền mới được phép tiếp cận. Như một ví dụ thực sự cơ bản, chỉ những nhân viên đã được cấp mã truy cập báo động và nhận được chìa khóa mới có thể vào văn phòng. Các tổ chức ngại rủi ro hơn và hoặc những tổ chức có thông tin nhạy cảm hơn đang bị đe dọa có thể đi sâu hơn nhiều với các chính sách bao gồm sinh trắc học và các giải pháp quét.
- Các biện pháp kiểm soát đầu vào sẽ cần được lựa chọn và thực hiện dựa trên bản chất và vị trí của khu vực đang được bảo vệ, và khả năng thực hiện các biện pháp kiểm soát đó. Việc kiểm soát khách truy cập cũng sẽ đặc biệt quan trọng và các quy trình liên quan đến việc này cần được xem xét.
- Cần cân nhắc thêm về việc cấp quyền truy cập vào các khu vực mà thông tin nhạy cảm hoặc đã được phân loại đang được xử lý hoặc lưu trữ. Trong khi các khu vực chứa thiết bị cơ sở hạ tầng CNTT quan trọng nói riêng cần được bảo vệ ở mức độ lớn hơn và quyền truy cập chỉ giới hạn ở những thiết bị thực sự cần thiết ở đó.
A.11.1.3 Bảo đảm văn phòng, phòng và cơ sở vật chất
- An ninh văn phòng, phòng và cơ sở vật chất có vẻ dễ dàng và hiển nhiên, nhưng điều đáng xem xét và thường xuyên xem xét xem ai nên có quyền truy cập, khi nào và bằng cách nào. Một số điều thường bị bỏ lỡ là; Ai có thể nhìn thấy hoặc thậm chí nghe thấy vào văn phòng từ bên ngoài và phải làm gì với điều đó.
- Quyền truy cập được cập nhật khi nhân viên rời đi hoặc chuyển công tác nên không cần truy cập vào phòng cụ thể này nữa; Du khách có cần được hộ tống trong khu vực này không và có phải vậy không? Và nhân viên có cảnh giác trước việc thách thức và báo cáo những người mà họ không nhận ra không? Đối với các phòng được chia sẻ với những người khác
- Đánh giá viên bên ngoài sẽ kiểm tra các biện pháp kiểm soát an ninh đối với văn phòng, phòng và cơ sở vật chất và kiểm tra xem có bằng chứng về việc thực hiện, vận hành và xem xét kiểm soát dựa trên rủi ro đầy đủ, định kỳ hay không
A.11.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và môi trường
- Kiểm soát này mô tả cách thức bảo vệ vật lý chống lại thiên tai, các cuộc tấn công độc hại hoặc tai nạn được ngăn chặn.
- Các mối đe dọa về môi trường có thể xảy ra tự nhiên (ví dụ như lũ lụt, lốc xoáy, sét, v.v.) hoặc do con người tạo ra (ví dụ như rò rỉ nước từ các cơ sở, bất ổn dân sự, v.v.).
- Cần phải xem xét các mối đe dọa như vậy và các rủi ro được xác định, đánh giá và xử lý thích hợp. Tuy nhiên, có thể không tránh khỏi một số mối đe dọa (ví dụ như ngồi trên một vùng đồng bằng ngập lụt) mà không tốn kém chi phí hoặc bất tiện đáng kể, điều đó không có nghĩa là không thể thực hiện các hành động.
- Có thể cần phải có sự tư vấn của chuyên gia đối với một số khía cạnh của quản lý môi trường và cần được xem xét nếu cần thiết. Hiểu được vị trí của bạn và những gì ở gần đó là rất quan trọng để xác định các rủi ro tiềm ẩn. Đánh giá viên sẽ tìm kiếm bằng chứng cho thấy sự suy nghĩ đã đi vào việc xác định các mối đe dọa và lỗ hổng tiềm ẩn (cả tự nhiên và nhân tạo) và môi trường đó rủi ro đã được đánh giá và được xử lý hoặc dung nạp cho phù hợp.
A.11.1.5 Làm việc trong các khu vực an toàn
Một trong những biện pháp kiểm soát truy cập đã được xác định và triển khai cho các khu vực an toàn, điều quan trọng là chúng phải được bổ sung với các kiểm soát thủ tục liên quan đến các rủi ro có thể xảy ra khi ở trong khu vực an toàn. Ví dụ, có thể cần phải có:
- Nhận thức hạn chế về vị trí và chức năng của các khu vực an toàn;
- Hạn chế sử dụng thiết bị ghi âm trong khu vực an toàn;
- Hạn chế làm việc không có giám sát trong các khu vực an toàn nếu có thể;
- Sau khi kiểm tra các biện pháp kiểm soát tiếp cận khu vực an toàn, đánh giá viên sau đó sẽ xem xét các biện pháp kiểm soát này có được hỗ trợ hay không, khi cần thiết với các chính sách và thủ tục thích hợp và bằng chứng về việc quản lý của chúng được duy trì.
A.11.1.6 Khu vực giao hàng & chất hàng
- Các điểm truy cập như khu vực giao hàng và chất hàng và các điểm khác mà người không được phép có thể vào cơ sở phải được kiểm soát và nếu có thể, cách ly khỏi các cơ sở xử lý thông tin để tránh truy cập trái phép. Các nơi làm việc chỉ đám mây hoặc kỹ thuật số có thể không có bất kỳ nhu cầu nào về chính sách hoặc kiểm soát xung quanh các khu vực giao hàng và chất hàng; trong trường hợp đó, họ sẽ lưu ý nó và đặc biệt loại trừ điều này khỏi Tuyên bố về khả năng áp dụng (SOA).
- Phụ lục A.11.2 là về Thiết bị. Mục tiêu trong Phụ lục A kiểm soát này là ngăn ngừa mất mát, hư hỏng, trộm cắp hoặc xâm phạm tài sản và gián đoạn hoạt động của tổ chức.
A.11.2.1 Định vị & Bảo vệ Thiết bị
Thiết bị cần được định vị và bảo vệ để giảm thiểu rủi ro từ các mối đe dọa và nguy cơ từ môi trường cũng như chống lại việc truy cập trái phép. Việc bố trí thiết bị sẽ được xác định bởi một số yếu tố bao gồm kích thước và tính chất của thiết bị, mục đích sử dụng được đề xuất và khả năng tiếp cận cũng như các yêu cầu về môi trường. Những người chịu trách nhiệm về thiết bị định vị phải tiến hành đánh giá rủi ro và áp dụng những điều sau đây nếu có thể phù hợp với mức độ rủi ro:
- Các phương tiện xử lý thông tin (máy tính xách tay, máy tính để bàn, v.v.) xử lý dữ liệu nhạy cảm nên được bố trí và hạn chế góc nhìn để giảm nguy cơ bị những người không có thẩm quyền xem thông tin trong quá trình sử dụng.
- Các cơ sở lưu trữ được đảm bảo an toàn để tránh bị truy cập trái phép bằng chìa khóa do người có chìa khóa được ủy quyền nắm giữ.
- Thức ăn và đồ uống nên để xa thiết bị.
- Bộ định tuyến không dây, máy in dùng chung, v.v. phải được định vị để cho phép truy cập dễ dàng khi được yêu cầu và không làm ai đó phân tâm làm việc hoặc để lại thông tin trên máy in mà không nên có ở đó.
- Các phương tiện xử lý thông tin như máy tính xách tay được đặt tại chỗ để chúng được lưu trữ an toàn khi không sử dụng và dễ dàng truy cập khi cần thiết.
- Nhân viên làm việc tại nhà cũng cần xem xét cẩn thận việc bố trí và định vị thiết bị của họ để tránh những rủi ro tương tự như những rủi ro xảy ra đối với công nhân tại văn phòng cũng như việc gia đình và bạn bè sử dụng hoặc tiếp cận không chủ ý.
A.11.2.2 Các tiện ích hỗ trợ
- Thiết bị cần được bảo vệ khỏi sự cố mất điện
- Và các gián đoạn khác do lỗi trong các tiện ích hỗ trợ.
- Điều này có thể bao gồm; Nguồn điện kép từ các trạm phụ khác nhau
- Công trình phát điện dự phòng; Kiểm tra thường xuyên việc cung cấp
- Và quản lý điện.
- Đối với viễn thông, để duy trì khả năng tiếp tục của chúng
- Các cân nhắc có thể bao gồm; Định tuyến kép hoặc nhiều định tuyến
- Cân bằng tải và dự phòng trong thiết bị chuyển mạch
- Giám sát và cảnh báo dung lượng băng thông.
- Nhiều rủi ro sẽ liên quan đến tính “sẵn có” của hệ thống xử lý thông tin
- Và do đó, các biện pháp kiểm soát cần hỗ trợ các yêu cầu kinh doanh
- Về tính sẵn có phù hợp với bất kỳ tính liên tục nào của hoạt động kinh doanh lập kế hoạch
- Và đánh giá tác động được thực hiện cho mục đích này.
A.11.2.3 Bảo mật cáp
- Cáp điện và cáp viễn thông mang dữ liệu
- Hoặc các dịch vụ thông tin hỗ trợ cần được bảo vệ khỏi bị đánh chặn, can thiệp hoặc hư hỏng.
- Nếu cáp nguồn và cáp mạng không được đặt và bảo vệ thích hợp
- Kẻ tấn công có thể chặn hoặc làm gián đoạn liên lạc hoặc tắt nguồn cung cấp điện.
- Bất cứ khi nào có thể, cáp mạng và cáp điện phải được đi ngầm
- Hoặc được bảo vệ và tách biệt để chống nhiễu.
- Tùy thuộc vào độ nhạy hoặc phân loại dữ liệu
- Có thể cần phải tách cáp thông tin liên lạc cho các cấp khác nhau
- Và kiểm tra thêm các điểm kết cuối đối với các thiết bị trái phép.
- Đánh giá viên sẽ kiểm tra bằng mắt các cấp
- Và nếu chúng có liên quan đến mức độ phân loại
A.11.2.4 Bảo trì thiết bị
- Thiết bị cần được bảo trì đúng cách để đảm bảo tính khả dụng
- Và tính toàn vẹn của thiết bị.
- Yêu cầu đối với việc bảo trì thiết bị định kỳ, phòng ngừa
- Và phản ứng sẽ khác nhau tùy theo loại, tính chất, môi trường đặt
- Và mục đích của thiết bị cũng như bất kỳ thỏa thuận hợp đồng
- Việc bảo trì thiết bị cần được thực hiện ở tần suất thích hợp
- Để đảm bảo thiết bị vẫn hoạt động hiệu quả và giảm nguy cơ hỏng hóc.
- Bạn nên lưu giữ lịch trình bảo trì
- Để làm bằng chứng cho kiểm toán viên nếu thiết bị
- Cần được bảo dưỡng hoặc sửa chữa
- Nhật ký của việc bảo trì này nên bao gồm những người đã tiến hành bảo trì
- Những gì đã được thực hiện và những người đã ủy quyền cho việc bảo trì.
- Đánh giá viên sẽ kiểm tra các nhật ký này để xem lịch trình có đầy đủ
- Và tương xứng hay không, các hoạt động đã được ủy quyền, tiến hành một cách thích hợp.
A.11.2.5 Loại bỏ tài sản
- Thiết bị, thông tin hoặc phần mềm được đưa ra ngoài công trường cũng cần được quản lý.
- Điều đó có thể được kiểm soát bằng một số hình thức quy trình trả phòng
- Hoặc đơn giản hơn được liên kết với nhân viên như một phần vai trò của họ
- Và được quản lý theo các điều khoản và điều kiện tuyển dụng của họ – Tất nhiên
- Phụ lục A 7 sẽ đề cập đến vấn đề bảo mật thông tin
- Trong thế giới làm việc luôn di động
- Một số nội dung như thiết bị di động
- Có thể thường xuyên bị loại bỏ khỏi cơ sở tổ chức
- Để tạo điều kiện thuận lợi cho việc làm việc tại nhà hoặc di động.
- Trong trường hợp nội dung không được thiết kế
- Để thường xuyên xóa khỏi địa điểm hoặc nếu chúng có tính chất nhạy cảm
- Được phân loại cao, có giá trị hoặc dễ vỡ thì các quy trình cần được thực hiện
- Để yêu cầu và cho phép loại bỏ và kiểm tra việc trả lại tài sản.
A.11.2.6 Bảo mật Cơ sở Thiết bị & Tài sản
- Các biện pháp kiểm soát bảo mật cần được áp dụng cho các tài sản bên ngoài cơ sở
- Có tính đến các rủi ro khác nhau liên quan đến việc làm việc bên ngoài
- Đây là khu vực dễ bị tổn thương phổ biến và do đó
- Điều quan trọng là phải thực hiện mức độ kiểm soát thích hợp
- Và gắn với các chính sách và kiểm soát di động khác dành cho người làm bài tập, v.v.
- Cần cân nhắc, thực hiện đánh giá rủi ro đối với các tài sản được đưa ra khỏi địa điểm
- Thường xuyên hoặc theo ngoại lệ.
- Các biện pháp kiểm soát có thể sẽ bao gồm một hỗn hợp của
- Kiểm soát kỹ thuật như chính sách kiểm soát truy cập, quản lý mật khẩu, mã hóa
A.11.2.7 Thải bỏ an toàn hoặc tái sử dụng thiết bị
- Tất cả các hạng mục của thiết bị bao gồm cả phương tiện lưu trữ
- Phải được xác minh để đảm bảo rằng mọi dữ liệu nhạy cảm
- Và phần mềm được cấp phép đã bị xóa
- Hoặc ghi đè an toàn trước khi thải bỏ hoặc sử dụng lại.
- Đây là một khu vực dễ bị tổn thương phổ biến khác
- Nơi nhiều sự cố đã phát sinh từ các hoạt động xử lý hoặc tái sử dụng kém.
- Nếu thiết bị đang được xử lý có chứa thông tin nhạy cảm
- Điều quan trọng là các thiết bị và thành phần mang dữ liệu phải bị phá hủy vật lý
- Hoặc bị xóa an toàn bằng các công cụ và công nghệ thích hợp.
- Nếu thiết bị sẽ được sử dụng lại, điều quan trọng là mọi dữ liệu trước đó
- Và phần mềm được cài đặt tiềm năng phải được “xóa sạch” một cách an toàn
- Và thiết bị trở về trạng thái “sạch” đã biết.
A.11.2.8 Thiết bị người dùng không giám sát
- Cũng như đối với văn phòng bảo mật
- Người dùng phải đảm bảo rằng mọi thiết bị không cần giám sát
- Đều có biện pháp bảo vệ thích hợp
- Ngay cả khi đó là mật khẩu và màn hình khóa để bảo mật thông tin cơ bản.
- Thông thường, bạn nên bảo vệ thiết bị khi bỏ mặc thiết bị
- Tuy nhiên điều này sẽ phụ thuộc vào mức độ tin cậy
- Được đặt ở vị trí nơi thiết bị đang được để lại.
- Cơ sở tổ chức cũng cần được xem xét nếu có rủi ro.
A.11.2.9 Chính sách về màn hình & bàn làm việc
- Các quy trình vận hành đối với giấy tờ và phương tiện lưu trữ di động
- Và chính sách màn hình rõ ràng cho các phương tiện xử lý thông tin thường
- Phải được áp dụng trừ khi tất cả các biện pháp kiểm soát
- Và rủi ro khác có nghĩa là chúng không được yêu cầu.
- Các chính sách về bàn làm việc và màn hình rõ ràng được coi là thực tiễn tốt
- Và tương đối đơn giản để thực hiện, tuy nhiên
- Trong một số môi trường hoạt động nhạy cảm về thời gian
- Chúng có thể không thực tế.
- Trong trường hợp này, các biện pháp kiểm soát khác được thiết kế
- Để quản lý rủi ro có thể được thực hiện thay thế.
Làm thế nào để soạn thảo bảng thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013?
Các vành đai an ninh phải được thiết lập và vị trí và cường độ của mỗi vành đai phải phụ thuộc vào các yêu cầu an ninh của tài sản bên trong vành đai và vào kết quả đánh giá rủi ro;
Các chu vi của tòa nhà hoặc cơ sở phải được đảm bảo an toàn về mặt vật lý (nghĩa là không có khoảng trống xung quanh hoặc những nơi có thể dễ dàng xảy ra đột nhập); các tòa nhà, tường và sàn bên ngoài của địa điểm phải được xây dựng an toàn và tất cả các cửa bên ngoài phải được bảo vệ thích hợp để chống lại sự xâm nhập có kiểm soát trái phép (ví dụ như thanh, chuông báo động, khóa); Cửa ra vào và cửa sổ nên được khóa khi cửa sổ không có người trông coi và an ninh bên ngoài, đặc biệt là ở tầng trệt, cần được xem xét;
Cần có khu vực tiếp nhận có người lái hoặc các phương pháp kiểm soát truy cập vật lý khác đối với địa điểm hoặc tòa nhà và chỉ những người được ủy quyền mới có thể tiếp cận các địa điểm và tòa nhà.
Các rào cản vật lý để ngăn chặn việc tiếp cận vật lý trái phép và ô nhiễm môi trường nên được xây dựng, bất cứ khi nào có thể áp dụng;
Tất cả các cửa chống cháy phải được cảnh báo, giám sát và thử nghiệm dọc theo các bức tường để xác định mức độ chịu lực cần thiết phù hợp với các tiêu chuẩn thích hợp của tiểu bang, quốc gia và quốc tế; nên hành động theo cách an toàn phù hợp với Bộ luật địa phương;
Các hệ thống phát hiện xâm nhập phù hợp, theo tiêu chuẩn quốc gia, khu vực hoặc quốc tế phải được lắp đặt và kiểm tra thường xuyên về khả năng bao phủ của tất cả các cửa ra vào bên ngoài và các cửa sổ có thể tiếp cận. Các khu vực không có người ở nên được báo động mọi lúc.
Các cơ sở quản lý thông tin do tổ chức kiểm soát nên được tách biệt về mặt vật lý với các cơ sở do các bên bên ngoài vận hành.
Kiểm soát- Các biện pháp kiểm soát truy cập thích hợp phải bảo vệ các địa điểm để đảm bảo rằng chỉ những nhân viên được ủy quyền mới được phép truy cập.
Cần lưu ý những điểm sau:
- Du khách phải được đăng ký vào ngày và giờ nhập cảnh
- Và khởi hành của họ và phải giám sát tất cả các du khách
- Mà không cần sự chấp thuận trước về quyền truy cập của họ
- Việc tiếp cận chỉ nên được cấp cho một số mục đích đã được phê duyệt
- Và cần cung cấp các hướng dẫn liên quan đến các thông số kỹ thuật
- Về quy trình an toàn và khẩn cấp cho khu vực.
- Danh tính của du khách phải được ủy quyền bằng cách sử dụng phương tiện phù hợp;
- Quyền truy cập nên được giới hạn ở các khu vực mà thông tin được xử lý
- Hoặc lưu trữ bằng các biện pháp kiểm soát truy cập phù hợp
- Duy trì và giám sát an toàn nhật ký vật lý
- Hoặc dấu vết kiểm tra điện tử của tất cả các hồ sơ truy cập;
- Mọi nhân viên, nhà thầu và người bên ngoài nên đeo một số giấy tờ tùy thân
- Có thể nhìn thấy được và nên thông báo cho nhân viên an ninh ngay lập tức
Trách nhiệm soạn thảo tài liệu, quy trình thực hiện đảm bảo an toàn vật lý và môi trường?
- Hệ thống quản lý an ninh thông tin theo ISO 27001:2013
- Sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra.
- Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ
Thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013 được phổ biến áp dụng như thế nào?
- Thông tin và các hệ thống, quy trình đều là tài sản của tổ chức.
- Tất cả các tài sản đều có giá trị quan trọng trong hoạt động của tổ chức.
- Chúng cần được bảo vệ thích hợp.
- Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau.
- Nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.
Mẫu thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013 tham khảo?
Biểu mẫu bảo trì, bảo dưỡng tham khảo:

Tóm lược và khẳng định yêu cầu của việc thực hiện đảm bảo an toàn vật lý và môi trường theo phụ lục A.11 ISO/IEC 27001:2013?
Tổng quan
- Bộ kiểm soát ISO 27001 Phụ lục A: 11 tập trung
- Vào các chương trình an ninh vật lý và môi trường.
- Nó xác định các biện pháp kiểm soát khác nhau
- Để bảo vệ các tổ chức khỏi bị mất thông tin do trộm cắp, hỏa hoạn, lũ lụt
- Cố ý phá hoại, hư hỏng không chủ ý, hỏng hóc thiết bị cơ khí và mất điện.
- Các biện pháp bảo mật vật lý phải đủ để đối phó với các mối đe dọa
- Có thể thấy trước và cần được kiểm tra định kỳ về tính hiệu quả
- Và chức năng của chúng, cũng như tăng tỷ lệ suy nghĩ
- Và lập kế hoạch dựa trên rủi ro khi gặp rủi ro xung quanh an ninh thông tin.
Các phương pháp
- Kiểm soát môi trường
- Kiểm soát thiên tai
- Hỗ trợ Kiểm soát Tiện ích
- Bảo vệ an toàn vật lý và Kiểm soát truy cập
- Độ tin cậy hệ thống
- Nhận thức và Đào tạo về An ninh Vật lý
- Kế hoạch dự phòng