A.11.2 设备
目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。
A.11.2.1设备安置和保护控制
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
A.11.2.2支持性设施控制
应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
A.11.2.3布缆安全控制
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏
A.11.2.4设备维护控制
设备应予以正确地维护,以确保其持续的可用性和完整性。
A.11.2.5资产的移动控制
设备、信息或软件在授权之前不应带出组织场所。
A.11.2.6组织场所外的设备与资产安全控制
应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险
A.11.2.7设备的安全处置或再利用控制
包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写。
A.11.2.8无人值守的用户设备控制
用户应确保无人值守的用户设备有适当的保护。
A.11.2.9清理桌面和屏幕策略控制
应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。

控制解析:

  1. 重要设备设备应有适当的安置和保护,如重要服务器和核心交换机必须放置于机房中,普通服务器和交换机放置于弱电间,机房和弱电间禁止进食、喝饮料和抽烟,对机房温湿度进行管控等。
  2. 支持性设施如网络和通信设备应该冗余设计,至少两条线路。机房供电,配备发电机、UPS备用电源等。
  3. 布缆应整洁规范,如弱电间和机房布线整洁,无杂乱。
  4. 应定期对设备进行维护和保养。对于重要设备维护和保养,相关人员需要进行授权。外出维修设备,需要清除所有数据方可放行,维修后,重新接入前,需要进行相关检测,如病毒扫描等。
  5. 设备、办公笔记本等带出厂区外,需要授权申请。
  6. 组织外设备安全,如出差携带的笔记本、在办公使用的办公电脑,应对这些场景制定相应的安全管理规范。
  7. 旧服务器,回收的办公电脑,在重新使用之前,应先对硬盘进行格式化清除数据。
  8. 无人值守的设备,如工控电脑应设置口令,并锁屏。
  9. 人员离开办公位时,应清理桌面重要的纸质文档和移动存储设备。办公计算机桌面禁止存放重要文档,应放置于处C盘以外的盘。

实施本控制应输出的文档:

  1. 《物理和环境安全管理规范》。
  2. 设备维护保养记录。
  3. 设备外出授权记录,数据清理记录,外出登记记录,病毒扫描记录等。

本控制审核要点:

  1. 检查办公区域是否有存放交换机和服务器,检查弱电间是否上锁。
  2. 检查网络是否有冗余配置,检查机房是否有发电机或UPS备用电源。
  3. 检查机房、弱电间配线是否整洁。
  4. 查看设备维护保养记录。机房巡检记录。
  5. 检查设备外出,是否有授权记录。
  6. 外出维修后的设备重新接入,是否有进行病毒扫描等。
  7. 现场查看无人值守的工控电脑是否有设置口令,是否有锁屏。
  8. 现场查看人员长时间离开的办公位是否有重要文档未收起。现场抽查员工办公电脑桌面是否存放有重要文档。