办理 ISO27001 认证对环境有一定要求,主要体现在以下方面:
1. 物理环境
机房场地1:
避免选择在易发生火灾和危险程度高的地区,如油库和其他易燃物附近。
避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等存在环境污染的区域。
远离低洼、潮湿及落雷区域。
规避强震动源和强噪声源区域。
不处于强电场和强磁场区域。
防止在有地震、水灾危害的区域。
避免在建筑物的高层以及用水设备的下层或隔壁。
远离公共区域,如运输通道、停车场或餐厅等,以防公众干扰。
选址:
内部布局:机房应只设一个出入口,并有专人负责,未经允许的人员不准进入;另设若干紧急疏散出口,标明疏散线路和方向。
防火1:
机房和记录介质存放间,其建筑材料的耐火等级应符合相关标准要求。
要设置火灾报警系统,包括自动探测器、区域报警器、集中报警器和控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断电源、关闭空调设备等。
机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要设备地区,应安装防火门、使用阻燃材料装修等。
供、配电1:
机房供电系统应将计算机系统供电与其他供电分开,并配备应急照明装置。
配置抵抗电压不足的设备,如 UPS(不间断电源),以及应急电源(发电机组)等。
采用线路稳压器,防止电压波动对计算机系统的影响;设置电源保护装置,如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等,防止或减少电源发生故障。
空调、降温1:
应有必要的空调设备,使机房温度达到所需的温度要求。
有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允许的范围。
完备的中央空调系统能满足机房各个区域的温度变化,以适应计算机系统运行、人员活动和其他辅助设备的要求。
防水与防潮1:
水管安装不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并采取可靠的密封措施。
采取措施防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移与渗透。
安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害及时报警。
机房应设有排水口,并安装水泵,以便迅速排出积水。
防静电1:
采用必要的措施,使计算机系统有一套合理的防静电接地与屏蔽系统。
人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作。
控制机房温湿度,使其保持在不易产生静电的范围内。
机房地板从表面到接地系统的阻值,应在不易产生静电的范围。
机房中使用的各种家具、工作台、柜等,应选择产生静电小的材料。
接地与防雷击1:
采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等,确保接地体的良好接地。
设置信号地与直流电源地,并注意不造成额外耦合,保障去耦、滤波等的良好效果。
设置避雷地,以深埋地下、与大地良好相通的金属板作为接地点;至避雷针的引线则应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地” 与避雷针相连。
设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体的粗线,以减小各种地之间的电位差。
交流供电线应有规范连接位置的三芯线,即相线、中线和地线,并将该 “地线” 连通机房的地线网,以确保其安全保护作用。
电磁防护1:
采取接地等措施防止电磁干扰。
2. 办公环境
区域划分:对于开放式办公区域,应根据不同的工作职能和信息安全级别进行合理划分,例如,将涉及敏感信息处理的区域与普通办公区域分开,限制无关人员进入敏感区域。
访问控制:办公场所的出入口、重要房间(如服务器机房、财务室等)应设置门禁系统或其他有效的访问控制措施,确保只有授权人员能够进入。
物品管理:对办公区域内的信息资产(如文件、存储设备等)进行妥善管理,防止丢失或被盗。没有管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出办公区域1。
3. 网络环境
网络架构:企业的网络架构应设计合理,包括内部网络、外部网络和隔离区域的划分,以确保信息的安全传输和访问控制。例如,设置防火墙、入侵检测系统、VPN等网络安全设备,对网络流量进行监控和过滤。
网络设备安全:网络设备(如路由器、交换机、防火墙等)应放置在安全的环境中,避免物理损坏和未经授权的访问。要定期对网络设备进行维护和更新,确保其安全性和稳定性。
无线安全:如果企业使用无线网络,应采取安全的加密方式(如 WPA2等),并对无线网络的访问进行严格的身份验证和授权,防止未经授权的用户接入网络。