加強安全防護：ISO 27001 標準 A.7.1 - A.7.5 控制措施中實體資訊安全管理系統 (ISMS) 保護的最佳實踐

A.7.1 實體安全邊界

此處的目的是防止對貴組織的資訊和資訊處理設施進行任何未經授權的實體存取、損壞和乾擾。

因此，您需要審查您所有設施（包括外包設施和遠端辦公人員的設施）的安全措施。可以透過在您的辦公室和資訊處理設施周圍設置一個或多個實體屏障來實現實體保護。

安全區域可以是可上鎖的辦公室，也可以是被連續的內部實體安全屏障包圍的多個房間。在安全區域內，對於安全要求不同的區域，可能需要額外的屏障和警戒線來控制人員進出。您應該考慮採取可在威脅升級時加強的實體安全措施。

需要考慮所有遠距辦公的員工，以及他們採取了哪些措施。

A.7.2 實體入口

既然實體安全邊界已作為控制 A.7.1 的一部分確定，則該控制旨在確保只有授權人員才能進入這些區域。

應控制人員可以進入場所的入口，包括大門、送貨和裝卸區等。

這通常透過電子門禁系統來實現，要求工作人員掃描進出場所，訪客在接待區進行登記，並由授權人員接待和陪同。
裝卸區通常經過精心設計，確保送貨人員無法進入建築物的安全區域，並且貨物在離開裝卸區前都會經過檢查。您採取的各項管控措施應定期檢查。 
 

A.7.3 確保辦公室、房間和設施的安全

在辦公室和工作場所內，存在一些資訊和資產，需要按照控制措施中的規定進行額外的控制。 A.5.12 – 先前涵蓋的資訊的分類這些資訊需要妥善保管在貴公司場所內，防止未經授權的人員（包括您的員工和承包商）存取。

這些區域通常包括董事辦公室和伺服器機房等，通常會透過在電子門禁系統中添加額外區域來加強安全。例如，只有系統管理員團隊才能存取伺服器機房，或只有軟體開發團隊成員才能存取開發區域。此外，一些董事辦公室可能仍然使用只有他們自己才有的傳統鑰匙。

A.7.4 實體安全監控

此項管控的目的是阻止未經授權的人員進入您的場所。

可以透過在您的場所安裝監控系統來實現這種控制。這可以包括警報器、視訊監控系統，並且可以由內部人員管理，也可以由外部監控服務提供者管理。

A.7.5 防範物理與環境威脅

本條款旨在保護您的資訊和資產免受任何物理和環境威脅。
風險評估應包括任何物理或環境威脅，例如火災、洪水、地震、電湧和電氣問題、犯罪活動或恐怖攻擊。
可考慮的措施包括將紙本資料儲存在保險箱或其他安全儲存設施中，這些設施能夠抵禦火災、地震和洪水。如有必要，犯罪預防措施可以包括使用路障，或使用雕像或水景等更美觀的替代方案作為實體屏障。

重點總結

主要結論如下：

1. 確定並保護資料儲存和使用區域的外部邊界，同時考慮所使用資料的分類。
2. 一旦確定並封鎖了周邊區域，就應建立出入口控制措施，以限制和監控對這些區域的進出。
3. 限制對辦公室內存取或儲存資產和敏感資料區域的權限。這可能包括伺服器機房、管理辦公室等。
4. 透過監控手段監控對您場所的進出情況。

其他貼文

• 本系列其他文章請見： ISO 27001實施的策略方法
• 查看本系列的前一篇：人員管控：從招募到離職，實施關鍵資訊安全實踐
• 查看本系列下一篇：從安全區域到異地資產：透過控制措施加強實體安全 A.7.6 - A.7.9