锁定您的安全：ISO 27001 控制 A.7.1 - A.7.5 中的 ISMS 物理保护最佳实践

A.7.1 物理安全边界

这里的目标是防止对贵组织的信息和信息处理设施进行任何未经授权的物理访问、破坏和干扰。

因此，你需要检查你的设施、任何外包设施和远程工作人员的所有安全措施。物理保护可以通过在办公场所和信息处理设施周围设置一个或多个物理屏障来实现。

一个安全区域可以是一间上锁的办公室，也可以是几个房间，周围有连续的内部物理安全屏障。在安全边界内具有不同安全要求的区域之间，可能需要额外的屏障和边界来控制物理访问。您应考虑在威胁增加的情况下加强实体安全措施。

重要的是要考虑任何远程工作的员工，以及他们所采取的措施。

A.7.2 实际进入

控制措施 A.7.1 已经确定了实体安全边界，本控制措施旨在确保只有获得授权的人员才能进入这些区域。

应控制人们可以进入场所的出入口，包括门、送货区和装货区。

这通常是通过电子门禁系统来实现的，要求员工对进出场所进行扫描，访客在接待区进行登记、接见并由授权人员陪同。
装货和送货区的设计通常是使送货人员无法进入建筑物的安全区域，并且在从送货区运出货物之前要对货物进行检查。

A.7.3 确保办公室、房间和设施的安全

在办公室和工作场所，有些信息和资产需要额外的控制措施，如前文控制措施A.5.12 --信息分类所述。需要确保这些信息在办公场所内的安全，防止未经授权的访问，甚至是员工和承包商的访问。

这些区域通常包括主管办公室和服务器机房等，通常通过在电子访问系统中增加额外区域来确保安全。例如，只有系统管理团队才能进入服务器机房，或者只有软件开发团队成员才能进入开发区域。另外，一些主任办公室可能使用只有他们自己才有的老式钥匙。

A.7.4 实体安全监控

这种监控的目的是阻止未经授权的人员进入你的办公场所。

可以通过监控系统监控贵公司的实体场所来实现这一控制。监控系统可包括警报器、视频监控系统，并可由内部或外部监控提供商进行管理。

A.7.5 防范物理和环境威胁

本条款旨在保护您的信息和资产免受任何物理和环境威胁。
您的风险评估应包括任何物理或环境威胁，包括火灾、洪水、地震、电涌和问题、犯罪活动或恐怖袭击。
可以考虑的措施包括将物理数据存储在保险柜或其他安全的存储设施中，这些设施可以防止火灾、地震和洪水。如果相关，犯罪预防控制措施可包括使用护柱或更漂亮的替代品，如雕像或水景作为物理屏障。

启示

主要启示如下

1. 考虑到所使用数据的分类，确定数据存储和使用区域的外部周边并确保其安全
2. 确定周边区域并确保其安全后，创建出入口访问控制，以限制和监控这些区域的进入
3. 限制进入办公室内访问或存储资产和敏感数据的区域。这可能包括服务器机房、管理办公室等
4. 通过监视器监控进入办公场所的情况

• 查看本系列的上一篇文章：人员控制：从招聘到离职实施关键信息安全实践