第一章 總則
??????? 第一條?目的：為了適應公司物理與環境安全管理的需要，保障公司生產和辦公系統的正常運行，特制定本管理辦法。
??????? 第二條?依據：本管理辦法根據《公司信息安全管理策略》制訂。
??????? 第三條?范圍：本管理辦法適用于公司。
??????? 第二章?基本要求
??????? 第四條?公司員工應根據公司運營需要對資產進行保護。公司的資產保護要求通過完成以下目標來實現：
??????? （一）確保所有資產的物理和環境保護能得到公司的有效控制。
??????? （二）減少擅自訪問或損壞或影響公司控制的資產的風險。
??????? （三）防止公司控制的資產被人擅自刪除或移動。
??????? 第五條?安全控制措施包括以下各項：
??????? （一）公司的場地（機房、辦公室）的信息處理設施周圍設置實際安全隔離措施，如門禁系統等。
??????? （二）公司的大樓入口安全防范措施。
??????? （三）防護設備避免發生火、水、極端溫度/濕度、灰塵和電產生的危害。
??????? （四）設備維護。
??????? （五）清理資產。
??????? 第三章 安全區域
??????? 第六條?公司的安全區域包括中心機房和敏感部門辦公區域。
??????? 第七條?安全區域的劃分與管理參見《物理安全區域管理細則》。
??????? 第八條?物理安全邊界
??????? 所有進入公司安全區域的人員都需經過授權，公司員工之外的人員進入公司安全區域必須登記換取不同的授權卡或訪客證才能進入（持有效證件，得到被訪者允許）。
??????? 第九條?安全區域出入控制措施
??????? （一）物理控制措施
??????? 1、機房的門禁系統必須啟用，任何人都必須刷卡后才可進入機房；
??????? 2、出入機房必須登記《機房出入登記表》，記錄姓名、出入時間、事由等；
??????? 3、一段時間內不會頻繁進入的機房應上鎖，需要時由運維人員開啟進入工作，并確保辦公完成后鎖好；
??????? 4、機房應安裝閉路電視監控。在所有安全區域的工作均應接受監督或監控。
??????? （二）合同方及第三方
??????? 1、要在主要出入口處填寫《來訪人員登記表》；
??????? 2、在顯眼處佩戴公司發出的臨時出入卡或訪客證。
??????? （三）公司工作人員的控制措施
??????? 1、公司工作人員都必須在顯眼處佩帶胸卡；
??????? 2、公司工作人員調離公司時，其實際進入權也同時相應取消；
??????? （四）審查訪問
??????? 科技信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權過期或作廢的人員從名單上劃掉。
??????? （五）外部和環境威脅的安全防護
??????? 1、機房建設應符合GB 9361中A類安全機房的要求；
??????? 2、危險或易燃材料應在離安全區域安全距離以外的地方存放。大批供應品（例如文具等）不應存放于安全區域內；
??????? 3、恢復設備和備份介質的存放地點應與主場地有一段安全的距離，以避免影響主場地的災難產生的破壞；
??????? 4、應提供適當的滅火設備，并應放在合適的地點。
??????? 第十條?交接區安全
??????? （一）公司應設立交接區，同時：
??????? 1、向公司發送貨物必須預先通知貨物資產所屬部門的資產管理員和信息安全管理員；
??????? 2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產所屬部門的資產管理員和信息安全管理員確認；
??????? 3、送貨公司在進入安全區域之前要經過物理環境主管部門有關人員的鑒別確認；
??????? 4、貨物資產所屬部門的資產管理員和信息安全管理員應檢驗貨物，以保證沒有潛在的危害。
??????? 第四章 設備安全
??????? 第十一條?設備安置與保護
??????? （一）公司中應考慮以下控制措施：
??????? 1、設備應進行適當安置，以盡量減少不必要的對工作區域的訪問；
??????? 2、應把處理敏感數據的信息處理設施放在適當的限制觀測的位置，以減少在其使用期間信息被窺視的風險，還應保護儲存設施以防止未授權訪問；
??????? 3、要求專門保護的部件要予以隔離，以降低所要求的總體保護等級；
??????? 4、應采取控制措施以減小潛在的物理威脅的風險，例如偷竊、火災、爆炸、煙霧、水（或供水故障）、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞；
??????? 5、應建立在信息處理設施附近進食、喝飲料和抽煙的指南；
??????? 6、對于可能對信息處理設施運行狀態產生負面影響的環境條件（例如溫度和濕度）要予以監視；
??????? 7、所有建筑物都應采用避雷保護，所有進入的電源和通信線路都應裝配雷電保護過濾器；
??????? 8、對于工業環境中的設備，要考慮使用專門的保護方法，例如鍵盤保護膜；
??????? 9、應保護處理敏感信息的設備，以減少由于輻射而導致信息泄露的風險；極其重要設備應部署在不同位置。
??????? 第十二條?支持性設施
??????? （一）應有足夠的支持性設施（例如電、供水、排污、加熱/通風和空調）來支持系統。支持性設施應定期檢查并適當的測試以確保他們的功能，減少由于他們的故障或失效帶來的風險。應按照設備制造商的說明提供合適的供電。
??????? （二）對支持關鍵業務操作的設備，推薦使用支持有序關機或連續運行的不間斷電源（UPS）。電源應急計劃要包括UPS 故障時要采取的措施。如果電源故障延長，而處理要繼續進行，則要考慮備份發電機。應提供足夠的燃料供給，以確保在延長的時間內發電機可以進行工作。UPS 設備和發電機要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測試。另外，如果辦公場所很大，則應考慮使用多來源電源或一個單獨變電站。