⾝身体的

承载信息的物质，包括信息存储、处理、传输和显⽰示的设施和设备物质的⾃自然环境的保障，如温度、湿度、电⼒力、灾害等⾃自然的

物理

防⽌止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护

控制⺫⽬目标

周边⼊入侵检测系统闭路电视

物理安全边界

必须弄清来访者的⾝身份，并将其进⼊入与离开安全区域的⽇日期与时间记录起来所有⼈人员配戴识别证卡访问控制⽣生物特征系统

物理⼊入⼝口控制

关键设备应放在公众⽆无法进⼊入的地⽅方

避免写出“机房重地，请勿进⼊入”的字样安全区内，各种打印机、复印机设备⻬齐全

安全区域

办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域⼯工作公共访问、交接区安全

控制措施

安全区域

防⽌止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断

控制⺫⽬目标

抑制和防⽌止电磁泄露

TEMPEST

来⾃自空中的威胁以电磁波形式的辐射泄露；

电源线、控制线、信号线和地线造成的传导泄露

途径

使各系统设备相互干扰，降低设备性能电磁泄露会造成信息暴露

危害

功率和频率

距离因素屏蔽状况

电磁辐射强度影响因素

选⽤用低辐射设备

利⽤用噪声干扰源采取屏蔽措施距离防护

采⽤用微波吸收材料

预防措施

设备安置和保护

电⼒力供应

设备运⾏行的良好环境适当的供暖、通⻛风和空调

HVAC

消防设施：⽕火灾的预防、检测和排除

⽀支持性设施

布缆安全设备维护

组织场所外的设备安全

设备的安全处置和再利⽤用资产的转移

控制措施

设备安全

物理和环境安全

确保正确、安全地操作信息处理设施

控制⺫⽬目标

⽂文件化的操作程序

变更管理责任分割

开发、测试和运⾏行设施分离

控制措施

（1）操作程序和职责

服务⽔水平承诺SLA

对第三⽅方服务进⾏行管理，使其交付的服务符合第三⽅方服务交付协议，并保持在适当⽔水平

控制⺫⽬目标

服务交付

第三⽅方服务的监视和评审第三⽅方服务的变更管理控制措施

（2）第三⽅方服务交付管理

将系统失效的⻛风险降⾄至最⼩小

控制⺫⽬目标

容量管理系统验收

控制措施（3）系统规划和验收

保护软件和信息的完整性

控制⺫⽬目标

控制恶意代码

控制措施

（4）防范恶意代码

保持信息和信息处理设施的完整性及可⽤用性控制⺫⽬目标

备份资料必须给予适当级别与保护

定期测试备份介质定期检查与测试恢复步骤

信息备份

控制措施

（5）备份

确保⺴⽹网络中信息和⽀支持性基础设施的安全性

控制⺫⽬目标

⺴⽹网络控制⺴⽹网络服务安全

控制措施

（6）⺴⽹网络安全管理

防⽌止资产遭受未授权泄露、修改、移动、销毁及业务活动的中断

控制⺫⽬目标

可移动介质的管理

介质的处置

控制措施

（7）介质处置

保持组织内以及与外部组织信息和软件交换的安全

控制⺫⽬目标

信息交换策略和规程

交换协议

运输中的物理介质

Subtopic

控制措施

（8）信息的交换

确保电⼦子商务服务及使⽤用的安全

控制⺫⽬目标

电⼦子商务在线交易

控制措施

（9）电⼦子商务服务

检测未经授权的信息处理活动

控制⺫⽬目标审计⽇日志监视系统的使⽤用⽇日志信息的保护管理员和操作员⽇日志

故障⽇日志时钟同步

控制措施

（10）监视

通信和操作管理

信息安全控制措施2下载本文