| CA机房物理安全是认证机构设施安全的重要保障,国家密码管理局发布《电子政务电子认证服务业务规则规范》,对CA机房的物理安全提出了规范性要求。
|
|
|
| (1)物理环境按照GM/T 0034的要求严格实施,具有相关屏蔽、消防、物理访问控制、入侵检测报警等相关措施,至少每五年进行一次屏蔽室检测。
|
|
|
| (2)CA机房及办公场地所有人员都应佩戴标识身份的证明。进出CA机房人员的物理权限应经安全管理人员根据安全策略予以批准。
|
|
|
| (3)所有进出CA机房内的人员都应留有记录,并妥善、安全地保存和管理各区域进出记录(如监控系统录像带、门禁记录等)。确认这些记录无安全用途后,才可进行专项销毁。
|
|
|
| (4)建立并执行人员访问制度及程序,并对访问人员进行监督和监控。安全人员定期对CA设施的访问权限进行内审和更新,并及时跟进违规进出CA设施物理区域的事件。
|
|
|
| (5)采取有效措施保护设备免于电源故障或网络通信异常影响。
|
|
|
| (6)在处理或再利用包含存储介质(如硬盘)的设备之前,检查是否含有敏感数据,并对敏感数据应物理销毁或进行安全覆盖。
|
|
|
| (7)制定相关安全检查、监督策略,包括且不限于对内部敏感或关键业务信息的保存要求、办公电脑的保护要求、CA财产的保护要求等。
|
|
|
京公网安备 11010502032051号 | 营业执照