5.2.7  物理與環境安全

物理與環境安全包含2個控制目標15個控制措施。

　　一個安全區域可以是一個可上鎖的辦公室，或是被連續的內部物理安全屏障包圍的幾個房間。在安全邊界內具有不同安全要求的區域之間需要部署控制物理訪問的附加屏障和圍欄。

安全區域應由適合的人口控制所保護，例如門禁系統、專人值守等，以確保只有授權的人員才允許訪問。

應為辦公室、房間和設施設計并采取物理安全措施，例如門鎖、帶鎖的文件柜、保險柜等，防止未授權人員進入或訪問敏感信息。

應制定規程設計和應用物理保護措施以防各種自然災害、惡意攻擊和意外，例如在機房設置氣體消防滅火器避免火災引起的破壞，類似的還有洪水、地震、爆炸、社會動蕩和其他形式的自然災難或人為災難的破壞。

應制定和應用安全區域工作規程。要求雇員和承包商委派人員在安全區域內進行工作， 以及對其他發生在安全區域的所有活動控制。

訪問點如送貨和裝卸區和未授權人員可進入辦公場所的其他點應加以控制。