五章信息安全管理准则
第一节实体和环境安全
第十九条关键或敏感信息的存放和处理设备需要放在安全的地方，并使用相应的安全防护设备和准入控制手段进行保护，确保这些信息或设备免受未经授权的访问、损害或者干扰。具体措施如下：1存放或处理信息的设备，如服务器、存储设备等，应该放在公司内部机房或专业、可信的IDC机房内。2存放公司重要信息的IT设备接入网络环境（特别是接入公网环境）必须经过严格的安全检查，配备符合安全要求的网络设备和安全防范设备，并采取有效的管理措施确保不被入侵或数据泄露。3对于那些不能放在机房里，但又存放有关键或敏感信息的设备，如文件服务器，代码管理服务器等，必须放在有严格进出限制的房间里，不得放在公共办公区域。4对于存放纸质文件的文件柜和文件室，必须有锁或其他安全控制装置，并指定专人负责文件取放。5对于纸质文件或可移动存储介质，暂时不用时，需存放在合适的加锁的柜子和或其它形式的安全设备中，并且可移动存储介质上的重要文件需要加密保护。
第二十条严格控制进出安全区域的人员，并使用必要的监控设备或手段监视人员在安全区
域的行为。具体包括：1安全区域是指为存放关键或敏感信息，以及信息处理设备，而划分出来有进入控制手段的区域。2内部员工进入安全区域必须经过授权，并登记进入和离开时间。3外来人员在安全区内工作，除需要经过授权外，必须在适当的监视下进行工作。4人员随身携带物品或设备进出安全区域必须经过检查。第二十一条存放关键或敏感信息的介质或设备离开工作环境（安全区域），运输、携带或在外部使用，需采取保护手段，防止信息窃取和损坏。第二十二条存放关键或敏感信息的介质或设备，如果不再使用或转作其他用途，应将其中的数据进行彻底销毁。应注意选择数据销毁手段，确保数据真正无法恢复。
第4页共9页
f第二节操作管理
第二十三条明确所有信息处理操作的流程，明确流程中每个环节的责任，确保信息处理过程安全无误。具体措施如下：
1信息处理过程或操作步骤应整理成正式文档，改动处理过程必须得到管理层授权，操作人员必须按照信息处理的规定程序操作；2信息处理职责划分清晰，并通过访问控制、接触限制机制确定授权人员身份；3定期检查人员权限列表。第二十四条信息系统必须建立详细的操作规范和要求，并对这些操作规范进行备案，进行定期检查，及时更新操作规范。第二十五条各信息管理部门应采取有效取防范措施防止和r